Logo der activeMind AG

Kostenloser DownloadVerzeichnis von Verarbeitungstätigkeiten (Verantwortlicher)

Verantwortliche haben laut Datenschutz-Grundverordnung (DSGVO) ein umfangreiches Verzeichnis von Verarbeitungs­tätigkeiten führen. Darin sind alle Verarbeitungen personenbezogener Daten zu dokumentieren.

Unsere kostenlose Vorlage für ein Verzeichnis von Verarbeitungs­tätigkeiten hilft Ihnen als Verantwortlicher ein Verzeichnis für Ihr Unternehmen zu erstellen und den Nachweispflichten gegenüber Ihrer Aufsichtsbehörde nachzukommen (Achtung: Auftragsverarbeiter nutzen bitte diese Vorlage).

Inhalt, Form und Aufbau des Verzeichnisses von Verarbeitungstätigkeiten

Die Anforderungen an den Inhalt eines Verzeichnisses von Verarbeitungstätigkeiten werden in Art. 30 DSGVO festgelegt und ähneln dem der früheren Verfahrensverzeichnisse nach Bundesdatenschutzgesetz alter Fassung BDSG a. F. Die Anforderungen unterscheiden sich jedoch je nachdem, ob es sich um das Verzeichnis des Verantwortlichen oder des Auftragsverarbeiters für die Auftragsverarbeitung handelt.

Das Verzeichnis des Verantwortlichen ist nach Art. 30 Abs. 1 DSGVO zu erstellen und deutlich umfangreicher. Demnach müssen die wesentlichen Angaben zur Verarbeitung personenbezogener Daten gemacht werden, wie z. B. der Zweck der Verarbeitung, die Datenkategorien, der Kreis der betroffenen Personen und die Datenempfänger.

Jedes Verzeichnis muss eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO beinhalten. Die Beschreibung sollte so konkret erfolgen, dass die Aufsichtsbehörde sich einen guten Überblick über die angewendeten Maßnahmen zur Informationssicherheit machen kann. Falls vorhanden, kann hier auf ein hierzu im Unternehmen vorhandenes Dokument verwiesen werden.

Zusätzlich zu der Einstufung ist es empfehlenswert, eine Eintrittswahrscheinlichkeit eines Schadens und eine Schadenshöhe der jeweiligen Verarbeitungstätigkeit zu ermitteln. Von diesen Werten leitet sich ab, welche technischen und organisatorischen Maßnahmen überhaupt getroffen werden müssen, um die Daten angemessen zu schützen. Je höher die Schutzstufe und je größer die Eintrittswahrscheinlichkeit, desto qualifiziertere technische und organisatorische Maßnahmen müssen im Unternehmen umgesetzt werden.

Das Verzeichnis der Verarbeitungstätigkeiten des Verantwortlichen ist gemäß Art. 30 Abs. 3 DSGVO schriftlich oder in elektronischer Form (Textform) zu führen. Da nach deutschem Verwaltungsverfahrensrecht die Amtssprache deutsch ist, sollte das Verzeichnis in deutscher Sprache geführt werden. Internationale Unternehmen mit Englisch als Unternehmenssprache müssen unter Umständen Übersetzungen anfertigen, sofern die Aufsichtsbehörde die Einsicht anfragt und eine deutsche Version voraussetzt.

Praxistipp zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten

Das Vorgehen bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sollte sich am Aufbau und der Komplexität des Unternehmens orientieren. Gleichzeitig muss das Verzeichnis so strukturiert sein, dass es den Anforderungen aus Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) sowie Art. 24 und 30 DSGVO genügt.

Um unnötige Dokumente zu vermeiden, wodurch eine Doppeldokumentation entstehen würde, empfiehlt es sich, im Verzeichnis von Verarbeitungstätigkeiten auf andere Dokumente zu verweisen, u.a. auf das Datenschutzkonzept oder das Löschkonzept. Damit erfüllen Sie zugleich die zusätzlich bestehende Pflicht nach Art. 24 Abs. 1 DSGVO, derartige Maßnahmen zur Erfüllung der Verordnung einzusetzen. Beide Konzepte müssen im Bedarfsfall dann auch der Aufsichtsbehörde vorgelegt werden.

Bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sind Detailkenntnisse über die einzelnen Verfahren unabdingbar. Deshalb dürfte es für eine einzelne Person (z. B. den Datenschutzbeauftragten) unmöglich sein, das Verzeichnis für die verantwortliche Stelle alleine zu erstellen und zu pflegen. Zudem bedarf es einer intern gut funktionierenden Kommunikation, um das Verfahren aktuell halten zu können.

 

Changelog

In der Version 3.1 finden sich nur kleinere Änderungen in der letzten Tabellenzeile des Bereichs: “Angaben für eine weitergehende interne Dokumentation oder zur Erfüllung von Informationspflichten nach Art. 13 & 14 DSGVO”.

Wenn Sie die vorherige Version unserer Vorlage (3.0) verwenden, müssen Sie diese nicht austauschen. Für neu erfasste Verarbeitungstätigkeiten empfehlen wir Ihnen aber, den genannten Bereich in der aktualisierten Version zu vergleichen.

Für Version 3.0 haben wir das Verzeichnis von Verabreitungstätigkeiten vollständig überarbeitet, daher verzichten wir auf eine Darstellung der einzelnen Anpassungen. Wenn Sie die vorherige Version unserer Vorlage (2.1 bzw. 2.0) verwenden, müssen Sie diese nicht austauschen. Für neu erfasste Verarbeitungstätigkeiten empfehlen wir Ihnen aber, die aktuelleste Version unserer kostenlosen Vorlage herunterzuladen.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.