Verarbeitungsverzeichnis als grundsätzliche Pflicht, dass heißt: Die DSGVO verpflichtet in ihrem Artikel 30 alle Unternehmen, ein Verarbeitungsverzeichnis („Verzeichnis von Verarbeitungstätigkeiten“) zu erstellen. Das Verzeichnis dient folgerichtig dem Etablieren von datenschutzrechtlich relevanten Arbeitsroutinen.

Verarbeitungsverzeichnis nach Artikel 30 Abs. 1 DSGVO

In der betreffenden Passage der DSGVO heißt es sinngemäß, dass Verantwortliche für den Datenschutz und auch ihre Vertreter ein Verzeichnis sämtlicher Verarbeitungstätigkeiten in ihrer Zuständigkeit zu führen haben, § 30 Abs. 1 DSGVO. Es muss diese Angaben enthalten:

• Name und Kontaktdaten des Verantwortlichen, seiner Vertreter und gegebenenfalls eines benannten Datenschutzbeauftragten
• Zwecke der Datenverarbeitung
• Kategorien von betroffenen Personen und Daten
• Kategorien von Empfängern der Daten
• Übermittlungen von Daten an internationale Organisationen oder Drittstaaten
• Fristen für Datenlöschungen
• Beschreibung von organisatorischen und technischen Maßnahmen für den Datenschutz nach Artikel 32 DSGVO

Warum ist das Verzeichnis über die Verarbeitungstätigkeiten zu erstellen?

Mit dem Verarbeitungsverzeichnis können das Unternehmen und ein externer Prüfer schließlich alle Verarbeitungsvorgänge nachvollziehen. Die Verantwortlichen und Auftragsverarbeiter können jederzeit nachweisen, dass eine Verarbeitung der Daten nach den Vorgaben der DSGVO erfolgt. Nicht zuletzt ist das ordnungsgemäß geführte Verarbeitungsverzeichnis die Voraussetzung dafür, dass alle Stellen, die personenbezogene Daten verarbeiten, mit den Aufsichtsbehörden kooperieren können. Auf deren Anfrage müssen sie das Verarbeitungsverzeichnis vorlegen, damit die Verarbeitungsvorgänge nachvollzogen werden können.

Diese Anforderung folgt dem „Transparenzgebot“ der DSGVO. Aufzuführen sind in dem Verzeichnis daher alle Verarbeitungen von personenbezogenen Daten, die gespeichert werden. Für jede Verarbeitungstätigkeit ist insofern eine neue Beschreibung anzufertigen. Wenn also bereits bekannte personenbezogene Daten für einen neuen Zweck verarbeitet werden, führt dies zu einem neuen Vorgang mit einer neuen Notiz. Ein Beispiel ist für einen Webshopbetreiber die Anlage eines Kundenkontos, bei dem die Daten des Kunden gespeichert werden (Vorgang Nummer 1) und die Weitergabe dieser Daten an einen Paketzusteller (Vorgang Nummer 2). Beide Vorgänge sind separat zu notieren, obgleich es sich um dieselben Daten handelt.

Wer sind die „Verantwortlichen“?

Verantwortliche, die dieses Verzeichnis pflichtgemäß führen müssen, sind Inhaber von Firmen, Leiter von Behörden, Vereine und natürliche Personen, wenn sie personenbezogene Daten verarbeiten. Eine weitere Gruppe sind die sogenannten Auftragsverarbeiter nach Artikel 4 Nummer 8 der Datenschutzgrundverordnung. Das sind Firmen, die für andere personenbezogene Daten verarbeiten. Die Verantwortlichen werden diese Aufgabe natürlich intern delegieren, jedoch ist dafür nicht der Datenschutzbeauftragte zuständig.

Lässt die Pflicht zum Führen eines Verarbeitungsverzeichnisses Ausnahmen zu?

Ja, es kann Ausnahmen geben, die eng umschrieben sind. Sie ergeben sich quasi im Umkehrschluss aus denjenigen Bedingungen laut DSGVO, die das Verarbeitungsverzeichnis vorschreiben. Wenn keine dieser Bedingungen zutrifft, muss es nicht geführt werden. Als Vorgriff auf die nachfolgenden Punkte sei das Beispiel genannt, dass ein Verein oder eine Privatperson, aber vielleicht auch eine Minifirma die betreffenden Daten, die bagatellhaft (risikofrei und nicht kompromittierend) sind, nur äußerst selten oder gar nur einmalig verarbeiten. Dann würde die Pflicht zum Führen des Verarbeitungsverzeichnisses entfallen. Geführt werden muss es auf jeden Fall, wenn nur einer der nachfolgenden Punkte zutrifft, welche der Artikel 30 Absatz 5 Datenschutzgrundverordnung nennt:

