Skip to main content

Soforthilfe vom Anwalt: Jetzt Kontakt aufnehmen

DSGVO – Verzeichnis der Verarbeitungstätigkeiten

Die DSGVO verlangt von vielen Verantwortlichen, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Doch welche Angaben müssen Sie darin mit aufnehmen? Und wie detailliert muss die Darstellung Ihrer Geschäftsprozesse sein?

Benötigen Sie ein Verzeichnis der Verarbeitungstätigkeiten?

Als Verantwortlicher sollten Sie prüfen, ob Sie dazu verpflichtet sind, ein sog. „Verzeichnis der Verarbeitungstätigkeiten“ zu führen (Verarbeitungsverzeichnis Art. 30 Abs. 1 DSGVO). Grundsätzlich sind jeder Verantwortliche und neuerdings auch jeder Auftragsverarbeiter (sog. Kategorieverzeichnis nach Art. 30 Abs. 2 DSGVO) verpflichtet, ein solches Verzeichnis zu führen und auf Verlangen der Aufsichtsbehörde zu Verfügung zu stellen. Die Aufsichtsbehörde soll dadurch in die Lage versetzt werden, die Einhaltung der Vorschriften der DSGVO zu kontrollieren. Nach Art. 30 Abs. 5 DSGVO sind sowohl Verantwortliche als auch Auftragsverarbeiter von der Pflicht zur Führung eines Verzeichnisses der Vearbeitungstätigkeiten ausgenommen, wenn sie weniger als 250 Mitarbeiter beschäftigen. Zu beachten ist jedoch, dass Art. 30 Abs. 5 DSGVO von dieser Ausnahme drei Rückausnahmen vorsieht, sodass letztlich auch kleinere Unternehmen zum Führen eines Verarbeitungsverzeichnisses verpflichtet sind, wenn:

  • die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt – wenn ein Verantwortlicher also nach Art. 35 Abs. 1 DSGVO verpflichtet ist, eine Datenschutz-Folgeabschätzung durchzuführen, muss er meist auch ein Verzeichnis der Verarbeitungstätigkeiten führen.
  • die Verarbeitung nicht nur gelegentlich erfolgt – hiervon sind z.B. alle Unternehmen betroffen, die regelmäßig Kundendaten speichern
  • eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 (z.B. Religions- oder Gesundheitsdaten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt.

Letztlich werden viele Unternehmen aufgrund dieser Voraussetzungen zum Führen eines solchen Verzeichnisses verpflichtet sein. Ein solches Verzeichnis ist im Hinblick auf die gesamte datenschutzkonforme Umstellung sehr sinnvoll. Denn so können Sie sich einen Überblick über alle Prozesse in Ihrem Unternehmen verschaffen und besser planen, was noch zu tun ist. Schließlich genügen Sie mit einem solchen Verzeichnis bereits einem Teil Ihrer Rechenschaftspflicht (s.u.).

WBS Eingang
Verarbeitungsverzeichnis erstellen Symbolbild

Welche Prozesse gehören in ein Verzeichnis der Verarbeitungstätigkeiten?

Bei dem Verzeichnis der Verarbeitungstätigkeiten handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, ähnlich dem bisherigen Verfahrensverzeichnis des BDSG a.F.. Sollten Sie bereits über ein solches verfügen, können Sie dieses als Grundlage heranziehen und aktualisieren.

Beginnen sollten Sie, indem Sie alle Geschäftsprozesse auflisten, in denen personenbezogene Daten verarbeitet werden. Hierfür sollten Sie sich zunächst einen Überblick über alle Prozesse verschaffen, in denen personenbezogene Daten verarbeitet werden. Der Begriff des „Verarbeitens“ ist in Art. 4 Nr. 2 DSGVO sehr weit gefasst und bezeichnet kurzgefasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie

das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Dabei ist nicht von Bedeutung, ob die Daten auf Papier oder elektronisch gespeichert werden.

Für das Verzeichnis ist eine feingliedrige Darstellung Ihrer Geschäftsprozesse empfehlenswert. Bei einem zu großzügigen Clustern der Geschäftsprozesse besteht die Gefahr, dass dies nicht den Anforderungen der Datenschutzbehörden genügt. Bei der Auswahl dieser Prozesse sollten Sie sich immer in die Lage eines Kontrolleurs der Datenschutzbehörde versetzen. Diesem muss es möglich sein, anhand des Verarbeitungsverzeichnisses einen vollständigen Einblick in die Prozesse Ihres Unternehmens zu erhalten. Neben offensichtlichen Prozessen wie etwa „Neue Kunden elektronisch erfassen“ und „Mitarbeiterdaten speichern“ können dies etwa sein: Daten der Bewerber speichern, Jahresgespräche, Reisekostenabrechnung, Besucherverwaltung, E-Mail-Marketing, Papier- und Aktenvernichtung, Telefonsupport, Videoüberwachung, etc. Letztlich werden in fast allen internen wie externen Prozessen Daten verarbeitet. Bilden Sie Ihr Geschäft daher möglichst umfangreich ab.

