Verzeichnis von Verarbeitungstätigkeiten - Art. 30 DS-GVO

Art. 30 der ab dem 25.05.2018 geltenden DS-GVO verpflichtet zur Führung eines schriftlichen oder elektronischen Verzeichnisses aller Verarbei­tungs­tä­tigkeiten mit personen­bezogenen Daten. 

Dieses Verzeichnis betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nichtauto­matisierte Verarbeitungen personen­bezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und auch jeder Auftrags­verarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet.
Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern müssen kein Verzeichnis von Ver-arbeitungs­tä­tigkeiten führen, es sei denn, der Verantwortliche bzw. Auftrags­verarbeiter führt Verarbeitungen personen­bezogener Daten durch,
• die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungs­maßnahmen) oder
• die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
• die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen.

Eine Möglichkeit für jedermann, in das Verzeichnis von Verarbei­tungs­tä­tigkeiten Einsicht zu nehmen, ist nach der DS-GVO nicht vorgesehen. Erstellt und vorgehalten werden müssen die Verzeichnisse dennoch, da sie den Aufsichtsbehörden jederzeit auf Anfrage zur Verfügung zu stellen sind.

Das Verzeichnis der Verantwortlichen muss wesentliche Angaben zur Verarbeitung beinhalten, wie z. B. die Zwecke der Verarbeitung und eine Beschreibung der Kategorien der personen­bezogenen Daten, der betroffenen Personen und der Empfänger.

Das Verzeichnis des Auftrags­ver­arbeiters muss zu allen Kategorien der von ihm im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung erstellt werden.

Das Verzeichnis soll, wenn möglich, eine allgemeine Beschreibung der technischen und organisa­torischen Maßnahmen gemäß Art. 32 Absatz 1 DS-GVO enthalten. Wie detailliert diese Beschreibung sein muss, lässt sich der DS-GVO nicht unmittelbar entnehmen. Jedenfalls sollte die Beschreibung der Maßnahmen so konkret erfolgen, dass die Aufsichtsbehörden eine erste Rechtmäßig­keits­überprüfung vornehmen können.

Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde können mit einer Geldbuße sanktioniert werden.

Mit der Erstellung des Verzeichnisses der Verarbei­tungs­tä­tigkeiten sind keinesfalls alle von der DS-GVO geforderten Dokumenta­ti­ons­pflichten erfüllt. So müssen beispielsweise auch das Vorhandensein von Einwilligungen, die Ordnungs­mäßigkeit der gesamten Verarbeitung und das Ergebnis von Datenschutz-Folgenab­schätzungen durch entsprechende Dokumentationen nachgewiesen werden, um der in Art. 5 Abs. 2 DS-GVO normierten Rechenschaftspflicht zu genügen.

Das Verzeichnis von Verarbei­tungs­tä­tigkeiten nach der DS-GVO wird eine wesentliche Rolle spielen, um datenschutz­rechtliche Vorgaben überhaupt einhalten zu können. 

Quelle: Kurzpapiere der Datenschutz­konferenz
Mustervorlage für Verantwortliche hier
Mustervorlage für Auftrags­verarbeiter hier