Was muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden?

Mögliches Szenario – Unternehmen bewirbt sich für ein Qualitätsaudit

Um sich zertifizieren zu lassen, müssen Unternehmen einen Auditprozess unterlaufen. Teilweise werden hierfür Dokumente vorab an die auditierende Stelle übersandt (z.B. für Managementsysteme ISMS und QMS). Eine solche Auditierung findet jährlich statt, wobei die Kategorien betroffener Personen in der Regel speziell die Mitarbeiter umfassen.

Der Zertifizierungsprozess selbst berührt jedoch zumeist auch personenbezogene Daten und schließlich ist die auditierende Stelle eine dritte Partei, die über eine Vertragsbeziehung Einblick in Unternehmensinterna enthält.

Der zwingende Inhalt des Verzeichnisses der Verarbeitungstätigkeiten für einen Verantwortlichen ist in Art. 30 Abs. 1 DSGVO festgelegt:

(1) 1Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. 2Dieses Verzeichnis enthält sämtliche folgenden Angaben:

(a)   den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie  

        etwaigen Datenschutzbeauftragten;

(b)   die Zwecke der Verarbeitung;

(c)   eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

(d)die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

(e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des 

        betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen            

        die Dokumentierung geeigneter Garantien;

(f)   wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

(g)wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Erwägungsgrund 82 wiederholt die in Art. 30 DSGVO niedergelegten Pflichten des Verantwortlichen und des Auftragsverarbeiters.

Inwieweit muss die Tatsache, dass ein Auditor Einsicht in Dokumente erhält, die personenbezogene Daten enthalten, im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden?

Eine Ausnahme vom Führen eines Verzeichnisses der Verarbeitungstätigkeit sieht Art. 30 Abs. 5 DSGVO für Kleinstunternehmen und KMUs unter gewissen Voraussetzungen vor:

(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Dies wird in Satz 3 des 13. Erwägungsgrundes bestätigt.

Ergebnis:

Ja, auch Audis sollten in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen werden.

Die Übermittelung von personenbezogenen Daten an die auditierende Stelle ist ein Verarbeitungsprozess nach Art. 4 Nr. 2 DSGVO. Als solcher ist er nach Art. 30 Abs. 1 S. 1 DSGVO in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.

Die auditierende Stelle ist Empfänger nach Art. 4 Nr. 9 DSGVO.

Das Verzeichnis der Verarbeitungstätigkeiten sollte, soweit noch nicht geschehen, angepasst werden.
Gegebenenfalls änderungsbedürftige Abschnitte im Verzeichnis sind:

Stand: 19.10.2022