Was ist ein Verarbeitungsverzeichnis und wer benötigt es?
Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stehen alle Unternehmen und insbesondere ihre Verantwortlichen in der Dokumentations- und Rechenschaftspflicht. Das Verarbeitungsverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein elementarer Bestandteil der für Unternehmen verpflichtenden Dokumentation im Datenschutz.
Was ist der Unterschied zwischen einem Verarbeitungs- und einem Verfahrensverzeichnis?
Der inzwischen veraltete Begriff „Verfahrensverzeichnis“ stammt aus der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) vor der DSGVO, meint im Wesentlichen aber das Gleiche.
Wann muss ein Verarbeitungsverzeichnis erstellt werden?
Sobald ein Unternehmen personenbezogene Daten erhebt, speichert, bearbeitet, weiterleitet oder anderweitig verarbeitet, ist es in der Regel nach Art. 30 DSGVO zum Führen eines Verarbeitungsverzeichnisses verpflichtet. Art. 30 Abs. 5 der Datenschutzgrundverordnung (DSGVO) sieht nur wenige Ausnahmefälle vor.
- Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen
- Datenverarbeitung erfolgt gelegentlich
- keine Datenverarbeitung von besonderen Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO
Unabhängig davon und aufgrund der Komplexität der DSGVO-Regelungen ist es jedoch im Interesse jedes Unternehmens, ein VVT zu führen. Denn mit dem VVT belegen Sie, dass Ihr Unternehmen datenschutzkonform arbeitet und behalten die Übersicht über alle internen Datenverarbeitungen.
Verzeichnis von Verarbeitungstätigkeiten als Chance für sicheren Datenschutz nutzen
Mit einem zuverlässig geführten Verarbeitungsverzeichnis können sich Unternehmen im Zweifelsfall gegen falsche Vorwürfe wehren und sich entlasten. Besonders der Datenschutzbeauftragte eines Unternehmens, der mit der jeweiligen Aufsichtsbehörde kommuniziert, kann mit Hilfe des VVT jederzeit die datenschutzrechtliche Konformität der Datenverarbeitung belegen.
Für Ihr Unternehmen ist ein Verzeichnis über Verarbeitungen also eine Chance, um das Risiko einer Datenpanne zu minimieren. Sie benötigen Unterstützung bei der Erstellung und haben Fragen rund um Datenschutz, Verarbeitungsverzeichnis und Co.?
Definition: Was sind Verarbeitungstätigkeiten nach DSGVO?
Als Verarbeitung werden alle Prozesse und Abläufe im Unternehmen klassifiziert, bei denen personenbezogene Daten erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Datenverarbeitung findet gewöhnlich in allen Unternehmensabteilungen statt und alle Verarbeitungstätigkeiten müssen der Vollständigkeit halber im VVT erscheinen. Hinzu kommen die Verarbeitungstätigkeiten als Auftragsverarbeiter, d.h. wenn personenbezogene Daten im Auftrag anderer Verantwortlicher verarbeitet werden.
Die wichtigsten Grundsätze in Bezug auf die Verarbeitung nach Art. 5 DSGVO sind dabei:
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit (durch entsprechende technische und organisatorische Maßnahmen (TOM))
Wie sieht ein Verarbeitungsverzeichnis aus und welche Angaben müssen darin enthalten sein?
In einem VVT müssen alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden. Die Anforderungen an den Inhalt des Verzeichnisses sind in Art. 30 DSGVO beschrieben. Unterschieden wird zwischen dem VVT, das datenschutzrechtlich Verantwortliche führen müssen und das deutlich umfangreicher ist, und dem Verzeichnis für Auftragsverarbeiter.
Da die offizielle Amtssprache in Deutschland Deutsch ist, können deutsche Aufsichtsbehörden von international tätigen Unternehmen auch ein Verzeichnis von Verarbeitungstätigkeiten auf Deutsch verlangen.
Verarbeitungsverzeichnis erstellen: Mit Muster oder per Software
Die Erstellung und Pflege des VVT gehört zwar nicht zu den von der DSGVO definierten Aufgaben eines Datenschutzbeauftragten. Dennoch ist es sinnvoll, ihm diese Tätigkeit zu übertragen, sofern Sie einen Datenschutzbeauftragten haben.
Wichtig: Das VVT muss im Arbeitsalltag aktiv geführt und aktualisiert werden. Dazu zählt auch die Aufgabe, Verarbeitungsvorgänge aus dem Verzeichnis zu löschen, die nicht mehr aktuell sind.
Verarbeitungsverzeichnis: DSGVO Muster kostenlos nutzen
Einen Anstoß für die Erstellung und einen Überblick über die wichtigsten Inhalte liefert Ihnen unser Muster für ein Verarbeitungsverzeichnis.