Warum du ein Verarbeitungsverzeichnis für den Datenschutz in deinem Unternehmen benötigst

Das Verarbeitungsverzeichnis – oder auch Verzeichnis der Verarbeitungstätigkeiten – ist der Dreh- und Angelpunkt deines Datenschutzmanagementsystems. Was es damit auf sich hat, erklären wir im folgenden Artikel.

Was ist ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis ist eine Art Datenbank oder Dokument, das alle wichtigen Informationen über die Verarbeitung personenbezogener Daten in deinem Unternehmen enthält. Es umfasst Details wie die Art der Daten, die Zwecke der Verarbeitung, die betroffenen Personen, Empfänger der Daten und geplante Datenübermittlungen an Drittländer.

Warum ist ein Verarbeitungsverzeichnis notwendig?

Grundsätzlich ist nahezu jedes Unternehmen verpflichtet, ein Verarbeitungsverzeichnis zu führen (Art. 30 DS-GVO). Ganz unabhängig davon, hilft dir das Verarbeitungsverzeichnis aber auch das Thema Datenschutz in deinem Unternehmen im Blick zu behalten.

Transparenz und Nachvollziehbarkeit

Indem du ein Verarbeitungsverzeichnis erstellst, erhältst du einen klaren Überblick darüber, wie personenbezogene Daten in deinem Unternehmen verarbeitet werden. Das ermöglicht nicht nur dir selbst, sondern auch den Datenschutzbehörden und den betroffenen Personen, Transparenz und Nachvollziehbarkeit zu gewährleisten. Es zeigt, dass du die Verarbeitungstätigkeiten in deinem Unternehmen im Griff hast und verantwortungsvoll handelst.

Rechenschaftspflicht erfüllen

Als Unternehmensinhaber bist du gemäß der Datenschutz-Grundverordnung (DSGVO) dazu verpflichtet, nachzuweisen, dass du die Datenschutzgrundsätze einhältst. Das Verarbeitungsverzeichnis ist ein wichtiges Dokument, das du bei Datenschutzkontrollen vorlegen kannst, um die Einhaltung der Vorschriften nachzuweisen. Es zeigt, dass du dich mit den Datenschutzanforderungen auseinandergesetzt hast und Maßnahmen ergriffen hast, um die Privatsphäre der Personen, deren Daten du verarbeitest, zu schützen.

Risikobewertung und Datenschutz-Folgeabschätzung

Ein Verarbeitungsverzeichnis hilft dir dabei, Datenschutzrisiken zu identifizieren und zu bewerten. Du kannst potenzielle Schwachstellen erkennen und angemessene Schutzmaßnahmen ergreifen, um diese Risiken zu minimieren. Zudem ermöglicht dir das Verzeichnis die Durchführung von Datenschutz-Folgeabschätzungen, um mögliche Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen zu bewerten. Dadurch zeigst du, dass du die Risiken im Blick hast und aktiv daran arbeitest, Datenschutzverletzungem zu vermeiden.

Zusammenarbeit mit Auftragsverarbeitern

Wenn du Auftragsverarbeiter in Anspruch nimmst, ist es wichtig, eine klare Kommunikation über die Verarbeitungstätigkeiten zu haben. Das Verarbeitungsverzeichnis erleichtert die Zusammenarbeit, da du alle relevanten Informationen zur Verfügung stellen kannst. Dadurch stellst du sicher, dass auch die Auftragsverarbeiter die Anforderungen des Datenschutzes erfüllen und deine Daten sicher verarbeiten.

Das Verarbeitungsverzeichnis ist keine Einmalveranstaltung!

Einmal erstellt, musst du das Verarbeitungsverzeichnis pflegen! Das fortlaufende Pflegen des Verarbeitungsverzeichnisses ist von großer Bedeutung, um den Datenschutz in deinem Unternehmen kontinuierlich zu gewährleisten und den sich ändernden Anforderungen gerecht zu werden.

Aktualität und Richtigkeit der Informationen:

Die Datenverarbeitung in einem Unternehmen ist einem ständigen Wandel unterworfen. Neue Verarbeitungstätigkeiten können hinzukommen, bestehende Prozesse können sich ändern, und es können neue Empfänger oder Datenübermittlungen an Drittländer entstehen. Durch regelmäßige Aktualisierungen stellst du sicher, dass das Verarbeitungsverzeichnis immer die aktuellen und korrekten Informationen enthält.

