Verzeichnis von Verarbeitungstätigkeiten nach DSGVO – wen trifft die Pflicht? (Update 2020)

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Verfahrensverzeichnisse (nach DSGVO Verzeichnis von Verarbeitungstätigkeiten) sind seit dem 25. Mai 2018 zur Pflichtdokumentation für viele Unternehmen geworden. Dieser Artikel soll Ihnen helfen, zu ermitteln, ob auch Sie ein Verfahrensverzeichnis erstellen müssen.

Erfahren Sie:

  • Wen trifft überhaupt die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und zu pflegen?
  • Gibt es Ausnahmen von der Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten?
  • Wer muss die Dokumente im Unternehmen erstellen und vorhalten?
  • Auf welche Folgen muss ich mich einstellen, wenn ich kein Verarbeitungsverzeichnis erstelle?
  • Drei Beispiele aus der Praxis und 4 häufig gestellte Fragen.

Wen trifft die Pflicht?

Vorab ist zu sagen, dass Sie mit sehr hoher Wahrscheinlichkeit ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Sobald Sie in Kontakt mit Menschen stehen, verarbeiten Sie deren Daten und sind damit von der DSGVO betroffen.

Die gesetzlichen Grundlagen

Das Gesetz bindet die Pflicht ein Verzeichnis aller Verarbeitungstätigkeiten zu führen daran, ob eine Verarbeitung stattfindet. Wenn diese stattfindet, so muss sie im Verzeichnis dokumentiert werden. Eine Verarbeitung im Sinne der DSGVO wiederum findet dann statt, wenn personenbezogene Daten manuell oder automatisch verarbeitet werden. Das Gesetz zählt die Tätigkeiten recht umfassend auf:

[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.

Damit wird also eine große Anzahl an Unternehmen verpflichtet ein Verzeichnis zu führen, sogar wenn keine automatische Verarbeitung erfolgt. Inklusive Vereine, Einzelkaufleute und Handwerker. Darüber hinaus muss auch ein Auftragsdatenverarbeiter ein Verzeichnis führen, wenn also z.B. im Auftrag Kundendaten analysiert werden oder Plattformen bereit gestellt werden. Die DSGVO gilt für alle EU-Bürger, d.h. selbst wenn der Mutterkonzern in den USA sitzt, ist die DSGVO anwendbar.

Beispiele für Unternehmen und Einzelpersonen, die ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen:

  • Friseure, Handwerker, Reinigungsunternehmen
  • Gastgewerbe (Restaurants, Lieferdienste usw.), Hotels, sonstge Tourismusbetriebe
  • Einzelhandel und Großhandel
  • Industrieunternehmen
  • Bauunternehmen, Logistikunternehmen
  • Blogger und Foren-Betreber, insofern nicht zu rein privaten Zwecken betrieben wird
  • Pflegeeinrichtungen, Arztpraxen, Krankenhäuser, Hebammen, sonstige Unternehmen der Gesundheitsbranche

Wer muss kein Verzeichnis führen?

So schön es wäre, kein Verzeichnis führen zu müssen, so ist die Ausnahme doch recht selten anzuwenden. Auf den ersten Blick scheint es so, als wären viele kleine Unternehmen ausgenommen. Dies ist aber ein Trugschluss.

Es gilt die Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dann muss das Verzeichnis nicht aufgestellt werden, allerdings nur, wenn einige zusätzliche Kriterien zutreffen.

[…] es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Art. 30 (5) DSGVO

Während die ersten drei Kriterien bei vielen Unternehmen zutreffen können, werden nur die wenigsten gelegentlich personenbezogene Daten verarbeiten. Eine Webseite oder eine Lohnabrechnung reichen schon aus, damit die Verarbeitung regelmäßig stattfindet.

Wer ist im Unternehmen verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen?

Im Unternehmen ist laut Gesetz der Verantwortliche verpflichtet das Verfahrensverzeichnis aufzustellen und zu pflegen. Verantwortlicher für das Verzeichnis ist demnach beim Einzelunternehmer z.B. der Inhaber oder aber bei der GmbH der Vertretungsberechtigte, also z.B. der oder die Geschäftsführer. In der Praxis jedoch ist oft der Datenschutzbeauftragte intern dafür zuständig, das Verzeichnis zu führen und zu erstellen, wenngleich die Verantwortung bei dem Verantwortlichen bleibt. Der Verantwortliche ist es auch, der das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss.

Was sind die Folgen, wenn kein Verzeichnis von Verarbeitungstätigkeiten erstellt wird?

Die Folgen, wenn kein aktuelles Verfahrensverzeichnis nach Anfrage der Behörde vorgelegt werden kann, sind verheerend. So können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (Art 83 (4) DSGVO). Dies ist umso ärgerlicher, wenn man bedenkt, wie leicht ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden kann.

Beispiele aus der Praxis

  • Die A GmbH mit 20 Mitarbeitern führt ihre Lohnabrechnung digital durch.
    • Eine Pflicht zur Aufstellung eines Verfahrensverzeichnisses besteht, da die A GmbH personenbezogene Daten nicht nur gelegentlich verarbeitet.
    • Die 250-Personen Grenze gilt hier nicht
  • Der Marketingdienstleister mit 2 Mitarbeitern analysiert die Daten seiner Kunden über Google Analytics.
    • Auch hier muss ein Verzeichnis erstellt werden, da personenbezogene Daten von vielen Kunden verarbeitet werden
    • Nicht nur der Dienstleister muss ein Verfahrensverzeichnis führen, sondern auch die Kunden.
  • Der Friseur hat eine Kundenkartei, in der jeder Angestellte nach jedem Schnitt Daten wie Name, Telefonnummer und Haarschnitt notiert.
    • Die Verarbeitung erfolgt manuell, dies ist aber unerheblich, da die Verarbeitung regelmäßig erfolgt.
    • Auch hier muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden, gleichwohl dies nur wenige Einträge hat.
    • Wenn der Friseur noch Mitarbeiter hat, würde die regelmäßige Lohnabrechnung auch ausreichen, ein Verzeichnis nach DSGVO führen zu müssen.

4 Fragen zur Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen

Ich beschäftige keine Mitarbeiter und bin Selbstständig, ich habe keinen Internetauftritt, muss ich trotzdem ein Verzeichnis von Verarbeitungstätigkeiten führen?

Ja, denn Sie werden höchstwahrscheinlich regelmäßig Kontakt mit Kunden haben und z.B. Rechnungen schreiben. Die 250-Personen Grenze gilt nur für Sie, wenn Sie nur sehr selten Kundenkontakt haben.

Muss ich mein Verzeichnis von Verarbeitungstätigkeiten jedem zur Verfügung stellen?

Nein, auf keinen Fall. Lediglich die für Sie zuständige Datenschutzaufsichtsbehörde kann Einsicht verlangen. Das öffentliche Verfahrensverzeichnis existiert nicht mehr. Sie sollten das Verarbeitungsverzeichnis nach DSGVO nicht veröffentlichen, da es Informationen enthalten kann, welche Sie nicht jedermann zugänglich machen möchten.

Wie oft muss ich mein Verzeichnis von Verarbeitungstätigkeiten aktualisieren?

Sie müssen das Verzeichnis nach DSGVO stets aktuell halten. In der Praxis hat sich ein jährlicher Turnus bewährt.

Gibt es eine offizielle Stelle, die mir bescheinigen kann, dass ich von der Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen befreit bin?

Grundsätzlich können Sie sich jederzeit an die für Sie zuständige Aufsichtsbehörde wenden. Dort können Sie Ihren Fall schildern und um Auskunft bitten.

Resümee: Jeder Unternehmer sollte ein Verfahrensverzeichnis erstellen

Die gesetzliche Definition ist sehr weitreichend und schließt viele Unternehmen ein. Aufgrund dessen, ist davon auszugehen, dass die meisten Unternehmen gezwungen sind, ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO zu erstellen. Die Bußgelder sind hoch und es ist abzusehen, dass die Behörden von Ihrer Befugnis umfangreich Gebrauch machen werden.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-4-dsgvo/

https://dsgvo-gesetz.de/bdsg-neu/70-bdsg-neu/