Privacy Top 20 Ratgeber

Verzeichnis der Verarbeitungstätigkeiten – halten Sie alles schriftlich fest


Bisher galt in Deutschland einzig das Bundesdatenschutzgesetz. Dieses besagt, dass jeder, der personenbezogene Daten verarbeitet, einer Nachweispflicht nachkommen muss. Die am 25. Mai 2018 in Kraft getretene EU-DSGVO weitet diese Regelung sogar noch aus. Sie sind nun dazu verpflichtet, ein detailliertes Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses ersetzt das bisher bekannte Verfahrensverzeichnis. Der Umfang ist in Art. 30 DSGVO festgelegt.

Es ist wichtig, dass Sie die geforderte Aufgabe gewissenhaft übernehmen. Denn die zuständigen Aufsichtsbehörden sind dazu berechtigt, das Verzeichnis der Verarbeitungstätigkeiten jederzeit einzusehen. Sollte dieses Mängel aufweisen, unvollständig oder gar nicht vorhanden sein, drohen Ihnen Bußgelder in Millionenhöhe. Was müssen Sie also beachten?

Was steckt hinter dem Verzeichnis der Verarbeitungstätigkeiten?

In erster Linie existiert es, um ein hohes Maß an Transparenz zu gewährleisten. Vielen Betroffenen ist nicht bewusst, wie viele Daten in verschiedener Form über sie gesammelt werden. Und nicht jede Firma hat bis jetzt darauf geachtet, ob ihr Vorgehen den Datenschutzrichtlinien entspricht. Das Verzeichnis soll Kunden, Mitarbeitern und Geschäftspartnern nun deutlich mehr Schutz bieten. Denn Unternehmen müssen jede einzelne Verarbeitung dokumentieren. Dies dient jedoch ebenfalls der Absicherung eines Betriebes, Website-Betreibers oder Bloggers. Denn bei einer Klage oder Abmahnung müssen sie lediglich das Verzeichnis der Verarbeitungstätigkeiten vorweisen.

Wer ist zur Führung eines Verzeichnisses verpflichtet?

Im Grunde jeder, der an der Verarbeitung personenbezogener Daten beteiligt ist. Oftmals übernimmt diese Aufgabe jedoch der Datenschutzbeauftragte.

Es gibt allerdings auch Ausnahmen von dieser Regel. Dies betrifft in erster Linie Unternehmen, die eine Mitarbeiterzahl von 250 Personen nicht überschreiten. Kleine und mittelständische Firmen können sich von der Pflicht befreien lassen, sofern sie folgende Kriterien erfüllen:

  1. Die verarbeiteten Informationen bergen kein Risiko für die Betroffenen.
  2. Der Betrieb sammelt nur gelegentlich und nicht regelmäßig Daten.
  3. Die Inhalte beziehen sich auf Art. 9 Abs. 1 DSGVO oder Art. 10 DSGVO

Es ist jedoch sehr selten, dass jemand eine Befreiung erwirkt. Denn es genügt, wenn nur ein einziger Punkt auf Sie zutrifft und Sie müssen ein Verzeichnis der Verarbeitungstätigkeiten anfertigen. Zudem ist es unwahrscheinlich, dass ein Unternehmen keinerlei Daten sammelt. Beinahe jede Firma benutzt ein CRM- oder ERP-System. Hinzu kommt die Tatsache, dass Gehälter/Löhne an die Mitarbeiter gezahlt werden müssen. Sobald ein Betrieb Dienstleistungen bzw. Waren anbietet, verarbeitet er personenbezogene Daten. Es ist daher ziemlich unwahrscheinlich, eine Befreiung zu erhalten.

Welche Formalia gilt es zu beachten?

Relevant ist zunächst, wer das Dokument erstellt. Handelt es sich beispielsweise um den Datenschutzbeauftragten Ihres Unternehmens, muss sich dieser an Art. 30 Ab. 1 DSGVO halten. Diese Informationen dürfen demnach nicht fehlen:

  • Kontaktdaten des Verantwortlichen
  • Zweck der Verarbeitung
  • Datenkategorie
  • Betroffene Personen
  • Datenempfänger
  • Fristen zur Löschung
  • Technische & organisatorische Maßnahmen (Art. 32 Ab. 1 DSGVO)

Deutlich einfacher fällt das Dokument eines Auftragsverarbeiters aus. Dieser muss lediglich folgende Punkte mitteilen:

  • Kontaktdaten des Auftragsverarbeiters
  • Datenkategorie
  • Übermittlung an Drittländer
  • Technische & organisatorische Maßnahmen

Beide Parteien sind dazu verpflichtet, Ihr Verzeichnis der Verarbeitungstätigkeiten schriftlich oder elektronisch führen.

Welche Strafen drohen Ihnen bei einer Pflichtverletzung?

Wenn Sie Glück haben, erhalten Sie lediglich eine DSGVO-Abmahnung von den Aufsichtsbehörden. Dann wird Ihnen ein festgelegter Zeitraum vorgegeben, in welchem Sie Ihr Verzeichnis für Verarbeitungstätigkeiten anfertigen und vorweisen müssen. Im schlimmsten Fall jedoch müssen Sie ein Bußgeld bezahlen. Dieses bewegt sich normalerweise in einem Rahmen von max. 10 Mio. Euro bzw. 2 Prozent des Jahresumsatzes. Handelt es sich jedoch um einen groben Verstoß (meist wurden dann mehrere Vorgaben nicht eingehalten), dann kann die Strafe auf bis zu 20 Mio. Euro bzw. 4 Prozent des Jahresumsatzes erhöht werden.

  1. Ermitteln Sie, welche personenbezogenen Daten Sie bisher verarbeitet haben und welchem Zweck dies diente. In der Regel handelt es sich hierbei beispielsweise um die Kontaktdaten Ihrer Lieferanten, Informationen zu Ihren Mitarbeitern ebenso wie zu Ihren Kunden.
  2. Listen Sie alle Tools, Softwareprogramme und Plug-ins auf, die Sie in Ihrem Arbeitsalltag verwenden.
  3. Erstellen sie eine Übersicht darüber, welche Sicherheitsmaßnahmen Sie bisher durchgeführt haben. Das hilft Ihnen gleichzeitig dabei, eventuelle Lücken vor den Aufsichtsbehörden zu entdecken.
  4. Beziehen Sie auf jeden Fall alle Abteilungen und den Datenschutzbeauftragten mit ein.

Beginnen Sie mit Ihrem Verzeichnis der Verarbeitungstätigkeiten. Sensibilisieren Sie Ihre Mitarbeiter für dieses Thema. Nur so können Sie gewährleisten, dass jeder Verantwortliche seiner Dokumentationspflicht nachkommt.

Verzeichnis der Verarbeitungstätigkeiten – ein zentraler Bestandteil der Datenschutzgrundverordnung

Es bringt nicht nur mehr Transparenz in ein sehr unübersichtliches Thema. Gleichzeitig sorgt es für mehr Sicherheit auf beiden Seiten: Einerseits wissen Betroffene, dass jede Verarbeitung bis ins Detail dokumentiert werden muss. Ist dem nicht so oder werden unrechtmäßig personenbezogene Daten gesammelt, erfolgt ein Bußgeld. Andererseits hilft es aber auch Ihnen als Unternehmer, Ihrer Nachweispflicht nachzukommen. Im Fall der Fälle können Sie dank des Verzeichnisses der Verarbeitungstätigkeiten jederzeit belegen, dass Sie sich im rechtlichen Rahmen bewegen.