DSGVO-konformes Verarbeitungsverzeichnis - Was muss beachtet werden?
- 2 Minuten Lesezeit
Die Datenschutzgrundverordnung (DSGVO) regelt seit Mai 2018 innerhalb der Europäischen Union die gesetzlichen Vorgaben zum Datenschutz. Eine für Unternehmen wichtige datenschutzrechtliche Maßnahme ist das Führen eines sog. „Verzeichnis von Verarbeitungstätigkeiten“, kurz: Verarbeitungsverzeichnis. Geregelt sind die Bestimmungen zum Verarbeitungsverzeichnis in Art. 30 DSGVO. In Art. 30 Abs. 1, S. 1 DSGVO heißt es wortwörtlich:
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“
Muss jedes Unternehmen ein Verarbeitungsverzeichnis führen?
Sobald es zu einer Datenverarbeitung in einem Unternehmen, einer Behörde oder sonst einer Einrichtung kommt, muss grundsätzlich ein Verarbeitungsverzeichnis geführt werden.
Ausnahmen davon sind in Art. 30 Abs. 5 DSGVO geregelt. Danach können Unternehmen bzw. Einrichtungen mit weniger als 250 Beschäftigten vom Führen eines Verarbeitungsverzeichnisses ausgenommen sein oder wenn die Datenerhebung ausschließlich gelegentlich erfolgt. Auch wenn es um die Verarbeitung besonderer Datenkategorien i. S. d. Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten i. S. d. Art. 10 DSGVO geht, ist ein Verarbeitungsverzeichnis nicht erforderlich.
Die Ausnahmefälle sind jedoch nur äußerst selten der Fall und treffen für einen Großteil der Unternehmen nicht zu. Daher ist faktisch von jedem Unternehmen ein Verarbeitungsverzeichnis erforderlich.
Was muss ein Verarbeitungsverzeichnis beinhalten?
In Art. 30 Abs. 1, S. 2 DSGVO ist bereits eine allgemeine Auflistung der erforderlichen Angaben im Verarbeitungsverzeichnis aufgeführt. Danach sind z.B. Namen und die Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung sowie eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten notwenige Angaben. Darüber hinaus müssen u.a. sog. TOMs, also technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung, aufgelistet werden.
Die DSGVO ist allerdings in Bezug auf die konkrete Ausgestaltung und Ausführlichkeit des Verarbeitungsverzeichnisses nicht sehr genau. Als Grundsatz für das Verarbeitungsverzeichnis gilt aber im Grunde: Je ausführlicher es ist, desto besser! So kann im Falle einer behördlichen Prüfung der verantwortungsbewusste Umgang mit personenbezogenen Daten im Zweifel leichter nachgewiesen werden.
Fazit
Ein gut organisiertes, übersichtliches und umfängliches Verarbeitungsverzeichnis erspart langfristig Zeit und Kosten und bietet zudem datenschutzrechtliche Sicherheit für Ihr Unternehmen. Die angemessene Erstellung eines Verarbeitungsverzeichnisses bereitet Laien oft große Schwierigkeiten und bloße Mustervorlagen oder Formulare aus dem Internet führen somit oftmals nicht zum Erfolg. Daher empfiehlt es sich, lieber einmal gründlich mithilfe eines Datenschutz-Profis ein für Ihr Unternehmen zugeschnittenes, optimiertes Verarbeitungsverzeichnis zu erstellen, um für die Zukunft gewappnet zu sein.
Wenn Sie professionelle Unterstützung bei der Erstellung oder Überprüfung eines Verarbeitungsverzeichnisses benötigen, helfen Ihnen unsere zertifizierten Datenschutzbeauftragten (TÜV) und unser Datenschutzauditor (TÜV) gerne weiter! Wir beraten in unserer Kanzlei Hämmerling von Leitner-Scharfenberg bundesweit zu sämtlichen datenschutzrechtlichen Themen. Melden Sie sich einfach unverbindlich unter:
- Tel. 040 5330-8720 oder 030 2064-9405
- E-Mail hamburg@hvls-partner.de oder berlin@hvls-partner.de
„Nachricht senden“ auf anwalt.de (Fügen Sie hierbei Ihre Telefonnummer bitte auch noch einmal in die Nachricht an
Artikel teilen: