Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)
In vielen Fällen ist der Verantwortliche verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen, in dem er die Verarbeitung personenbezogener Daten dokumentiert (Art. 30 DSGVO).
Wer ist zur Erstellung verpflichtet?
Die Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht grundsätzlich nur für Unternehmen oder Einrichtungen, die 250 Mitarbeiter oder mehr beschäftigen. Allerdings bestehen wichtige Ausnahmen von dieser Regel: Ein Verarbeitungsverzeichnis ist z.B. auch dann zu führen, wenn sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden. Die Verpflichtung besteht aber vor allem auch dann, wenn die Verarbeitung nicht nur gelegentlich erfolgt. Da dies in den meisten Unternehmen der Fall ist, sind die meisten Unternehmer und Selbständigen zur Erstellung eines Verzeichnisses der Verfahrenstätigkeiten verpflichtet.
Das Verarbeitungsverzeichnis ist den Datenschutzbehörden gegebenenfalls vorzulegen.
Welchen Inhalt hat das Verzeichnis der Verarbeitungstätigkeiten?
Im Verzeichnis der Verarbeitungstätigkeiten sind alle wesentlichen Angaben zur Datenverarbeitung anzuführen (zusammengefasst: welche Daten welcher Personen werden von wem zu welchem Zweck wie verarbeitet und welche Schutzmaßnahmen wurden getroffen). Das Verzeichnis der Verarbeitungstätigkeiten dient vor allem der Kontrolle durch die Behörden, ist aber auch ein guter Ausgangspunkt für die Überprüfung der verschiedenen Verarbeitungsprozesse.
Das Verzeichnis der Verfahrenstätigkeiten ist für jede Verarbeitungstätigkeit getrennt zu erstellen, da der Umgang mit verschiedenen Daten unter Umständen verschiedene Voraussetzungen hat und verschiedene Maßnahmen erfordert. Z.B. sollte die Kontonummer eines Kunden oder das Röntgenbild eines Patienten anders geschützt sein als die IP-Adresse eines Besuchers der Homepage. Es bietet sich an, eine Aufteilung nach Verarbeitungszwecken vorzunehmen.
Die DSGVO gibt einen Mindestinhalt vor. Zwingend enthalten sein müssen vor allem Angaben zum Verantwortlichen, zu den Kategorien der erhobenen Daten, den Kategorien betroffener Personen, der Verwendung der Daten und zu den Schutzmaßnahmen. Es ist darüber hinaus aber sinnvoll, auch noch andere Angaben aufzunehmen. Mit einem derart vollständigen Verzeichnis der Verfahrenstätigkeiten kann den meisten Rechenschafts- und Dokumentationspflichten nach der DSGVO genüge getan werden. Zudem ist es gegebenenfalls ein gut geeigneter Ausgangspunkt für die Prüfung weiterer Aspekte, die nach der DSGVO zu beachten sind.