• Das Unternehmen, die Behörde oder der Verein beschäftigen kurz gesagt 250 oder mehr Mitarbeiter.
• Die Datenverarbeitung birgt entweder ein juristisches oder ein geschäftliches Risiko für die betroffenen Personen. Solche Risiken sind entweder  Bonitätsscoring- oder Betrugspräventionsverfahren und auch die Videoüberwachung.
• Besonders sensible Daten sind Gegenstand der Verarbeitung. Das wären beispielsweise die sexuelle Orientierung und die Religionszugehörigkeit.
• Die personenbezogenen Daten beziehen sich entweder auf Straftaten und/oder auf strafrechtliche Verurteilungen.
• Die Verarbeitung erfolgt regelmäßig, und insofern nicht einmalig oder nur gelegentlich.

Freelancer und sehr kleine Unternehmen oder Vereine sowie Privatpersonen sind häufig sehr unsicher, ob eine der Voraussetzungen zutrifft. Hier ist eine professionelle Beratung sehr zu empfehlen. Ein Streitpunkt könnte beispielsweise die Unterscheidung zwischen gelegentlicher und regelmäßiger Datenverarbeitung sein. Als gelegentliche Datenverarbeitung sind seltene Datenspeicherungen in großen Zeitabständen anzusehen, aber auch Datenspeicherungen, die unvorhersehbar erfolgen. Als regelmäßige Datenverarbeitung bezeichnet man schließlich Speicherungen, die fortlaufend und regelmäßig innerhalb bestimmter Zeiträume erfolgen.

Formelle Anforderungen

Das Verzeichnis ist in der Landessprache zu erstellen und schriftlich, gedruckt oder digital zu speichern. Die Speicherung muss auf jeden Fall sicher sein. Änderungen sind schließlich in einer Änderungshistorie festzuhalten. Inhaltlich sind nach Artikel 30 Absatz 1 Satz 2 der DSGVO die Kontaktdaten und Namen des Verantwortlichen und seines Datenschutzbeauftragen festzuhalten, des Weiteren die Zwecke der Verarbeitung, die oben genannten Kategorien von Betroffenen, Daten und Empfängern, die Übermittlungen an Drittstaaten oder internationale Organisationen sowie die technischen und organisatorischen Schutzmaßnahmen. Diese Vorschriften gelten für Verantwortliche ebenso wie für Auftragsverarbeiter.

Checkliste für ein Verarbeitungsverzeichnis

Damit das Verarbeitungsverzeichnis den Vorschriften der DSGVO entspricht, empfiehlt sich daher das Vorgehen nach dieser Checkliste, die einen Überblick bietet:

• Nutzt die eigene Organisation Auftragsverarbeitungsverträge?
• Mit welchen Anwendungen erfolgt die Verarbeitung personenbezogene Daten?
• Entsprechen die eigenen Dokumentationssysteme den technischen Anforderungen der DSGVO?
• Erfolgt eine Datenübertragung in Drittländer?
• Wie oft werden Daten verarbeitet?
• Um welche Daten handelt es sich?
• Wer soll das Verzeichnis führen?
• Welche Kategorien sind relevant?
• Folge von Verstößen gegen die Verzeichnispflicht

Die Datenschutzgrundverordnung sieht bei Verstößen Geldbußen infolgedessen bis zu zehn Millionen Euro oder bis zu zwei Prozent des Vorjahresumsatzes vor. Daher sollten Verantwortliche dieser Pflicht unbedingt nachkommen und auch die Vorteile des Verzeichnisses für das eigene Unternehmen beachten. Es verschafft ihnen viel Übersicht und hilft dadurch, alle Vorgänge mit Datenbezug DSGVO-konform abzuwickeln. Die Datenschutzgrundverordnung verpflichtet Organisationen oder Personen ohnehin dazu, Verarbeitungszwecke darzulegen, die Rechtmäßigkeit der Datenverarbeitung zu begründen, den Nachweis der Datenminimierung zu führen, Daten richtig und aktuell zu speichern, die Betroffenenrechte darzulegen sowie die technische und organisatorische Sicherheit nachzuweisen. All das ist im genannten Verzeichnis enthalten. Der Datenschutzbeauftragte erhält damit eine ausgezeichnete Arbeitsbasis und kann unter anderem evaluieren, ob eine Datenschutzfolgenabschätzung erforderlich ist. Daher ist das Verzeichnis im Grunde nützlich und sollte nicht als zusätzliche Belastung betrachtet werden.