Verzeichnis von Verarbeitungstätigkeiten
von Freya Wolfenstaedter
Bereits einige Male war die Rede von einem zu erstellenden Verzeichnis von Verarbeitungstätigkeiten, mit welchem sich dieser Blogpost näher befasst, da jeder Verantwortliche und jeder Auftragsverarbeiter ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen muss.
Wie bereits erwähnt, hat grundsätzlich jeder Verantwortliche nach Art. 30 Abs. 1 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dies kann papiergebunden, aber auch elektronisch erfolgen. Dieses Verzeichnis ermöglicht sowohl den Verantwortlichen als auch den Datenschutzbeauftragten, einen guten Überblick über die Verarbeitung innerhalb der Organisation zu bekommen. Daher stellt dieses Verzeichnis eine wichtige Grundlage der Überwachungstätigkeit dar und hilft bei der Nachvollziehbarkeit der internen Verarbeitungsprozesse.
Für alle automatisierten, als auch nichtautomatisierten Verarbeitungen der personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder werden sollen, müssen bestimmte Angaben enthalten sein. Diese sind der Name und die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern von personenbezogenen Daten (eingeschlossen Empfänger in Drittländern und ggf. die Dokumentation geeigneter Garantien zur Absicherung des Datenschutzniveaus), nach Möglichkeit die vorgehsehen Fristen für die Löschung der verschiedenen Datenkategorien und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.
Der Verantwortliche muss dieses Verzeichnis lediglich intern zu führen und muss auf Anforderung der Aufsichtsbehörde zur Verfügung gestellt werden, damit die betroffenen Verarbeitungsvorgänge überprüft werden können.
Unternehmen oder Einrichtungen, aber auch Vereine mit weniger als 250 Mitarbeitern müssen keine Verzeichnisse führen, allerdings gibt es Ausnahmefälle. Sollte mindestens eine der folgenden Bedingungen erfüllt sein, tritt die Dokumentationsverpflichtung wieder ein.
Es muss also ein Verzeichnis auch bei weniger als 250 Mitarbeitern geführt werden, falls die von den Mitarbeitern vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung besonderer Datenkategorien vorliegt.
In den meisten Fällen besteht eine der oben genannten Ausnahmen, sodass ein Verarbeitungsverzeichnis geführt werden muss, da beispielsweise die Verarbeitung in den meisten Fällen nicht nur gelegentlich erfolgt und oft auch Daten besonderer Kategorien verarbeitet werden.
Allgemein wird daher empfohlen, in jedem Fall ein Verarbeitungsverzeichnis zu führen, da dies die Verarbeitungsprozesse klar strukturiert und sowohl den Umgang mit der Datenverarbeitung transparent darstellt, als auch einen guten Überblick über die gesamten Prozesse gibt, wodurch ein effektives Datenschutzmanagement gewährleistet werden kann.