Verarbeitungsverzeichnis Art. 30 DSGVO - gratis Tipps und Beispiele

Schritt für Schritt Anleitung und Beispiele für Verzeichnisse für Verarbeitungstätigkeiten nach Art. 30 DSGVO

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass datenschutzrechtliche Umsetzungen und Maßnahmen zu dokumentieren sind. Neben vielen ungeschriebenen Dokumentationspflichten enthält die DSGVO auch einige allgemeine Pflichten, welche u.a. vorschreiben, dass ein Verantwortlicher gemäß Artikel 30 DSGVO ein Verzeichnis sämtlicher Verarbeitungstätigkeiten zu führen hat. Ein solches Verzeichnis anzulegen ist für die meisten Unternehmen und Vereine verpflichtend und stellt für Ungeübte zumeist eine Herausforderung dar. Wir möchten anhand von wertvollen Tipps und Beispiele den Einstieg ermöglichen und für Klarheit sorgen.

Zunächst richtet sich unser Blick auf die DSGVO, genauer

Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Wie lege ich ein Verarbeitungsverzeichnis richtig an?

1. Schritt: Deckblatt und Inhalt festlegen

Ein Verantwortlicher hat daher die Pflicht, ein solches Verzeichnis anzulegen und zu führen. Das Verarbeitungsverzeichnis kann dabei in Papierform aber auch elektronisch geführt werden.

Deckblatt

TIPP: Erstellen Sie zunächst ein Deckblatt bzw. eine erste Seite, auf welcher folgende Informationen aufzunehmen sind:

  1. Name und Anschrift des Verantwortlichen
  2. Falls vorhanden auch Name und Anschrift gemeinsamen Verantwortlichen
  3. Falls vorhanden auch die Kontaktdaten eines Datenschutzbeauftragten

Mit diesem Deckblatt sind bereits die ersten Pflichtangaben gemäß Art. 30 Abs. 1 lit. a) DSGVO erfüllt.

Teams bilden und Inhalt sammeln

Als nächstes sollte im Unternehmen oder auch im Verein eine Aufgabenverteilung erfolgen. Ziel ist die Zusammenstellung aller anfallenden Verarbeitungsvorgänge im Hinblick auf personenbezogene Daten. Hier sollten verschiedene Teams gebildet werden. Diese können jeweils nach Abteilungen oder Aufgabenverteilung gebildet werden. Gleichfalls sollten die betreffenden Teams im Hinblick auf die Verarbeitungen der DSGVO informiert und sensibilisiert werden.

An dieser Stelle der Hinweis das die DSGVO in Artikel 4 Ziffer 1 als Verarbeitung:

jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Typische Verarbeitungstätigkeiten die sich regelmäßig in Verarbeitungsverzeichnissen wiederfinden, sind:

  • Arbeitszeiterfassung
  • Angestellte
  • Archiv
  • Bewerber
  • Bilder von Personen
  • Internetseite
  • IT
  • E-Mail
  • Personalabteilung
  • Kundenbetreuung
  • Buchhaltung
  • Urlaubsplanung
  • Verwaltung
  • Datenvernichtung

Damit ist der erste Schritt bereits getan. Das Deckblatt erstellt und Verarbeitungen aufgelistet.

2. Schritt: Verarbeitungsverzeichnis ausfüllen

Zunächst sollte, nachdem die Verarbeitungstätigkeiten aufgelistet worden sind, die Tabelle der verschiedenen Verarbeitungen mit Spalten ergänzt werden. Die erste Spalte beinhaltet die Bezeichnung der bereits aufgelisteten Verarbeitungstätigkeit. Danach sollte die Tabelle wie folgt ergänzt werden:

  • Verantwortliche Fachabteilung (Beispiele: Buchhaltung, Personalabteilung, Geschäftsführung, IT-Abteilung, Medizinische Abteilung)
  • Zweck der Verarbeitung (Beispiele: Bewerbungsverfahren, Lohnabrechnung, Vertragserfüllung, Erfassen von Arbeitszeiten, Rechnungslegung, u.a. mit Angabe der Rechtsgrundlage, z.B. Art. 6 Abs. 1 lit. a) = Einwilligung bzw. lit. b) = Vertragserfüllung DSGVO, Arbeitsvertrag, Bewerbung, Einwilligung)
  • Beschreibung betroffener Personen und Kategorien von personenbezogenen Daten (Personen = Kunden, Bewerber, Mitarbeiter, Interessenten, Patienten u.a.; Kategorien = Kunden-Kontaktdaten, Kunden-Bankdaten, Mitarbeiter Stammdaten, Versichertendaten, Interessenten-Kontaktdaten, Lieferanten-Kontaktdaten, Hinweis auf besondere Kategorien nach Art. 9 DSGVO)
  • Kategorien von Empfänger der Daten, einschließlich Drittländer (Steuerberater, Finanzamt, Vorgesetzte, MA IT-Abteilung, IT-Dienstleister, Hostinganbieter)
  • ggf. Angabe bei Übermittlung von personenbezogenen Daten in Drittländer (Eintrag: ja/nein, ggf. Dokumentation geeigneter Garantien)
  • Fristen für die Löschung (z.B. sofort, 3 Monate, 6 Monate, 4 Jahre, 10 Jahre, 30 Jahre)
  • Technische und organisatorische Maßnahmen (TOMs) (z.B. Passwortschutz, TOMs in AV-Vertrag, verschlossener Aktenschrank, Einsatz von Antivirensoftware, Firewall, tägliche Daten-Backups,…)

3. Schritt: Inhalt auf Vollständigkeit überprüfen und ständig anpassen und erweitern

Für die Kontrolle des Inhalts als auch dessen Vollständigkeit empfiehlt sich eine dritte Person, welche nicht mit der Erstellung des Verarbeitungsverzeichnisses involviert gewesen ist, zu beauftragen. Dies ermöglicht eine unabhängige Kontrolle und sorgt für eine höhere Qualität des Inhalts. 
 
Insgesamt gilt hier der Grundsatz, mehr ist besser. Je mehr Inhalt das Verarbeitungsverzeichnis enthält umso besser, ein gesetzlich vorgeschriebenes Musterverarbeitungsverzeichnis existiert nicht. Die in der DSGVO in Art. 30 DSGVO niedergeschriebenen Informationen sollten jedoch mindestens enthalten sein.