Einhaltung der Rechenschaftspflicht

Die DSGVO legt großen Wert auf die Rechenschaftspflicht der Verantwortlichen. Das bedeutet, dass du nachweisen musst, dass du die Datenschutzgrundsätze einhältst. Durch die fortlaufende Pflege des Verarbeitungsverzeichnisses zeigst du, dass du aktiv daran arbeitest, die Verarbeitung personenbezogener Daten transparent und nachvollziehbar zu gestalten. Dies erleichtert es dir, den Nachweis über die Einhaltung der Vorschriften zu erbringen, wenn es zu Datenschutzkontrollen kommt.

Datenschutz-Folgeabschätzung und Risikobewertung

Die regelmäßige Aktualisierung des Verarbeitungsverzeichnisses ermöglicht es dir, Datenschutz-Folgeabschätzungen durchzuführen und Datenschutzrisiken zu bewerten. Wenn sich die Verarbeitungstätigkeiten ändern, kannst du die potenziellen Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen analysieren und geeignete Schutzmaßnahmen ergreifen.

Veränderungen in der Organisation und der Auftragsverarbeitung

Unternehmen sind einem ständigen Wandel unterworfen. Es können sich organisatorische Veränderungen ergeben, wie Umstrukturierungen, Fusionen oder Veränderungen in der Auftragsverarbeitung. Durch die fortlaufende Pflege des Verarbeitungsverzeichnisses kannst du sicherstellen, dass diese Veränderungen erfasst und angemessen dokumentiert werden, um die Einhaltung des Datenschutzes auch in neuen Situationen zu gewährleisten.

Vertrauen der betroffenen Personen

Die fortlaufende Pflege des Verarbeitungsverzeichnisses zeigt, dass du den Schutz der personenbezogenen Daten ernst nimmst und verantwortungsbewusst handelst. Dies kann das Vertrauen deiner Kunden und Mitarbeiter stärken, da sie sehen, dass du dich um den Schutz ihrer Daten kümmerst.

Neuerungen und Veränderungen immer abklären

Sobald du einen neuen Prozess in deinem Unternehmen etablierst oder einen bestehenden Prozess änderst, solltest du genau prüfen, ob hier eine Anpassung des Verarbeitungsverzeichnisses notwendig wird.
Das gilt im Prinzip bei jeder Einführung eines neuen oder Änderung eines bestehenden Prozesses. Wenn du z. B. einen neuen Prozess zur Mitarbeitergewinnung einführst und hierzu eine neue Software einsetzt, kann das eine Anpassung des Verarbeitungsverzeichnisses erforderlich machen.

Wie granular muss es sein?

Das Verarbeitungsverzeichnis sollte ausreichend granular sein, um einen detaillierten Überblick über die Verarbeitung personenbezogener Daten in deinem Unternehmen zu geben. Die DSGVO selbst gibt keine Vorgaben, wie granular das Verzeichnis sein muss.

Ein zu allgemeines Verzeichnis könnte als unzureichend angesehen werden, während ein zu detailliertes Verzeichnis möglicherweise zu übermäßigem Verwaltungsaufwand führen könnte.

Ich denke, eine einfache Gliederung in Abteilungen wäre zu grob. Auch das haben wir aber schon gesehen. Wenn du also Verarbeitungstätigkeit nur Marketing, Personal usw. aufnimmst, wird das kaum ausreichen. Hier solltest du schon noch ein wenig detaillierter werden. Als Faustregel würde ich sagen, dass alles aufgenommen werden sollte, was für sich betrachtet ein eigener Prozess ist. Dabei würde ich im Bereich Personal etwa die Personalakte, Zeiterfassung und das Bewerbermanagement als eigene Verarbeitungen erfassen. Viel mehr würde ich dann aber nicht in die Tiefe gehen. Das Verarbeitungsverzeichnis sollt am Ende auch ein Handwerkszeug sein, um dir einen Überblick über die Datenverarbeitung zu ermöglichen.

Wo ist das Verarbeitungsverzeichnis gesetzlich geregelt?

Die gesetzlichen Regelungen zum Verarbeitungsverzeichnis finden sich in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Im Speziellen ist dies im Artikel 30 der DSGVO festgelegt.

Artikel 30 DSGVO legt fest, dass sowohl Verantwortliche als auch Auftragsverarbeiter ein Verzeichnis ihrer Verarbeitungstätigkeiten führen müssen. Das Verzeichnis sollte alle relevanten Informationen enthalten, die zur Erfüllung der Rechenschaftspflicht und zur Transparenz der Datenverarbeitung erforderlich sind.

Was gehört alles ins Verarbeitungsverzeichnis?

Die DSGVO schreibt vor, dass das Verarbeitungsverzeichnis folgende Informationen enthalten muss:

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Auftragsverarbeiters sowie des Datenschutzbeauftragten.
  • Zwecke der Verarbeitung: Eine Beschreibung der Zwecke, für die die personenbezogenen Daten verarbeitet werden.
  • Kategorien betroffener Personen: Eine Aufstellung der Kategorien von Personen, deren Daten verarbeitet werden.
  • Kategorien personenbezogener Daten: Eine Liste der Kategorien personenbezogener Daten, die verarbeitet werden.
  • Empfänger oder Kategorien von Empfängern: Eine Auflistung der Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden können.
  • Geplante Datenübermittlungen an Drittländer: Angabe, ob beabsichtigt ist, personenbezogene Daten an Drittländer oder internationale Organisationen zu übermitteln.
  • Angemessene technische und organisatorische Maßnahmen: Eine Beschreibung der Maßnahmen, die ergriffen wurden, um die Sicherheit der Verarbeitung zu gewährleisten.
  • Aufbewahrungsfristen: Angabe der vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.

Muss ich das Verarbeitungsverzeichnis öffentlich machen oder an Dritte weitergeben?

Nein! Das Verarbeitungsverzeichnis muss weder öffentlich zugänglich gemacht werden, noch an Dritte weitergegeben werden. Das Verarbeitungsverzeichnis dient in erster Linie dir als Kompass für die Datenverarbeitung in deinem Unternehmen.

Die einzige Ausnahme besteht bei der Datenschutzbehörde: Das Verarbeitungsverzeichnis muss auf Anfrage den Aufsichtsbehörden zur Verfügung gestellt werden, um die Einhaltung der Datenschutzvorschriften zu überprüfen.

Was passiert, wenn ich kein Verarbeitungsverzeichnis führe?

Wenn du als Verantwortlicher oder Auftragsverarbeiter kein Verarbeitungsverzeichnis führst oder die erforderlichen Informationen nicht richtig dokumentierst, drohen Geldbußen. Diese können bis zu 10 000 000 EUR oder von bis zu 2 % deines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist.

Unabhängig davon will die Datenschutzbehörde bei einem „Besuch“ in der Regel als Erstes das Verarbeitungsverzeichnis sehen. Wenn hier schon die ersten Probleme auftauchen, wird sich das kaum positiv auf die weitere Stimmung der Datenschutzbehörde auswirken.

Fazit

Ein Verarbeitungsverzeichnis ist ein unverzichtbares Instrument für den Datenschutz in deinem Unternehmen. Es hilft dir, den Überblick über die Verarbeitung personenbezogener Daten zu behalten, die Rechenschaftspflicht zu erfüllen, Datenschutzrisiken zu bewerten und die Zusammenarbeit mit Auftragsverarbeitern zu erleichtern. Es zeigt, dass du den Schutz der Privatsphäre deiner Kunden und Mitarbeiter ernst nimmst und die Anforderungen der DSGVO erfüllst.

Also leg am besten gleich los und erstelle dein Verarbeitungsverzeichnis. Es wird dir helfen, den Datenschutz in deinem Unternehmen effektiv zu gewährleisten und das Vertrauen deiner Kunden zu stärken.

Happy Birthday, DS-GVO: Fünf Jahre, fünf Kerzen und fünfhundert GrauzonenDatenverarbeitung in USA und durch US-Unternehmen - Update Datenschutz 23006