Wer als Unternehmer personenbezogene Daten verarbeitet (also im Grunde jeder Unternehmer) muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Erfahren Sie hier, was der Unterschied zum „Jedermannverzeichnis“ nach altem Datenschutzrecht ist und warum sich ein ordentlich gepflegtes Verarbeitungsverzeichnis lohnt.
Was unterscheidet das Verarbeitungsverzeichnis vom Jedermannverzeichnis?
Bereits im alten Datenschutzrecht vor 2018 war verankert, dass eine Übersicht von meldepflichtigen automatisierten Verarbeitungen „Jedermann“ auf Verlangen vorgelegt werden muss – das sog. „Jedermannverzeichnis“. Heute spricht man stattdessen von einem „Verarbeitungsverzeichnis“ nach DSGVO. Die Unterscheidung ist berechtigt: Das Verarbeitungsverzeichnis muss mehr Informationen enthalten, und zwar zu allen Verarbeitungstätigkeiten, ob automatisiert oder nicht. Dafür muss es auf Verlangen nur der Datenschutzbehörde und nicht „Jedermann“ vorgelegt werden.
Was ist eine Verarbeitungstätigkeit?
Kern der Verarbeitungstätigkeit ist die Verarbeitung. Damit ist nach DSGVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten gemeint – also alles, was man mit personenbezogenen Daten machen kann, von der Erfassung über die Speicherung bis zur Löschung, egal ob digital oder analog. Zusätzlich müssen die betroffenen Datenkategorien, die betroffenen Personenkategorien, ggf. die Empfängerkategorien, die Löschfrist, die Rechtsgrundlage sowie die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen (TOMs) betrachtet werden. All das sind Aspekte einer Verarbeitungstätigkeit, die im Verzeichnis dokumentiert werden müssen.
Warum lohn sich das Verarbeitungsverzeichnis für mich?
Wer sein Verarbeitungsverzeichnis ordentlich führt und stets aktuell hält, vermeidet nicht nur Bußgelder, sondern profitiert insgesamt, da das Verarbeitungsverzeichnis auch als Grundlage für viele weitere DSGVO-Pflichten dient. Beispielsweise haben Auftragsverarbeiter so stets eine aktuelle Referenz für das Ausfüllen von AV-Verträge, bei Datenschutzanfragen sind die Informationen für den Betroffenen schnell zusammengetragen, technische und organisatorische Maßnahmen können informiert, ganzheitlich und sinnvoll geplant werden und bei Datenpannen können die Auswirkungen und die Ursachen besser und schneller nachvollzogen werden.
Tipps für die Erstellung
Listen Sie zunächst alle Verarbeitungen in Ihrem Unternehmen auf, z.B. nach Abteilungen gegliedert. Ordnen Sie dann die betroffenen Kategorien von Daten, Personen und ggf. Empfängern zu. In einem letzten Schritt können Rechtsgrundlage, Löschfristen und TOMs festgelegt werden. PRIVE-Nutzer können ihr Verarbeitungsverzeichnisses mit unserem Tool mit wenigen Klicks erstellen. Die Erstellung kann (besonders ohne Tool) etwas mühsam sein, zahlt sich aber auf lange Sicht definitiv aus.