Was ist ein Verarbeitungsverzeichnis und wie erstelle ich es?
Datenschutzpraxis
19. Mai 2020

Was ist ein Verarbeitungsverzeichnis und wie erstelle ich es?

Rechtsanwältin K. Kirchert, LL.M. Profilbild
Rechtsanwältin K. Kirchert, LL.M.

Auf Nachfrage einer Datenschutz-Aufsichtsbehörde muss der Verantwortliche die Einhaltung der Grundsätze der DSGVO im Rahmen seiner gesetzlich vorgegebenen Rechenschaftspflicht nachweisen. Aus diesem Umstand ergeben sich weitreichende Dokumentationspflichten. Dazu zählt zum Beispiel die Anfertigung eines Verarbeitungsverzeichnisses mit einer aktuellen Übersicht der einzelnen Verarbeitungstätigkeiten, die im Unternehmen oder Verein durchgeführt werden.

Unter dem alten Bundesdatenschutzgesetz (BDSG) und vor Einführung der DSGVO hieß diese Übersicht Verfahrensverzeichnis. Ab und zu liest man diesen Begriff auch noch, im Grunde ist damit aber das Gleiche gemeint, also eine Übersicht über die Datenverarbeitung im Unternehmen bzw. Verein.

Die DSGVO gibt vor, welche Informationen in einem Verarbeitungsverzeichnis enthalten sein müssen:

Neben der Bezeichnung der einzelnen Verarbeitungstätigkeiten zählen dazu insbesondere Angaben zum Zweck der Verarbeitung, zur Rechtsgrundlage und zu den von der Verarbeitung betroffenen Personen. Die Verarbeitung darf nur zu klar bestimmten und erlaubten Zwecken erfolgen, die vorher vom Verantwortlichen festgelegt werden müssen. Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommen zum Beispiel ein Vertrag, eine Einwilligung der betroffenen Person oder ein berechtigtes Interesse des Verantwortlichen in Betracht.

Zu den weiteren Angaben, die ein Verarbeitungsverzeichnis gehören, zählen zum Beispiel die möglichen Empfänger und die Speicherdauer der jeweiligen personenbezogenen Daten und ein Verweis auf die im Einzelfall getroffenen technischen und organisatorischen Maßnahmen (TOMs) zum Schutz dieser Daten.

Im Fall einer Prüfung des Verarbeitungsverzeichnisses durch eine Aufsichtsbehörde muss diese in der Lage sein, alle für die Überprüfung notwendigen Angaben aus dem Verzeichnis zu entnehmen. Besonderes Augenmerk ist daher auf eine möglichst übersichtliche Erstellung des Verarbeitungsverzeichnisses zu legen. Dieses Vorgehen hilft aber nicht nur der Aufsichtsbehörde bei ihrer Prüfung, sondern auch dem Unternehmen oder Verein selbst, da für das Erstellen eines solchen Verzeichnisses eine Art von Daten-Inventur nötig ist, die klar aufzeigt, wo zum Beispiel überflüssige Daten gesammelt und gespeichert werden.

Das Verarbeitungsverzeichnis kann auf verschiedene Arten erstellt werden, weder die DSGVO noch das neue BDSG schreiben dafür eine besondere Form vor.

Möglich ist die Nutzung von Vorlagen im PDF- oder Word-Format, die von den Aufsichtsbehörden bereitgestellt werden. Der Vorteil hierbei ist, dass ein damit erstelltes Verarbeitungsverzeichnis im Regelfall alle von der DSGVO und den Behörden geforderten Informationen enthält. Die Vorlagen haben jedoch den Nachteil, dass man für jede einzelne Verarbeitungstätigkeit ein separates Dokument anlegen muss. Das mag bei einem kleinen Handwerksbetrieb noch machbar sein, jedoch wird ein solches Verarbeitungsverzeichnis auch schnell sehr umfangreich und damit unübersichtlich. Das kann im Anschluss jedoch zu Problemen bei der Aktualisierung von einzelnen Verarbeitungstätigkeiten führen, da womöglich viel Zeit für die Suche nach dem richtigen Dokument benötigt wird.

Das Datenschutztool von dacoto bietet daher eine alternative Möglichkeit zur Erstellung eines Verarbeitungsverzeichnisses:

Die Eingabe der einzelnen Verarbeitungstätigkeiten erfolgt größtenteils über eine Maske mit bereits vorgegebenen Antwortmöglichkeiten, so dass die jeweils passenden Angaben nur noch bestätigt werden müssen. Eine Vielzahl von gängigen Verarbeitungstätigkeiten ist bereits als Vorlage hinterlegt, so dass das Verarbeitungsverzeichnis im Regelfall mit wenig Zeitaufwand erstellt werden kann.

Für individuelle Verarbeitungstätigkeiten bietet dacoto die Möglichkeit, ein Dokument mit Freitext-Eingabe bei den jeweiligen Feldern anzulegen, das dann je nach Bedarf ausgefüllt werden kann. Die Nutzer werden über eine systematische Abfrage durch das Dokument geführt. Als zusätzliche Hilfestellung werden bei den einzelnen Feldern Hinweistexte eingeblendet, um zu verdeutlichen, welche Angabe im jeweiligen Feld notwendig ist.

Das so erstellte Verarbeitungsverzeichnis kann im Anschluss als PDF heruntergeladen und lokal gespeichert werden. Falls sich im Laufe der Zeit Änderungen bzw. Neuerungen bei den Verarbeitungsvorgängen ergeben, kann das Verzeichnis natürlich jederzeit angepasst und somit aktuell gehalten werden.

Kurz und knapp
  • icon=
    Das Verarbeitungsverzeichnis dient der Erfüllung der Dokumentationspflichten aus der DSGVO, die nahezu jedes Unternehmen und jeder Verein einhalten muss.
  • icon=
    Die Form des Verarbeitungsverzeichnisses ist gesetzlich nicht festgeschrieben.
  • icon=
    Ein Datenschutztool wie dacoto unterstützt bei der Erstellung des Verarbeitungsverzeichnisses durch zahlreiche Vorlagen und systematische Abfragen.
  • icon=
    Das Verarbeitungsverzeichnis ist regelmäßig zu überprüfen und stets auf dem aktuellen Stand zu halten.
Icon