Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO einfach erstellen

Das Verzeichnis von Verarbeitungstätigkeiten (kurz: Verarbeitungsverzeichnis) stellt viele Unternehmen vor große Herausforderungen. Mit einem sauber geführten Verarbeitungsverzeichnis können sie ihren Pflichten nachkommen. Die EU-Datenschutzgrundverordnung (DSGVO) verpflichtet Verantwortliche zum Führen eines solchen Verzeichnisses. Verantwortliche sind unter anderem Unternehmen, Behörden, Vereine und Selbstständige.

In diesem Beitrag erfahren Sie, wie ein erstes Verarbeitungsverzeichnis erstellt werden kann. Zudem lernen Sie, wie Sie ein bereits bestehendes Verarbeitungsverzeichnis verbessern und so den Reifegrad erhöhen können.

Warum benötigen Verantwortliche ein Verarbeitungsverzeichnis?

Artikel 30 DSGVO beschreibt eindeutig das Führen eines Verarbeitungsverzeichnisses. Dort heißt es in Absatz 1:

Seit Inkrafttreten der DSGVO gibt es von vielen Verantwortlichen, die weniger als 250 Mitarbeitende haben, den Irrtum kein Verarbeitungsverzeichnis führen zu müssen. Aber woher kommt dieser Irrtum? Schauen wir einmal gemeinsam in Artikel 30 Abs. 5 DSGVO:

In diesem Absatz werden drei Verschiedene Bedingungen genannt, bei denen doch ein Verarbeitungsverzeichnis vom Verantwortlichen geführt werden muss. Das „oder“ besagt, dass nur eine Bedingung erfüllt sein muss, damit die Pflicht zum Führen eines Verarbeitungsverzeichnisses gegeben ist.

In vielen Fällen werden personenbezogene Daten nicht nur gelegentlich, sondern regelmäßig oder ständig verarbeitet. Wenn das der Fall ist, müssen Verantwortliche das Verarbeitungsverzeichnis führen.

Welchen Zweck verfolgt das Verarbeitungsverzeichnis?

Die DSGVO beseht auf der einen Seite aus den verpflichtenden Artikeln 1 bis 99. Zusätzlich haben die Verordnungsgeber 173 Erwägungsgründe der DSGVO angehängt. Diese sind nicht direkt verpflichtend, beschreiben aber einige DSGVO-Themen konkreter.So beschreibt Erwägungsgrund 82 DSGVO folgendes zum Verarbeitungsverzeichnis:

Welche Verfahren bzw. Prozesse müssen dokumentiert werden?

Die DSGVO schreibt nicht konkret vor, welche Verfahren und Prozesse dokumentiert werden müssen. Wenn Sie noch kein Verarbeitungsverzeichnis erstellt haben, könnten Sie so vorgehen, dass Sie Ihre Hauptprozesse aufschreiben. Als nächsten Schritt könnten Sie Prozesse in anderen Abteilungen und Fachbereichen analysieren und dokumentieren.

Ideen für die Erstellung einer ersten Version eines Verarbeitungsverzeichnisses:

Wichtig bei dem Thema ist eins: Anzufangen. Die erste Version des Verarbeitungsverzeichnis wird wahrscheinlich nicht gut sein. Für den ersten Schritt ist das aber völlig in Ordnung. Immerhin ist noch kein Meister vom Himmel gefallen. Wenn Sie Ihr Verarbeitungsverzeichnis regelmäßig weiterentwickeln, wird es nach einer gewissen Zeit einen guten Reifegrad erreichen.

Folgend einige Ideen, welche Verfahren und Prozesse neben Ihren Hauptprozessen dokumentiert werden sollten:

Ideen für ein bereits erstelltes Verarbeitungsverzeichnis:

Wenn Sie bereits ein Verarbeitungsverzeichnis führen und den Reifegrad erhöhen wollen, könnten Sie das Thema mehr in die Organisationsstruktur mit aufnehmen. Die Pflege und Weiterentwicklung des Verarbeitungsverzeichnisses könnten mit in Organisationsrichtlinien aufgenommen werden. Je nach Größe der Organisation sollte jedes Verfahren einer bzw. eines Fachverantwortlichen zugewiesen werden. Diese Personen sind für die Pflege und Weiterentwicklung der Dokumentation verantwortlich.

Was muss konkret dokumentiert werden?

Die DSGVO gibt in Artikel 30 klare Vorgaben für die Dokumentation der Prozesse und Verfahren:

Fazit

Die Erfahrung zeigt, dass das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ein zentraler Baustein innerhalb des Datenschutzes ist. Daher sollte es stets aktuell gehalten werden. Die Zuweisung von Verantwortlichekeiten hilft in der Regeln dieses Ziel zu erreichen.

Wenn Sie noch kein Verarbeitungsverzeichnis erstellt haben, obwohl die DSGVO Sie dazu verpflichtet, ist unsere Empfehlung schnellstmöglich damit anzufagen – auch wenn das Verzeichnis anfangs noch nicht perfekt ist. Führen Sie schon ein Verzeichnis, könnten Sie regelmäßig prüfen, wie Sie den Reifegrad erhöhen können. Wir wünsche Ihnen viel Erfolg bei der Erstellung und Pflege Ihres Verzeichnisses von Verarbeitungstätigkeiten.

Innerhalb unserer Datenschutzberatung unterstützen wir Sie gerne bei der Erstellung Ihres Verarbeitungsverzeichnisses.