DSGVO-Wissen

Dokumentationspflicht: Das Verarbeitungsverzeichnis

Der Verantwortliche für die Verarbeitung personenbezogener Daten hat ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Diese Pflicht zur Führung eines Verarbeitungsverzeichnisses ergibt sich aus Artikel 30 DSGVO. Mit dem folgenden Beitrag wird Grundlagenwissen zu dieser Thematik vermittelt.

VVZ, Verarbeitungsverzeichnis, Verarbeitungstätigkeit
Quelle: iStock.com/AndreyPopov

Welche Unternehmen haben Verarbeitungsverzeichnis zu führen und wie ist dieses zu führen

Aus Artikel 30 Absatz 3 ergibt sich, dass ein Verarbeitungsverzeichnis schriftlich zu führen ist, aber Die Führung auch in einem elektronischen Format stattfinden darf. Zulässig ist demnach ein Verarbeitungsverzeichnis, dass anhand einer Datenschutzmanagement-Software im PDF-Format generiert wird. Eben diese Variante wird durch DATENDO umgesetzt.

Weitere Voraussetzungen sind Artikel 30 Absatz 5 DSGVO zu entnehmen. Danach gilt die Pflicht zur Führung eines Verarbeitungsverzeichnisses nicht für Unternehmen oder Einrichtungen die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Diese Formulierung wirkt auf den ersten Blick so, als hätten nur Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern ein Verarbeitungsverzeichnis zu führen. In der Praxis dürfte es jedoch so sein, dass auch in kleineren Unternehmen die allermeisten Verarbeitungen nicht nur gelegentlich stattfinden. Dies wiederum führt dazu, dass auch Unternehmen mit weniger als 250 Mitarbeitern in den allermeisten Fällen ein Verarbeitungsverzeichnis zu führen haben.

Die Pflicht zur Führung eines Verarbeitungsverzeichnisses trifft dann auch nicht nur den Verantwortlichen, sondern gemäß Artikel 30 Absatz 2 DSGVO auch jeden Auftragsverarbeiter im Hinblick auf alle Kategorien der von ihm im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung. Im Ergebnis dient ein Verarbeitungsverzeichnis zur Erfüllung der Dokumentationspflicht im Sinne der DSGVO.

Inhalt eines Verarbeitungsverzeichnisses

Mit einem Verarbeitungsverzeichnis werden die wesentlichen Angaben zur Verarbeitung personenbezogener Daten aufgeführt. Hierzu zählen der Name und die Kontaktdaten des Verantwortlichen sowie des etwaigen Datenschutzbeauftragten. Daneben ist der Zweck der Verarbeitung und eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten festzuhalten. Aus einem Verarbeitungsverzeichnis sind außerdem die Kategorien von Empfängern der personenbezogenen Daten zu entnehmen. Erfolgt eine Übermittlung der verarbeiteten personenbezogenen Daten in ein Drittland Komma ist auch dies im Verarbeitungsverzeichnis zu vermerken. Gleiches gilt für die vorgesehenen Fristen zur Löschung. Abschließend beinhaltet es auch nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Im Detail ergibt sich der Inhalt des Verarbeitungsverzeichnisses aus Artikel 30 Absatz 1 Satz 2 DSGVO.

Zweck eines Verarbeitungsverzeichnisses

Ein Verarbeitungsverzeichnis wird aus Gründen der Transparenz erstellt. Es dient als Nachweis, dass die Pflichten der DSGVO durch den Verantwortlichen eingehalten werden.

Einsicht in das Verarbeitungsverzeichnis durch die Aufsichtsbehörde

Auf Anfrage ist das Verarbeitungsverzeichnis der zuständigen Aufsichtsbehörde zur Einsicht zur Verfügung zu stellen.

➔ So einfach erfüllen Sie Ihre Datenschutz-Pflichten
➔ Testen Sie DATENDO für 14 Tage unverbindlich und kostenlos
Machen Sie Ihr Business DSGVO-konform.

Einfach loslegen mit Deutschlands beliebter Datenschutz-Lösung:

Externer Datenschutzbeauftragter
Datenschutz-Management-Software
Online-Mitarbeiterschulungen
Individuelle Datenschutzberatung
Jetzt mehr erfahren
Dokumentationspflicht: Das Verarbeitungsverzeichnis
Mit DATENDO erfüllen Sie ganz einfach Ihre DSGVO-Pflichten
Datenschutz, der Sie
nach vorne bringt.
Let’s DSGVgO!
Übersicht
Machen Sie Ihr Business DSGVO-konform. Einfach loslegen mit Deutschlands beliebter digitaler Datenschutz-Lösung.
DSGVO-Wissen
Externer Datenschutzbeauftragter
Ein Datenschutz-beauftragter ist mehr als bloße Pflichterfüllung
Mehr erfahren
DSGVO-Wissen
Datenschutz-Management-Software
My.DATENDO: Ihre Datenschutzpflichten digital erfüllen
Mehr erfahren
DSGVO-Wissen
DSGVO-Schulung für Mitarbeitende
Ihr Datenschutz ist nur so stark wie Ihre Mitarbeitenden
Mehr erfahren
DSGVO-Wissen
Individuelle Beratung
Individuelle Datenschutzfragen? Wir sind für Sie da.
Mehr erfahren
Dokumentationspflicht: Das Verarbeitungsverzeichnis
DATENDO kostenlos für
14 Tage ausprobieren.
Keine Installation erforderlich - direkt online losgelegen.
Keine versteckten Kosten. Testzeitraum endet automatisch. Keine Kündigung notwendig.

Einsicht in alle Funktionen:

  • Zugang zu unserer DSGVO-Management-Software My.DATENDO
  • Verbeitungsverzeichnis und TOM einfach als PDF generieren
  • Erste Einblicke ins DSGVO-Trainingscenter
  • Demo-Schulung für Mitarbeitende inkl. Zertifikat absolvieren
  • Exklusives E-Book zum Datenschutz von Prof. Dr. Paal
Jetzt 14 Tage kostenlos testen
Trustpilot
Bundesverband IT-Mittelstand e.V. Mitglied im GDD Wissenswertes zum Datenschutz in der EU Software hosted in Germany - DATENDO
Trustpilot
Bild Bild