Tipp: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Mit dem Abmahnschutz unserer Datenschutzpakete bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind. Hier klicken & mehr erfahren.

Welche Inhalte gehören in ein Verzeichnis der Verarbeitungstätigkeiten?

Anschließend müssen die in Art. 30 DSGVO genannten Angaben in das Verzeichnis mit aufgenommen werden. So müssen Sie etwa identifizieren, woher die Daten in den jeweiligen Prozessen stammen, zu welchem Zweck sie verarbeitet werden, wer Zugriff hat und an wen sie weitergegeben werden. Zudem müssen Sie als Verantwortlicher hier folgende Punkte auflisten (Art. 30 Abs. 1 S. 2 DSGVO):

  • Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49  Abs. 1 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO

Die Inhalte des Verzeichnisses für Auftragsverarbeiter ergeben sich aus Art. 30 Abs. 2 DSGVO.

Wir helfen Ihnen bei der Erstellung eines Verarbeitungsverzeichnisses

Sie möchten wissen, ob Sie ein Verarbeitungsverzeichnis brauchen oder benötigen Hilfe bei der Erstellung? Oder Sie haben Fragen zu anderen datenschutzrechtlichen Aspekten? Wir helfen Ihnen gerne! Das Expertenteam aus dem Datenschutzrecht steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.


Nutzerdaten ohne Einwilligung genutzt: 310-Millionen-Euro-DSGVO-Strafe für LinkedIn

  • 28.10.2024

Inhalt Hintergrund der DPC-Untersuchung Konsequenzen und zukünftige Schritte Die Datenschutzbehörde in Irland hat Microsofts sozialem Netzwerk LinkedIn eine Geldstrafe von 310 Millionen Euro auferlegt. Das Unternehmen soll Daten seiner Nutzer unberechtigt zu Werbezwecken genutzt haben. Die irische Datenschutzkommission (DPC) hat LinkedIn mit einer Rekordstrafe von 310 Millionen Euro belegt. […]

Massive Datenpanne: Millionen Kundendaten von Brillen.de im Internet frei zugänglich

  • 24.10.2024

Inhalt Reaktion von Brillen.de Rechtliche Implikationen Allein 2,4 Millionen Datensätze von deutschen Brillen.de-Kunden waren wegen fehlender Sicherheitsvorkehrungen im Netz frei abrufbar. Im dritten Quartal 2024 kam es beim deutschen Brillendiscounter Brillen.de zu einem massiven Sicherheitsvorfall, bei dem rund 3,5 Millionen Kundendatensätze ungeschützt im Internet zugänglich gewesen sein sollen. Betroffen […]

Lücken in Sicherheitsprotokollen: Microsoft verliert “wichtige” Protokolldaten

  • 24.10.2024

Inhalt Microsoft Entra, Sentinel, Defender for Cloud und Purview betroffen Lücken in sicherheitsrelevanten Protokollen Ein gravierender Softwarefehler bei Microsoft führte zum Verlust wichtiger Sicherheitsprotokolle in der Cloud. Das Abhandenkommen von Logging-Daten dürfte den Konzern in Erklärungsnot bringen, da man gerade erst das Thema zur Top-Priorität ausgerufen hatte. Microsoft steht […]

Überblick über DSGVO-Verstöße: Hohe Bußgelder für EU-Unternehmen

  • 18.10.2024

Inhalt Bußgelder bis 20 Millionen Euro bei DSGVO-Verstoß Verhängte Bußgelder gegen Unternehmen wegen Datenschutz-Verstößen Oktober 2024 September 2024 August 2024 Juli 2024 Bußgelder wegen Datenschutzverstößen nehmen europaweit zu und Unternehmen stehen zunehmend unter Druck, ihre Datenverarbeitungsprozesse zu überprüfen. In unserem Beitrag geben wir Ihnen einen Einblick in verhängte Bußgelder […]

Zwei wichtige EuGH-Entscheidungen: Recht auf DSGVO-Schadensersatz erneut massiv gestärkt

  • 15.10.2024

Inhalt Datenleck bei Facebook Aktuelles Urteil des EuGH zu Kontrollverlust als Schaden EuGH zur Höhe des Schadensersatzes EuGH: Unterlassungsansprüche neben Schadensersatz sind möglich Der EuGH hat in zwei aktuellen Urteilen erneut die Rechte von Datenleck-Betroffenen enorm gestärkt. Zum einen betont er erneut, dass der reine Kontrollverlust bereits als ersatzfähiger […]

Mark Zuckerberg, von Anthony Quintano

Datenschützer Schrems vs. Meta: EuGH schränkt Facebooks Datennutzung massiv ein

  • 04.10.2024

Inhalt Datensammeln für personalisierte Werbung – auf welcher Grundlage? Facebook sammelt auch sensible Daten – ist das legal? Generalanwalt: Facebook darf nicht zeitlich unbegrenzt massenhaft Daten zu Werbezwecken nutzen Urteil des EuGH Urteil des EuGH könnte Grundlage für Schadensersatzansprüche der Nutzer werden Facebook darf nicht sämtliche personenbezogenen Daten, die […]