Wann werden Verarbeitungsverzeichnisse benötigt?

In Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) steht:

(1)Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a)den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b)die Zwecke der Verarbeitung;

c)eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d)die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e)gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f)wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g)wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und auch jeder Auftragsverarbeiter zur Erstellung und Führung eines Verfahrensverzeichnisses verpflichtet.

Ausnahmen: Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern, es sei denn: Die verantwortliche Stelle /Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch, die

•ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören

      regelmäßig Fälle von Scoring und Überwachungsmaßnahmen) oder

•die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Kunden- oder

       Beschäftigtendaten) oder

•die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betreffen.

Das Vorliegen einer der Fallgruppen reicht, um ein solches Verzeichnis führen zu müssen à sehr viele Unternehmen.

Auch die DSK stellt deshalb fest:

Da „jedes Risiko für die Rechte und Freiheiten bezüglich der Verarbeitung zu betrachten ist, wird vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten sein“, siehe Kurzpapier Nr. 1 der DSK

So kann ein Verarbeitungsverzeichnis beispielsweise aussehen:

Praxishilfen des BayLDA

Stand: 26.10.2022