DSGVO-konformes Verarbeitungsverzeichnis - Was muss beachtet werden?

05.08.2021
2 Minuten Lesezeit

Die Datenschutzgrundverordnung (DSGVO) regelt seit Mai 2018 innerhalb der Europäischen Union die gesetzlichen Vorgaben zum Datenschutz. Eine für Unternehmen wichtige datenschutzrechtliche Maßnahme ist das Führen eines sog. „Verzeichnis von Verarbeitungstätigkeiten“, kurz: Verarbeitungsverzeichnis. Geregelt sind die Bestimmungen zum Verarbeitungsverzeichnis in Art. 30 DSGVO. In Art. 30 Abs. 1, S. 1 DSGVO heißt es wortwörtlich:

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“

Muss jedes Unternehmen ein Verarbeitungsverzeichnis führen?

Sobald es zu einer Datenverarbeitung in einem Unternehmen, einer Behörde oder sonst einer Einrichtung kommt, muss grundsätzlich ein Verarbeitungsverzeichnis geführt werden.

Ausnahmen davon sind in Art. 30 Abs. 5 DSGVO geregelt. Danach können Unternehmen bzw. Einrichtungen mit weniger als 250 Beschäftigten vom Führen eines Verarbeitungsverzeichnisses ausgenommen sein oder wenn die Datenerhebung ausschließlich gelegentlich erfolgt. Auch wenn es um die Verarbeitung besonderer Datenkategorien i. S. d. Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten i. S. d. Art. 10 DSGVO geht, ist ein Verarbeitungsverzeichnis nicht erforderlich.

Die Ausnahmefälle sind jedoch nur äußerst selten der Fall und treffen für einen Großteil der Unternehmen nicht zu. Daher ist faktisch von jedem Unternehmen ein Verarbeitungsverzeichnis erforderlich.

Was muss ein Verarbeitungsverzeichnis beinhalten?

In Art. 30 Abs. 1, S. 2 DSGVO ist bereits eine allgemeine Auflistung der erforderlichen Angaben im Verarbeitungsverzeichnis aufgeführt. Danach sind z.B. Namen und die Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung sowie eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten notwenige Angaben. Darüber hinaus müssen u.a. sog. TOMs, also technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung, aufgelistet werden.

Die DSGVO ist allerdings in Bezug auf die konkrete Ausgestaltung und Ausführlichkeit des Verarbeitungsverzeichnisses nicht sehr genau. Als Grundsatz für das Verarbeitungsverzeichnis gilt aber im Grunde: Je ausführlicher es ist, desto besser! So kann im Falle einer behördlichen Prüfung der verantwortungsbewusste Umgang mit personenbezogenen Daten im Zweifel leichter nachgewiesen werden.

Fazit

Ein gut organisiertes, übersichtliches und umfängliches Verarbeitungsverzeichnis erspart langfristig Zeit und Kosten und bietet zudem datenschutzrechtliche Sicherheit für Ihr Unternehmen. Die angemessene Erstellung eines Verarbeitungsverzeichnisses bereitet Laien oft große Schwierigkeiten und bloße Mustervorlagen oder Formulare aus dem Internet führen somit oftmals nicht zum Erfolg. Daher empfiehlt es sich, lieber einmal gründlich mithilfe eines Datenschutz-Profis ein für Ihr Unternehmen zugeschnittenes, optimiertes Verarbeitungsverzeichnis zu erstellen, um für die Zukunft gewappnet zu sein.

Wenn Sie professionelle Unterstützung bei der Erstellung oder Überprüfung eines Verarbeitungsverzeichnisses benötigen, helfen Ihnen unsere zertifizierten Datenschutzbeauftragten (TÜV) und unser Datenschutzauditor (TÜV) gerne weiter! Wir beraten in unserer Kanzlei Hämmerling von Leitner-Scharfenberg bundesweit zu sämtlichen datenschutzrechtlichen Themen. Melden Sie sich einfach unverbindlich unter:

Tel. 040 5330-8720 oder 030 2064-9405
E-Mail hamburg@hvls-partner.de oder berlin@hvls-partner.de

„Nachricht senden“ auf anwalt.de (Fügen Sie hierbei Ihre Telefonnummer bitte auch noch einmal in die Nachricht an

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Lars Hämmerling

Veröffentlicht von:

Rechtsanwalt Lars Hämmerling

Datenschutzrecht • Gewerblicher Rechtsschutz • IT-Recht

Wettbewerbsrecht • Markenrecht • Urheberrecht & Medienrecht • Designrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Lars Hämmerling

Abmahnung d. BluePort Legal wg. Verwendung Fortuna Düsseldorf aufetsy.com / Markenrecht

Uns liegt mal wieder eine Abmahnung der Kanzlei BluePortLegal wegen einer angeblichen Markenrechtsverletzung vor. Die aktuelle Abmahnung wurde für den Düsseldorfer Turn- und Sportverein Fortuna ... Weiterlesen
Abmahnung der Scheidler GmbH durch RA Thiemo Wenck, rechtswidrige Angaben zu Futtermittel - ZeckenSchutz

Wir hatten bereits über die Abmahntätigkeit der Scheidler GmbH und Rechtsanwalt Thiemo Wenck aus Winsen (Luhe) berichtet. Weiterlesen
Internetsystem Vertrag über 48 Monate mit der Stuttgarter Zeitung Online-Service GmbH für 529,- € kündigen

Haben auch Sie eine Vereinbarung über die Erstellung eines Internetauftrittes über 48 Monate und z einem monatlichen Preis von 529,- € netto/629,51 € brutto mit der Stuttgarter Zeitung ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Lars Hämmerling

Weitere

Beiträge zum Thema

Das Verarbeitungsverzeichnis nach Art. 30 Datenschutzgrundverordnung (DSGVO)

27.09.2018

Gemäß Art. 30 DSGVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner ... Weiterlesen
Verarbeitungsverzeichnis, ADV, TOM, DSGVO usw. – Welche Datenschutztexte/-maßnahmen für Unternehmen unerlässlich sind!

04.08.2021

Jedes Unternehmen, das personenbezogene Daten in irgendeiner Form verarbeitet – also letztlich jedes Unternehmen ... Weiterlesen