Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten ist eine gesetzlich vorgeschriebene Übersicht über alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Die gesetzlich vorgeschriebene Übersicht gibt es nicht erst seit Gültigkeit der DS-GVO, sondern sie war bereits nach dem Bundesdatenschutzgesetz (BDSG) zu führen. Damals hieß die Übersicht aber nicht Verzeichnis der Verarbeitungstätigkeiten, sondern Verfahrensverzeichnis, und war inhaltlich nicht so umfangreich wie das jetzige Verzeichnis der Verarbeitungstätigkeiten.

Verzeichnis der Verarbeitungstätigkeiten – mehr als eine gesetzliche Pflicht

Die Erstellung dieses Verzeichnisses ist nicht nur nach Art. 30 DS-GVO gesetzlich verpflichtend, sondern es handelt sich beim Verzeichnis der Verarbeitungstätigkeiten auch um das zentrale Dokument der Datenschutzdokumentation im Unternehmen. Das Verzeichnis der Verarbeitungstätigkeiten dient dem Nachweis der Zulässigkeit der Verarbeitung personenbezogener Daten und der Einhaltung der gesetzlichen Bestimmungen. Nur wenn Unternehmen wissen, an welchen Stellen sie welche personenbezogene Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten, können sie gewährleisten, dass alle Vorgaben der DS-GVO eingehalten werden.

Verzeichnis der Verarbeitungstätigkeiten – was muss angegeben werden?

Das Verzeichnis der Verarbeitungstätigkeiten ist damit eine schriftliche Dokumentation jedes einzelnen Verfahrens im Unternehmen, bei dem personenbezogene Daten in irgendeiner Art verarbeitet werden. Es ist exakt darzulegen, was genau mit welchen Daten passiert, das heißt beispielsweise, welche personenbezogenen Daten und welche Personen betroffen sind, wer Zugriff auf diese Daten hat und zu welchem Zweck sie verarbeitet werden. Zudem muss angegeben werden, mit welcher Frist gespeicherte und aufbewahrte Daten gelöscht beziehungsweise vernichtet werden und mit welchen technischen und organisatorischen Maßnahmen die Daten geschützt werden.

Aufgrund dieser gebündelten Menge an unterschiedlichsten Informationen zählt die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten zu den aufwendigsten Aufgaben bei der Umsetzung der DS-GVO. Das Verzeichnis der Verarbeitungstätigkeiten kann nicht allein von einer Person erstellt und gepflegt werden, da einerseits Detailwissen über die exakten Abläufe innerhalb der Verfahren und andererseits datenschutzspezifisches Wissen über die Konsequenzen des Wie der jeweiligen Verarbeitung sowie zur Beurteilung der Risiken und notwendigen Schutzmaßnahmen erforderlich ist.

Regelmäßige Aktualisierung notwendig

Wichtig ist, dass das Verzeichnis der Verarbeitungstätigkeiten nach der erstmaligen Erstellung regelmäßig angepasst und aktualisiert wird. Prozesse in Unternehmen ändern sich immer wieder oder es kommen neue hinzu, weshalb das Verzeichnis der Verarbeitungstätigkeiten dementsprechend zu aktualisieren und auf den neuesten Stand zu bringen ist. Die gesetzliche Pflicht besteht nicht nur in der Erstellung, sondern auch in der Fortführung des Verzeichnisses.
Entspricht das Verzeichnis der Verarbeitungstätigkeiten den gesetzlichen Anforderungen des Art. 30 DS-GVO nicht, hat ein Unternehmen gar kein Verzeichnis erstellt. Stellt das Unternehmen der Aufsichtsbehörde das Verzeichnis nicht vollständig bereit, kann dies die Verhängung eines Bußgeldes durch die zuständige Aufsichtsbehörde zur Folge haben.