Recht
Digitalisierung

Das Verfahrensverzeichnis (VV) rechtskonform umsetzen

08.03.2023
Sharing
  • In Zwischenablage kopiert

Um der Verarbeitungstätigkeit von personenbezogenen Daten genau zu erfassen, ist im Rahmen der Vorschriften der DSGVO ein „Verzeichnis von Verarbeitungstätigkeiten“ zu erstellen.

Verantwortlich für das Erstellen und Führen eines Verarbeitungsverzeichnisses für die von der Auftragsverarbeitung umfassten Verfahren (Art. 30 Abs. 2 DSGVO) ist der Verantwortliche (30 Abs. 1 DSGVO) sowie alle Auftragsverarbeiter. Üblicherweise erstellt der Verarbeiter das Verfahrensverzeichnis, da nur er die technische Expertise für die Erstellung des Verzeichnisses besitzt. Allgemein dient das Verzeichnis der Transparenz über die Verarbeitung personenbezogener Daten und somit der rechtlichen Absicherung des Unternehmens.

Konkret werden zwei Zwecke verfolgt:

  • Einerseits ermöglicht das Verzeichnis von Verarbeitungstätigkeiten, dass die zuständige Aufsichtsbehörde sich jederzeit über alle Verarbeitungen personenbezogener Daten informieren kann. Deshalb ist das Verzeichnis auf Anfrage der Behörde unmittelbar bereitzustellen (Art. 30 Abs. 4 DSGVO).
  • Andererseits stellt das Verzeichnis von Verarbeitungstätigkeiten die zentrale Unternehmensdokumentation dar, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen.

Da eine allgemeine Nachweis- und Dokumentationspflicht für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten immer mehr in den Vordergrund rückt, wird das Verzeichnis von Verarbeitungstätigkeiten in Zukunft eine große Rolle spielen, um diese Anforderungen zu erfüllen. Diese beiden Gründe zeigen die Bedeutung eines VV auf. Leider ist es in der Praxis meist so, dass die Erarbeitung gescheut wird. Im Falle eines Datenschutzvorfalls ist es aber schwer eine Beweisführung zu betreiben, wenn die Verfahren zur Verarbeitung personenbezogener Daten nicht definiert sind.

Es empfiehlt sich für jede Verarbeitungstätigkeit eine Zeile auszufüllen, die aus folgenden Punkten besteht:

  • Zweck der Verarbeitung
  • Ggf. verwendete Software / Dienst (AV-Vertrag vorhanden?)
  • Betroffene Personen
  • verarbeitete personenbezogene Daten
  • Empfänger
  • Transfer in Drittstaaten
  • Löschfrist
  • Information der Kunden / eingeführte Vorgänge oder Abläufe (z.B. Einwilligung, double Opt-in)
  • Interne Abläufe
  • eingeleitete technisch-organisatorische Maßnahmen (TOM)
  • interne Ansprechpartner