DSGVO: So erstellen Sie ein korrektes Verarbeitungsverzeichnis

Verarbeitungsverzeichnis DSGVO-konform aufbauen
Aktualisiert am: 16.05.2018

Das Verzeichnis von Verarbeitungstätigkeiten (kurz: Verarbeitungsverzeichnis) ist DAS zentrale Dokument für den Bereich Datenschutz. Es ist sozusagen das Datenschutzhandbuch im Unternehmen. Deshalb kommt ihm eine besondere Bedeutung zu. Wie das Verarbeitungsverzeichnis aufgebaut sein sollte und was darin stehen muss, erfahren Sie hier.

Die Form des Verarbeitungsverzeichnisses

Für das Verarbeitungsverzeichnis gibt es keine genauen Formvorschriften, die Ausgestaltung bleibt jedem Unternehmen selbst überlassen. Entscheidend ist, dass darin alle Pflichtangaben enthalten sind, die die Datenschutzgrundverordnung (DSGVO) verlangt. Welche dies sind, erfahren Sie unter dem Punkt „Inhalt“.

Wie detailliert der Inhalt sein muss, wird ebenfalls nicht im Gesetz genannt. Das Verzeichnis muss jedoch aus sich heraus verständlich sein. Die Datenschutzaufsichtsbehörde – und nur ihr muss Einblick gewährt werden – muss anhand des Verarbeitungsverzeichnisses idealerweise ohne Rückfragen erkennen können, ob das betreffende Unternehmen rechtskonform aufgestellt ist.

Ob das Verzeichnis nun aber in Papierform abgelegt ist, oder sich in Word- bzw. Excel-Dateien in einem speziellen Ordner auf der Festplatte befindet, ist nicht vorgegeben. Allerdings dürfte es aus praktischen Gesichtspunkten vorteilhaft sein, wenn das Verarbeitungsverzeichnis in elektronischer Form geführt wird. Zudem kann vor allem bei größeren Unternehmen eine spezielle Datenschutz-Software bzw. ein Informationssicherheitsmanagement-System hilfreich sein.

Der Aufbau des Verarbeitungsverzeichnisses

Wie sieht nun der grundsätzliche Aufbau des Verarbeitungsverzeichnisses aus? Grob lässt sich dieser in drei Bereiche unterteilen:

  • Als erstes sollte eine Art Deckblatt kommen, auf dem die Daten der verantwortlichen Stelle, also Ihres Unternehmens, sowie eines eventuell vorhandenen Datenschutzbeauftragten aufgeführt sind. Hier müssen jeweils Name, Anschrift und Kontaktdaten genannt werden.
  • Der Mittelteil des Verarbeitungsverzeichnisses besteht aus den Beschreibungen der einzelnen Verarbeitungsvorgänge, die es in Ihrem Unternehmen gibt. Es geht im Kern also um die Analyse der eigenen Geschäftsprozesse sowie deren Beschreibung gemäß den Vorgaben aus der DSGVO (Art. 30). Alle einzelnen Prozessbeschreibungen bilden gemeinsam den zweiten Teil.
  • Im letzten Teil werden die technischen und organisatorischen Maßnahmen (kurz: TOM) aufgeführt, die für alle Verarbeitungsvorgänge gelten. Dort finden sich beispielsweise Angaben zu Maßnahmen der IT-Sicherheit, der Gebäudesicherheit, aber ggf. auch Arbeitsanweisungen, wie etwa eine Clean-Desk-Policy, oder eventuelle Betriebsvereinbarungen etc.

Alle drei Bereiche zusammen bilden das Verarbeitungsverzeichnis.

Geballtes Fachwissen und Vorlagen zur DSGVO

Alles Wichtige zur DSGVO, Fachwissen, Expertentipps und praktische Vorlagen finden Sie auf der Lexware Themenseite „DSGVO“!

Inhalt und Umsetzung des Verarbeitungsverzeichnisses

Die Schwierigkeit ist häufig, dass man nicht weiß, was Prozesse überhaupt sind und wie fein aufgegliedert sie aufgeführt werden müssen. Eine verlockende Herangehensweise könnte es dabei sein, sich an der eingesetzten Software zu orientieren. Hierbei würde man beispielsweise davon ausgehen, dass „Outlook“ ein Prozess ist, mit dem verschiedene personenbezogene Daten verarbeitet werden. Hiervon ist allerdings abzuraten, da es gerade bei Outlook unterschiedliche Daten und Verarbeitungsformen gibt (z.B. E-Mails, Termine, Kontakte, Aufgaben etc.). Somit ist dies kein empfehlenswerter Ansatz.

Stattdessen ist es besser, von den einzelnen Bereichen – wie eben E-Mails, Termine, Kontakte usw. – auszugehen und festzulegen, dass dies einzelne Verarbeitungstätigkeiten sind. Outlook ist hierbei nur das „Werkzeug“, das dafür eingesetzt wird. Und dieses Werkzeug wird irgendwann vielleicht einmal ausgetauscht, der Vorgang bleibt jedoch gleich.

Für die konkrete Umsetzung des Verarbeitungsverzeichnisses kann man z.B. eine Excel-Tabelle anlegen. Deren erste Spalte füllt man untereinander mit den Abteilungen, die im eigenen Unternehmen vorhanden sind – also Geschäftsführung, Marketing, IT, Buchhaltung, Personalabteilung etc. Damit hat man zumindest schon einmal ganz grob eine Unterteilung in verschiedene Prozesse, die man dann „nur“ noch mit den Pflichtangaben aus Art. 30 DSGVO versehen muss. Zu diesen Angaben gehören

  • der Zweck der Verarbeitungstätigkeit (also z.B. Kundenbetreuung, Personalverwaltung oder Werbezwecke),
  • die Kategorien der betroffenen Personen (beispielsweise Kunden, Beschäftigte, Lieferanten etc.),
  • die Kategorien der verarbeiteten Daten (wie etwa Name, Adressdaten, Kontaktdaten, Vertragsdaten usw.),
  • evtl. auch die Kategorien von besonders sensiblen Daten im Sinne von Art. 9 DSGVO (also z.B. Gesundheitsdaten),
  • die Kategorien von Empfängern der Daten (z.B. Bank, Finanzamt, Krankenkasse o.ä.),
  • eine evtl. geplante Übermittlung der Daten in Länder außerhalb der EU sowie
  • einschlägige Lösch- bzw. Aufbewahrungsfristen (z.B. 10 Jahre gem. Steuerrecht, 6 Monate für Daten abgelehnter Bewerber, 2 Jahre bei bestehenden Gewährleistungspflichten usw.).

Damit hat man dann bereits zumindest ein in den Grundzügen existierendes Verarbeitungsverzeichnis. Natürlich ist es sinnvoll und aus juristischer Sicht auch besser, die Prozesse noch etwas feiner aufzuschlüsseln. Wie das in etwa aussehen kann, lässt sich entsprechenden Mustern entnehmen. Eine allgemeine Vorlage für ein Verarbeitungsverzeichnis sowie weitere Muster finden Sie unter www.lexware.de/dsgvo/mustervorlagen. Das Bayerische Landesamt für Datenschutz (LDA Bayern) stellt auf seiner Website zudem spezielle Vorlagen für Handwerksbetriebe, Einzelhändler oder auch für Vereine kostenfrei bereit.

Jetzt für den Gratis-Newsletter anmelden!
Alles Wichtige zu Buchhaltung & Finanzen, Mitarbeiter & Gehalt, Marketing & Vertrieb u.v.m.
Geballtes Fachwissen und Vorlagen zur DSGVO

auf unserer Themenseite Datenschutzgrundverordnung


War dieser Beitrag hilfreich?
Bitte tragen Sie einen Kommentar ein.