Verarbeitungsverzeichnis
Ein Verarbeitungsverzeichnis dokumentiert alle Tätigkeiten, bei denen ein Unternehmen personenbezogene Daten verarbeitet. Es ist nach Artikel 30 DSGVO für nahezu alle Unternehmen verpflichtend und muss der Datenschutzbehörde auf Anfrage vorgelegt werden.
Ausführliche Erklärung
Das Verarbeitungsverzeichnis hat das frühere Verfahrensverzeichnis nach dem alten Bundesdatenschutzgesetz abgelöst und ist seit Inkrafttreten der DSGVO am 25. Mai 2018 für nahezu alle Unternehmen verpflichtend. Es muss schriftlich oder elektronisch geführt werden und ist der Datenschutzbehörde auf Anfrage vollständig zur Verfügung zu stellen. Betroffene Personen haben hingegen kein Einsichtsrecht, da es sich um eine interne Dokumentation des Verantwortlichen handelt.
Für KMU ist die rechtliche Situation differenziert zu betrachten: Zwar sieht Artikel 30 Absatz 5 DSGVO eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden vor, diese greift jedoch nur, wenn die Datenverarbeitung kein Risiko für betroffene Personen birgt, ausschließlich gelegentlich erfolgt und keine besonderen Kategorien personenbezogener Daten betrifft. In der Praxis erfüllen fast alle Unternehmen diese Bedingungen nicht, da bereits regelmäßige Lohnverarbeitung, Kundendatenbanken oder Newsletter-Versand als nicht nur gelegentliche Verarbeitung gelten. Die österreichische und deutsche Datenschutzbehörde empfehlen daher auch kleineren Unternehmen ausdrücklich die Führung eines Verarbeitungsverzeichnisses.
Das Verzeichnis muss für jede Verarbeitungstätigkeit mehrere Pflichtangaben enthalten: Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, konkrete Zwecke der Verarbeitung, Kategorien betroffener Personen und deren Daten, Empfängerkategorien, gegebenenfalls Drittlandübermittlungen mit Garantien, wenn möglich Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Auch Auftragsverarbeiter müssen nach Artikel 30 Absatz 2 DSGVO ein eigenes Verzeichnis führen.
Ein gut geführtes Verarbeitungsverzeichnis ist weit mehr als eine formale Pflicht. Es ermöglicht dem Unternehmen, auf Betroffenenanfragen rasch zu reagieren, Datenschutz-Folgenabschätzungen vorzubereiten und die Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO zu erfüllen. Bei Verstößen gegen die Dokumentationspflicht drohen nach Artikel 83 Absatz 4 DSGVO Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die Datenschutzbehörden berücksichtigen dabei jedoch die besonderen Bedürfnisse von KMU und setzen in der Praxis zunächst häufig auf Verwarnungen statt auf Höchststrafen.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 12 Mitarbeitenden in Linz erstellt ein Verarbeitungsverzeichnis für ihre Haupttätigkeiten: Mandantenverwaltung (Namen, Steuerdaten, Bankverbindungen), Personalverwaltung (Mitarbeiterdaten, Gehaltsdaten), E-Mail-Kommunikation und Website-Kontaktformular. Jede Tätigkeit wird mit Zweck, Rechtsgrundlage, Speicherdauer und technischen Schutzmaßnahmen dokumentiert. Das Verzeichnis wird in einer Excel-Datei geführt und jährlich aktualisiert.