Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten ist nach Art. 30 DSGVO für die Unternehmen Pflicht. Es dient der Transparenz über die Verarbeitung personenbezogener Daten und somit der rechtlichen Absicherung des Unternehmens. Diese Dokumentation ist ein Schwerpunkt der Aufsichtsbehörde, wenn es zu einer Überprüfung kommen sollte.
Doch oftmals ist nicht eindeutig, wie detailliert dieses Verzeichnis zu sein hat und die Erstellung allein schreckt Unternehmen ab. Hier erhalten Sie die wichtigsten Informationen zu dem Verzeichnis, was es beinhalten sollten und welche Ausnahmen gelten.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Vor der Wirksamkeit der DSGVO führten einige Unternehmen ein Verfahrensverzeichnis zur Dokumentation interner Prozesse. Das Verzeichnis von Verarbeitungstätigkeiten ist allerdings erheblich umfangreicher gestaltet, damit es der Nachweispflicht der DSGVO nachkommen kann.
Das Dokument enthält mehrere Verfahrensbeschreibungen inkl. der Verarbeitungsschritte von personenbezogenen Daten. Aus dem Verzeichnis muss hervorgehen, welche Daten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet. Zusätzlich werden die technisch-organisatorischen Maßnahmen zum Schutz dieser Daten notiert. Dies bedeutet für Unternehmen eine Übersicht über sämtliche eingesetzte Anwendungen und Tools (IT-Verfahren und Dateien) zu erstellen, bei denen personenbezogenen Daten verarbeitet werden. Dies können beispielsweise Zeiterfassungssysteme, CRM-Systeme aber auch Websitebesucheranalyse-Tools sein. Die Beschreibung der Verarbeitungstätigkeiten sollte hierbei möglichst genau sein, sodass sich die Aufsichtsbehörde einen guten Überblick über die Tätigkeiten und auch die Datensicherheitsmaßnahmen verschaffen kann.
Ausnahmen – Wer muss kein Verzeichnis von Verarbeitungstätigkeiten erstellen?
Grundsätzlich besteht eine Dokumentationspflicht für alle Unternehmen, sowohl Verantwortlicher als auch Auftragsverarbeiter (z. B. Subunternehmer). Doch laut Artikel 30 Abs. 5 DSGVO sind Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern ausnahmsweise vom Führen eines Verzeichnisses befreit. Dies gilt allerding nur, wenn folgende Voraussetzungen erfüllt sind:
- wenn die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
- keine Verarbeitung besonderer Datenkategorien erfolgt oder
- die Verarbeitung nur gelegentlich erfolgt.
Diese genaue Abgrenzung ist in der Praxis leider selten möglich, da die Auslegung von „nur gelegentlich“ nicht eindeutig ist, allerdings regelmäßige Tätigkeiten wie die Verarbeitung personenbezogener Daten über eine Website, Webshop oder in Lohnabrechnungs- oder CRM-Systemen ausschließt.
Was müssen Sie als Unternehmer beachten?
Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten ist Teil der Dokumentationspflicht für Unternehmer. Sollte ein Unternehmen dieser Pflicht nachkommen und kein Verzeichnis oder ein unvollständiges Verzeichnis bei einer Prüfung der Aufsichtsbehörde vorlegen, droht ein Bußgeld. Der Rahmen kann hierbei bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes liegen.
Empfehlung von LITC
Wir empfehlen Ihnen die Erstellung des Verzeichnisses an dem Aufbau und der Komplexität Ihres Unternehmens zu orientieren. Auch wenn zu Beginn ein größerer administrativer Aufwand vorliegt, ist die Erstellung verpflichtend für Sie als Unternehmer (außer es greifen alle unter Ausnahmen notierten Voraussetzungen). Um den Aufwand so gering wie möglich zu halten, verweisen Sie auf vorhandene Datenschutzdokumente, wie das Datenschutzkonzept oder das Löschkonzept. Diese Dokumente müssen im Bedarfsfall dann ebenfalls vorlegt werden.
Da die Dokumentation auf die Detailkenntnisse der einzelnen Verfahren angewiesen ist, empfehlen wir Ihnen ein Team zusammenzustellen, welches diese Kenntnisse bestmöglich abdecken kann. So erhalten Sie eine vollständige und nachvollziehbare Dokumentation.
Weiterführende Quellen:
– Artikel 30 DSGVO – DSGVO-Gesetze
– DSGVO-Gesetz – Artikel zum Verzeichnis von Verarbeitungstätigkeiten
– Artikel: Verzeichnis von Verarbeitungstätigkeiten von Datenschutz Guru
Sie haben noch Fragen zum Verzeichnis von Verarbeitungstätigkeiten? Sie benötigen Unterstützung in der Erstellung der Dokumentation? Wir beraten Sie gerne und gehen mit Ihnen die Unterlagen durch, sodass Sie Ihrer Pflicht bestmöglich nachkommen können, ohne zu viel Zeit in die Administration zu investieren. Schreiben Sie uns einfach eine E-Mail.