Das Verfahrensverzeichnis bzw. Verzeichnis für Verarbeitungstätigkeiten ist ein wichtiger Bestandteil der Datenschutzdokumentation. Wer eins führen muss und welche Informationen darin enthalten sein müssen, klären wir heute.

Erstmal grundlegend: Ein Verfahrensverzeichnis umfasst alle Verarbeitungstätigkeiten und -abläufe mit personenbezogenen Daten, bietet Transparenz für Verantwortliche und enthält Pflichtangaben, welche dazu notwendig sind, die Rechenschaftspflichten zu erfüllen. Die Rechtsgrundlage bildet der Art. 30 DS-GVO.

Ein Verfahrensverzeichnis muss jeder Verantwortliche führen, dessen Unternehmen mehr als 250 Beschäftigte hat bzw. wenn Verarbeitungstätigkeiten durchgeführt werden, welche mit Risiken behaftet sind, regelmäßig stattfinden oder besonders sensible Daten wie Gesundheitsdaten verarbeiten. Grundsätzlich bedeutet das, dass eigentlich jedes Unternehmen ein Verarbeitungsverzeichnis führen muss, da in der Regel immer Risiken vorhanden sind.

Und was muss da nun drinstehen? Das sind eigentlich die ganz offensichtlichen Dinge, die Sie sich jetzt gerade vermutlich schon denken können:

• Namen und Kontaktdaten des Verantwortlichen, gemeinsam mit ihm Verantwortlichen (wenn gegeben), Vertreter und ggf. Datenschutzbeauftragten
• die Zwecke der Verarbeitung
• eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten
• Kategorien von Empfängern, welchen die personenbezogenen Daten offengelegt sind oder werden
• wenn gegeben, Übermittlungen in Drittländer oder internationale Organisationen
• wenn möglich die vorgesehenen Fristen für die Löschung
• wenn möglich, eine allgemeine Beschreibung der ergriffenen technischen und organisatorischen Maßnahmen

Das sind im Prinzip alles Infos, welche Sie bei Abschluss einer Auftragsverarbeitungsvereinbarung ohnehin einholen bzw. in Erfahrung bringen.

Auch Auftragsverarbeiter müssen ein Verfahrensverzeichnis führen. Allerdings in „abgespeckter“ Version. Hier sind die entsprechendne Kontaktdaten und Namen der Auftragsverarbeiter aufzuführen, Kategorien von Verarbeitern, die im Auftrag jedes Verantwortlichen durchgeführt werden, Übermittlungen an Drittländer und sofern möglich die allgemeine Beschreibung technischer und organisatorischer Maßnahmen.

Und was bringt das Ganze nun? Nun zum einen, kann damit die eingangs erwähnte Rechenschaftspflicht erfüllt werden. Außerdem bietet ein Verfahrensverzeichnis Transparenz und hilft eine ordnungsgemäße Datenschutzdokumentation aufrecht zu erhalten, Verfahrensabläufe im Detail prüfen zu können und ggf. weiter zu regelnde Sachverhalte aufzudecken.

Ist Ihr Verfahrensverzeichnis bzw. Verzeichnis für Verarbeitungstätigkeiten vorhanden und ordnungsgemäß geführt? Denken Sie daran, neue Verarbeitungstätigkeiten umgehend in das Verzeichnis aufzunehmen, um zu verhindern, dass es lückenhaft wird und sicherzustellen, dass alle Vorgaben erfüllt sind.