Die Verarbeitung von personenbezogenen Daten kann viele Tätigkeiten und Vorgänge umfassen. Praktisch jeder Verantwortliche und Auftragsverarbeiter wird durch die Datenschutz-Grundverordnung dazu angehalten, über diese ein Verzeichnis zu führen, das einen Überblick über Zwecke, Kategorien verarbeiteter Daten und weitere Informationen enthält.
Als Verarbeitungstätigkeiten zählen hierbei nicht nur Datenübermittlung, sondern alle Tätigkeiten, von der Erhebung über die Organisation, Veränderung bis zur Löschung. Ein entsprechend gepflegtes und aktuelles Verzeichnis von Verarbeitungstätigkeiten dient nicht nur gegenüber Aufsichtsbehörden als Nachweis, es schafft auch innerhalb einer Organisation für Transparenz.
Das Verzeichnis von Verarbeitungstätigkeiten ist neben der Erstellung eines Berechtigungskonzeptes eine der ersten Aufgaben eines betrieblichen Datenschutzbeauftragten.
Inhalte eines Verarbeitungstätigkeitsverzeichnisses
Jede Verarbeitungstätigkeit muss im Verzeichnis aufgeführt werden. Darüber hinaus sind die Daten des Verantwortlichen und ggf. dessen Datenschutzbeauftragten zu hinterlegen. Die Mindestangaben zu jeder Verarbeitung sind im Folgenden beschrieben.
- Zwecke der Verarbeitung
- Beschreibung der Kategorien personenbezogener Daten und betroffener Personen
- Name und Kontaktdaten des Verantwortlichen bzw. Vertreters
- Ggf. der bestellte Datenschutzbeauftragte
- Kategorien der Empfänger, denen Daten offengelegt werden
- Ggf. Empfänger in Drittländern oder internationale Organisationen sowie deren Standort
- Ggf. das Vorhandensein geeigneter Garantien bei Datenübermittlung in Drittländer (vgl. Art. 49 Lit. 1 Ptk. 2 DS-GVO)
- Angabe der Speicherfristen für personenbezogene Daten, bzw. Kriterien für deren Festlegung
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen des Verantwortlichen bzw. Auftragsverarbeiters (sofern möglich)
Speziell für Auftragsverarbeiter – also Organisationen die nicht primär für die Daten verantwortlich zeichnen, aber im Auftrags des Verantwortlichen mit diesen umgehen – gibt es weitere Punkte, die im Verzeichnis aufgeführt werden. Hierzu zählt eine Übersicht aller Verantwortlichen, in deren Auftrag sie personenbezogene Daten verarbeiten.
Formelle Vorgaben und Ausnahmen zum Verzeichnis
Generell ist das Verzeichnis von Verarbeitungstätigkeiten schriftlich zu führen (auch in Form einer Excel-Liste möglich) und muss auf Anfrage einer Aufsichtsbehörde übermittelt werden. Es gibt Seiten der Datenschutzkonferenz der Länder (DSK) sowie von diversen Aufsichtsbehörden Vorlagen für das Anlegen eines Verarbeitungsverzeichnisses.
Die Datenschutz-Grundverordnung lässt Ausnahmen zur Pflicht zum führen eines Verzeichnisses zu. So müssen Unternehmen, die weniger als 250 Mitarbeiter beschäftigen keines führen, es sei denn
- die vorgenommene Verarbeitung personenbezogener Daten bringt ein Risiko für die Rechte und Freiheiten betroffener Personen (was bei quasi allen Verarbeitungen der Fall ist),
- die Verarbeitung erfolgt regelmäßig (nicht nur ausnahmsweise),
- er werden besondere Kategorien personenbezogener Daten verarbeitet oder
- es werden Daten über strafrechtliche Verurteilungen bzw. Straftaten gem. Artl. 10 DS-GVO verarbeitet.
Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics