Verarbeitungsverzeichnis

Ausführliche Erklärung

Das Verarbeitungsverzeichnis ist seit dem Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 ein zentrales Instrument der Rechenschaftspflicht. Es löste das frühere Verfahrensverzeichnis ab, auf dessen Grundlage Unternehmen Datenverarbeitungen bei einer staatlichen Stelle melden mussten. Heute führen Unternehmen das Verzeichnis als interne Dokumentation, die sie der Aufsichtsbehörde auf Verlangen zur Verfügung stellen müssen.

Für KMU ist das Verarbeitungsverzeichnis relevant, weil die ursprünglich angedachte Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden in der Praxis kaum greift. Diese gilt nur, wenn die Datenverarbeitung kein Risiko für die Rechte der Betroffenen birgt, nur gelegentlich erfolgt und keine besonderen Datenkategorien betrifft. Ein Unternehmen, das Lohnverrechnung für Mitarbeitende oder Kundendaten führt, verarbeitet jedoch bereits regelmäßig personenbezogene Daten und benötigt somit ein Verarbeitungsverzeichnis.

Das Verzeichnis muss schriftlich oder elektronisch geführt werden und für jede Verarbeitungstätigkeit wesentliche Angaben enthalten: Name und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung, Kategorien betroffener Personen und verarbeiteter Daten, Empfänger der Daten, Übermittlungen in Drittstaaten, Löschfristen sowie eine Beschreibung der technischen und organisatorischen Maßnahmen. Auch Auftragsverarbeiter müssen ein eigenes Verzeichnis führen.

Die Verletzung der Dokumentationspflicht kann nach Artikel 83 DSGVO mit Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes geahndet werden. Das Verarbeitungsverzeichnis dient nicht nur der Kontrolle durch Aufsichtsbehörden, sondern hilft Unternehmen auch dabei, einen systematischen Überblick über ihre Datenverarbeitungen zu gewinnen und Datenschutz-Folgenabschätzungen vorzubereiten.