Was ist eigentlich ein Verarbeitungsverzeichnis?

Inhaltsverzeichnis

Verarbeitungsverzeichnis? Noch nie gehört.

Kurzeinführung

Das „Verzeichnis von Verarbeitungstätigkeiten“ – auch Verarbeitungsverzeichnis genannt – ist in Art. 30 DS-GVO (Datenschutz-Grundverordnung) geregelt. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen danach ein „Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen“. 

Jeder der personenbezogene Daten verarbeitet – und damit sicherlich jedes Unternehmen, sei es auch noch so klein – hat folglich im Grundsatz ein solches Verarbeitungsverzeichnis zu führen. Das Verarbeitungsverzeichnis ist nicht mit der Datenschutzerklärung zu verwechseln. Es handelt sich bei dem Verarbeitungsverzeichnis um ein Dokument, welches schriftlich oder im elektronischen Format zu führen ist und einen von der DS-GVO fest vorgegebenen Inhalt haben muss. 

Inhalt des Verarbeitungsverzeichnisses

Der verpflichtende Inhalt des Verarbeitungsverzeichnisses ergibt sich aus Art. 30 Absatz 1 Satz 2 DS-GVO:

  1. a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. b) die Zwecke der Verarbeitung;
  3. c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Wozu benötigt man ein Verarbeitungsverzeichnis?

Die Aufsichtsbehörden – also die Datenschutzbehörden der Länder – können das Verarbeitungsverzeichnis von dem verantwortlichen Unternehmer anfordern. Auf diese Anforderung hin, hat der verantwortliche Unternehmer der Datenschutzbehörde das Verarbeitungsverzeichnis zur Verfügung zu stellen. Mit Hilfe des Verarbeitungsverzeichnisses, kann die Datenschutzbehörde dann eine vorläufige Datenschutzprüfung durchführen oder Sie als Ausgangspunkt der weiteren Prüfung verwenden.

Mögliche Sanktionen nach der DS-GVO

Wer der Datenschutzbehörde kein Verarbeitungsverzeichnis vorlegen kann, wird mit empfindlichen Geldbußen rechnen müssen. 

Gemäß Art. 83 Absatz 4 Buchstabe a) DS-GVO drohen bei Verstößen Geldbußen von bis zu        10 000 000  Euro oder – wenn der Verantwortliche Unternehmer ist – Geldbußen von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Fazit

Es lohnt sich für jeden Unternehmer, sich mit dem Verarbeitungsverzeichnis zu beschäftigen. Nur so lassen sich böse Überraschungen vermeiden. Wer bei der Anfrage durch die Datenschutzbehörden kein Verarbeitungsverzeichnis vorlegen kann, wird wohl bei der Datenschutzprüfung schlechte Karten haben. 

Dejan Steger
Dejan Steger

Der Autor Dejan Steger ist Rechtsanwalt und Unternehmer und führt die Kanzlei Stegerrecht.

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.