Das Verarbeitungsverzeichnis oder „Verzeichnis von Verarbeitungstätigkeiten“, wie es in Art. 30 DS-GVO genannt ist, sorgt für manches Kopfzerbrechen. Der Gesetzgeber hat festgelegt, dass jeder (!) Verantwortliche bzw. dessen Vertreter ein solches Verzeichnis zu führen hat. Ein Verstoß dagegen kann mit einem Bußgeld belegt werden. Zwar gibt es in Abs. 5 Ausnahmen von dieser Pflicht, die jedoch in den meisten Fällen nicht greifen werden. Fazit: Wer personenbezogene Daten verarbeitet, sollte seine Verarbeitungstätigkeiten auflisten.

Was sind Verarbeitungstätigkeiten?

Der Gesetzgeber hat nicht definiert, was unter den Verarbeitungstätigkeiten genau zu verstehen ist. Es wird daher die ganze Bandbreite an Auslegungen vertreten. Von eher abstrakten Beschreibungen bis hin zu sehr detaillierten Ausführungen. Natürlich kann man als Faustformel sagen: Je genauer und detaillierter, desto weniger Angriffsfläche bietet sich.

Was soll ich konkret tun?

Es ist hilfreich, wenn man sich zunächst den Datenfluss der personenbezogenen Daten vorstellt. Ist das nur ein Fluss? Oder gibt es nicht mehrere Ströme? Zum Beispiel in der Arztpraxis. Neue Patienten müssen elektronisch erfasst werden. Hier liegt eine Verarbeitungstätigkeit im Erfassen zum Beispiel über eine Software, die die Krankenkassenkarte ausliest. Oder im Eintippen der Daten in die Software. Im Lauf der Behandlung kommen dazu weitere Daten, die in einer Krankenakte gespeichert werden. Das ist wieder eine Verarbeitungstätigkeit. Es könnten Daten des Patienten an einen Facharzt, Hausarzt, Labor oder Krankenhaus weitergegeben werden. Erneut wird wieder eine Verarbeitungstätigkeit ausgelöst. Löst man dann den Blick vom Patienten zu den Mitarbeitern, fallen auch hier neue Verarbeitungstätigkeiten auf. Daten der Mitarbeiter werden aufgenommen, gespeichert, an Lohnbuchhalter und Sozialversicherungsträger weitergegeben. Alles Verarbeitungstätigkeiten. Dann kommen noch die Bewerber dazu. Möglicherweise gibt es noch den Austausch von Daten mit einem Auftragsverarbeiter. Wieder müssen diese Verarbeitungen im Verzeichnis beschrieben werden.

Tipp: Einfach anfangen! Es sollte zunächst eine grobe/abstrakte Übersicht erstellt werden. Diese sollte nach und nach verfeinert werden.

Welche Form braucht das Verzeichnis?

In der Praxis bietet es sich an, die Verarbeitungen tabellarisch aufzulisten. Im Kopf des Verzeichnisses muss nach Art. 30 DSGVO der Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten stehen.
Es folgen für jede Verarbeitung

1. die Angaben zum Zweck der Verarbeitung;
2. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
3. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
4. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
5. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
6. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Die Nummern 1-6 sind jeweils die Spalten 2-7 der Tabelle. In Spalte 1 kommt die Bezeichnung der Verarbeitung. Schon ist eine grundlegende Tabelle fertig. Natürlich dürfen weitere Spalten folgen, wie zum Beispiel Namen intern verantwortlicher Personen, Wiedervorlagen für Prüfungen etc.

Was tun, wenn es zu kompliziert wird?

Ganz einfach: Fragen Sie die Experten. Wir beraten Sie auch in Einzelfragen zum Datenschutz. Das kann eine Prüfung oder das Erstellen eines Verarbeitungsverzeichnisses sein. Sprechen Sie uns an.