Was ist überhaupt ein Verzeichnis der Verarbeitungstätigkeiten?
Das Verarbeitungsverzeichnis ist eine strukturierte Auflistung aller Verarbeitungstätigkeiten eines Unternehmens, bei denen personenbezogene Daten verarbeitet werden. Es hat zum Ziel, Transparenz über sämtliche Datenverarbeitungen zu schaffen.
Darüber hinaus ermöglicht es den Aufsichtsbehörden, jederzeit einen umfassenden Überblick über den Umgang mit personenbezogenen Daten zu erhalten.
Zudem fungiert das Verarbeitungsverzeichnis als zentrale Dokumentation im Unternehmen. Neben der Transparenz über den Datenumgang ist es ein zentrales Element der Rechenschaftspflichten gemäß Art. 5 Abs. 2 DS-GVO, die in der DSGVO festgelegt sind. Durch die Nachweis- und Dokumentationspflichten soll jede verantwortliche Stelle die Rechtmäßigkeit der Datenverarbeitung zu jeder Zeit nachweisen können.
Was enthält das Verarbeitungsverzeichnis?
Das Verarbeitungsverzeichnis umfasst alle Verarbeitungstätigkeiten personenbezogener Daten. Es gibt keine Begrenzung hinsichtlich der Anzahl der erfassten Vorgänge, und es können beliebig viele Prozesse dokumentiert werden. Innerhalb der einzelnen Prozesse werden die Schritte der Datenverarbeitung festgehalten. Einige Pflichtangaben, wie der Name und die Kontaktdaten des Verantwortlichen, können übergreifend verwendet werden, doch ein Großteil der Informationen muss für jede Verarbeitung individuell dokumentiert werden.
Wer muss ein Verarbeitungsverzeichnis führen?
Grundsätzlich ist jedes Unternehmen verpflichtet, ein Verarbeitungsverzeichnis zu führen. Diese Pflicht trifft gemäß Art. 30 Abs. 1 DSGVO jeden Verantwortlichen. Zusätzlich müssen laut Art. 30 Abs. 2 DSGVO auch Auftragsverarbeiter die im Rahmen ihrer Tätigkeit erfassten Datenverarbeitungen dokumentieren.
Für kleinere Unternehmen mit bis zu 250 Mitarbeitern gibt es gemäß Art. 30 Abs. 5 DSGVO jedoch Erleichterungen. Sie sind von der Pflicht zur Führung eines Verzeichnisses befreit, sofern die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, nicht regelmäßig, sondern nur gelegentlich erfolgt, und keine besonderen Datenkategorien (gemäß Art. 9 Abs. 1 DSGVO, z. B. Gesundheitsdaten) oder Informationen über strafrechtliche Verurteilungen und Straftaten (gemäß Art. 10 DSGVO) verarbeitet werden. In der Praxis fallen jedoch die meisten Unternehmen nicht unter diese Ausnahmeregelung, da allein die Verarbeitung von Beschäftigtendaten, etwa für die Lohnabrechnung, regelmäßig erfolgt.
In welcher Form ist das Verarbeitungsverzeichnis zu führen?
Das Verarbeitungsverzeichnis muss so detailliert erstellt werden, dass die Aufsichtsbehörde ohne großen Aufwand einen klaren Überblick über die verarbeiteten Daten, die Sicherheitsmaßnahmen und mögliche Restrisiken erhält. Gemäß Art. 30 Abs. 3 DSGVO kann das Verzeichnis entweder in schriftlicher oder elektronischer Form geführt werden.
Welche Bußgelder drohen bei fehlendem oder unvollständigem Verarbeitungsverzeichnis?
Wird das Verzeichnis der Verarbeitungstätigkeiten nicht erstellt oder ist es unvollständig, können hohe Bußgelder verhängt werden. Gemäß Art. 83 Abs. 4a DSGVO können diese bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens betragen. Bei Verstößen gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO können die Strafen sogar noch höher ausfallen.
Fazit: Sobald du deinen ersten Mitarbeiter oder deine erste Mitarbeiterin in deinem Unternehmen beschäftigst, bist du dazu verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen.