Verzeichnis von Verarbeitungstätigkeiten nach DSGVO – wen trifft die Pflicht? (Update 2021)

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Verfahrensverzeichnisse (nach Datenschutzrecht Verzeichnis von Verarbeitungstätigkeiten) sind seit dem 25. Mai 2018 zur Pflichtdokumentation für viele Unternehmen geworden. Dieser Artikel soll Ihnen helfen, zu ermitteln, ob auch Sie ein Verfahrensverzeichnis erstellen müssen.

Erfahren Sie:

  • Wen trifft überhaupt die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und zu pflegen?
  • Gibt es Ausnahmen von der Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten?
  • Wer muss die Dokumente im Unternehmen erstellen und vorhalten?
  • Auf welche Folgen muss ich mich einstellen, wenn ich kein Verarbeitungsverzeichnis erstelle?
  • Drei Beispiele aus der Praxis und 4 häufig gestellte Fragen.

Wen trifft die Pflicht?

Vorab ist zu sagen, dass Sie mit sehr hoher Wahrscheinlichkeit ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Sobald Sie in Kontakt mit Menschen stehen, verarbeiten Sie deren Daten und sind damit von der DSGVO betroffen.

Die gesetzlichen Grundlagen

Das Gesetz bindet die Pflicht ein Verzeichnis aller Verarbeitungstätigkeiten zu führen daran, ob eine Verarbeitung stattfindet. Wenn diese stattfindet, so muss sie im Verzeichnis dokumentiert werden. Eine Verarbeitung im Sinne der Datenschutzgesetzgebung wiederum findet dann statt, wenn personenbezogene Daten manuell oder automatisch verarbeitet werden. Das Gesetz zählt die Tätigkeiten recht umfassend auf:

[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.

Damit wird also eine große Anzahl an Unternehmen verpflichtet ein Verzeichnis zu führen, sogar wenn keine automatische Verarbeitung erfolgt. Inklusive Vereine, Einzelkaufleute und Handwerker. Darüber hinaus muss auch ein Auftragsdatenverarbeiter ein Verzeichnis führen, wenn also z.B. im Auftrag Kundendaten analysiert werden oder Plattformen bereit gestellt werden. Die DS-GVO gilt für alle EU-Bürger, d.h. selbst wenn der Mutterkonzern in den USA sitzt, ist die EU-DSGVO anwendbar.

Beispiele für Unternehmen und Einzelpersonen, die ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen:

  • Friseure, Handwerker, Reinigungsunternehmen
  • Gastgewerbe (Restaurants, Lieferdienste usw.), Hotels, sonstge Tourismusbetriebe
  • Einzelhandel und Großhandel
  • Industrieunternehmen
  • Bauunternehmen, Logistikunternehmen
  • Blogger und Foren-Betreber, insofern nicht zu rein privaten Zwecken betrieben wird
  • Pflegeeinrichtungen, Arztpraxen, Krankenhäuser, Hebammen, sonstige Unternehmen der Gesundheitsbranche

Wer muss kein Verzeichnis führen?

So schön es wäre, kein Verzeichnis führen zu müssen, so ist die Ausnahme doch recht selten anzuwenden. Auf den ersten Blick scheint es so, als wären viele kleine Unternehmen ausgenommen. Dies ist aber ein Trugschluss.

Es gilt die Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dann muss das Verzeichnis nicht aufgestellt werden, allerdings nur, wenn einige zusätzliche Kriterien zutreffen.

[…] es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Art. 30 (5) DSGVO

Während die ersten drei Kriterien bei vielen Unternehmen zutreffen können, werden nur die wenigsten gelegentlich personenbezogene Daten verarbeiten. Eine Webseite oder eine Lohnabrechnung reichen schon aus, damit die Verarbeitung regelmäßig stattfindet.

Wer ist im Unternehmen verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen?

Im Unternehmen ist laut Gesetz der Verantwortliche verpflichtet das Verfahrensverzeichnis aufzustellen und zu pflegen. Verantwortlicher für das Verzeichnis ist demnach beim Einzelunternehmer z.B. der Inhaber oder aber bei der GmbH der Vertretungsberechtigte, also z.B. der oder die Geschäftsführer. In der Praxis jedoch ist oft der Datenschutzbeauftragte intern dafür zuständig, das Verzeichnis zu führen und zu erstellen, wenngleich die Verantwortung bei dem Verantwortlichen bleibt. Der Verantwortliche ist es auch, der das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss.

Was sind die Folgen, wenn kein Verzeichnis von Verarbeitungstätigkeiten erstellt wird?

Die Folgen, wenn kein aktuelles Verfahrensverzeichnis nach Anfrage der Behörde vorgelegt werden kann, sind verheerend. So können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (Art 83 (4) DSGVO). Dies ist umso ärgerlicher, wenn man bedenkt, wie leicht ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden kann.

Beispiele aus der Praxis

  • Die A GmbH mit 20 Mitarbeitern führt ihre Lohnabrechnung digital durch.
    • Eine Pflicht zur Aufstellung eines Verfahrensverzeichnisses besteht, da die A GmbH personenbezogene Daten nicht nur gelegentlich verarbeitet.
    • Die 250-Personen Grenze gilt hier nicht
  • Der Marketingdienstleister mit 2 Mitarbeitern analysiert die Daten seiner Kunden über Google Analytics.
    • Auch hier muss ein Verzeichnis erstellt werden, da personenbezogene Daten von vielen Kunden verarbeitet werden
    • Nicht nur der Dienstleister muss ein Verfahrensverzeichnis führen, sondern auch die Kunden.
  • Der Friseur hat eine Kundenkartei, in der jeder Angestellte nach jedem Schnitt Daten wie Name, Telefonnummer und Haarschnitt notiert.
    • Die Verarbeitung erfolgt manuell, dies ist aber unerheblich, da die Verarbeitung regelmäßig erfolgt.
    • Auch hier muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden, gleichwohl dies nur wenige Einträge hat.
    • Wenn der Friseur noch Mitarbeiter hat, würde die regelmäßige Lohnabrechnung auch ausreichen, ein Verzeichnis nach DSGVO führen zu müssen.

4 Fragen zur Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen

Ich beschäftige keine Mitarbeiter und bin Selbstständig, ich habe keinen Internetauftritt, muss ich trotzdem ein Verzeichnis von Verarbeitungstätigkeiten führen?

Ja, denn Sie werden höchstwahrscheinlich regelmäßig Kontakt mit Kunden haben und z.B. Rechnungen schreiben. Die 250-Personen Grenze gilt nur für Sie, wenn Sie nur sehr selten Kundenkontakt haben.

Muss ich mein Verzeichnis von Verarbeitungstätigkeiten jedem zur Verfügung stellen?

Nein, auf keinen Fall. Lediglich die für Sie zuständige Datenschutzaufsichtsbehörde kann Einsicht verlangen. Das öffentliche Verfahrensverzeichnis existiert nicht mehr. Sie sollten das Verarbeitungsverzeichnis nach DSGVO nicht veröffentlichen, da es Informationen enthalten kann, welche Sie nicht jedermann zugänglich machen möchten.

Wie oft muss ich mein Verzeichnis von Verarbeitungstätigkeiten aktualisieren?

Sie müssen das Verzeichnis nach DSGVO stets aktuell halten. In der Praxis hat sich ein jährlicher Turnus bewährt.

Gibt es eine offizielle Stelle, die mir bescheinigen kann, dass ich von der Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen befreit bin?

Grundsätzlich können Sie sich jederzeit an die für Sie zuständige Aufsichtsbehörde wenden. Dort können Sie Ihren Fall schildern und um Auskunft bitten.

Wer erstellt das Verzeichnis von Verarbeitungstätigkeiten?

Grundsätzlich ist dafür der Verantwortliche zuständig, also das Unternehmen, bzw. der Unternehmer selbst. Oft wird diese Arbeit allerdings extern vergeben und das Verzeichnis von Verarbeitungstätigkeiten wird von Beratern oder dem Datenschutzbeauftragten erstellt.

Welches ist die gesetzliche Grundlage zur Führung des Verzeichnisses von Verarbeitungstätigkeiten?

Art. 30 DSGVO ist die gesetzliche Grundlage für die Führung eines Verzeichnisses von Verarbeitungstätigkeiten.

Resümee: Jeder Unternehmer sollte ein Verfahrensverzeichnis erstellen

Die gesetzliche Definition ist sehr weitreichend und schließt viele Unternehmen ein. Aufgrund dessen, ist davon auszugehen, dass die meisten Unternehmen gezwungen sind, ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO zu erstellen. Die Bußgelder sind hoch und es ist abzusehen, dass die Behörden von Ihrer Befugnis umfangreich Gebrauch machen werden.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-4-dsgvo/

https://dsgvo-gesetz.de/bdsg-neu/70-bdsg-neu/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto