Jetzt Mitglied werden!
eRecht24.de

Verarbeitungsverzeichnis nach der DSGVO

Ist das Verzeichnis von Verarbeitungstätigkeiten Pflicht für jeden Unternehmer?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(35 Bewertungen, 3.69 von 5)

Das Wichtigste in Kürze

  • Unternehmen, die personenbezogene Daten verarbeiten, müssen die Verarbeitungsvorgänge in einem sogenannten Verarbeitungsverzeichnis dokumentieren.
  • Führen Sie das Verfahrensverzeichnis trotz der Pflicht nicht oder nicht vollständigen, drohen Bußgelder von bis zu 10 Millionen Euro.
  • Mit DatenschutzPro auf eRecht24 Premium können Sie nicht nur Ihr Verarbeitungsverzeichnis erstellen, sondern es auch stets aktuell halten.
Ich möchte mich umfassend informieren Jetzt Verarbeitungsverzeichnis erstellen

Worum geht's?

Mit der DSGVO benötigt seit 2018 jedes Unternehmen im Netz ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten. In diesem Verzeichnis müssen Sie all Ihre Verarbeitungsvorgänge auflisten. Woher kommen die Kundendaten in Ihrem Unternehmen? Wo gehen diese Daten hin? Wie lange werden Daten gespeichert? Was passiert mit Daten, wenn Sie sie nicht mehr benötigen? Das klingt kompliziert. Ist es auch. Aber mit den richtigen Vorlagen und Online-Tools können Sie diese lästige Pflicht schnell abhaken. Wir klären Sie in diesem Artikel auf.

 

1. Was ist ein Verarbeitungsverzeichnis?

Nach der EU-Datenschutz-Grundverordnung (DS-GVO) ist ein "Verarbeitungsverzeichnis" unverzichtbar. Es dokumentiert Verarbeitungsvorgänge personenbezogener Daten, fördert Transparenz und schützt rechtlich. Dieses Verzeichnis hilft Datenschutzbeauftragten und Aufsichtsbehörden bei ihrer Arbeit.

In Deutschland und der EU sind die wesentlichen Datenschutz-Themen wie die Pflicht eine Datenschutzerklärung und ein Impressum zu führen oder nötige Nutzereinwilligungen für das Setzen von Cookies in der Datenschutzgrundverordnung verankert.

Gemäß Art. 30 der DSGVO ist vorgeschrieben, dass jeder Verantwortliche, der mit der Verarbeitung personenbezogener Daten zu tun hat, seine Verarbeitungsvorgänge in einem ausführlichen "Verzeichnis der Verarbeitungstätigkeiten" dokumentieren muss. Mit unserer Datenschutz-Lösung auf eRecht24 Premium können Sie Ihr Verzeichnis von Verarbeitungstätigkeiten erstellen und aktualisieren. Mittels eines Ampel-Systems erhalten Sie eine Risikoabschätzung und Hinweise, wie Sie den Datenschutz in Ihrer Firma noch weiter verbessern können.

Jetzt Datenschutz absichern

DatenschutzPro

Schützen Sie noch heute Ihre Unternehmensdaten – mit unserer flexiblen und einfachen Lösung:

  • Mehrere Projekte einfach verwalten
  • Datenschutzrisiken auf einen Blick bewertet
  • AV-Verträge & TOMs erstellen
  • Intuitive und zeitsparende Handhabung
Jetzt Datenschutz absichern

Was sind personenbezogene Daten?

Personenbezogene Daten sind zum Beispiel:

  • Bestelldaten von Kunden
  • Namen und Anschrift des Kunden
  • die E-Mail-Adresse in einem Newsletter
  • die IP-Adresse

Die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen

Vor der DSGVO war es nur für größere Unternehmen Pflicht, ein sogenanntes Verfahrensverzeichnis zu führen. Manchmal mussten Verantwortliche diese Verzeichnis auch den Betroffenen auf Verlangen übermitteln. Mit der DSGVO heißt das "Verfahrensverzeichnis" jetzt "Verarbeitungsverzeichnis".

PRAXIS-TIPP

Die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, betrifft so gut wie jeden Verantwortlichen, der eine Verarbeitung personenbezogener Daten im Unternehmen durchführt. Es muss akribisch dokumentiert werden, wie Verantwortliche mit dem Risiko für die Rechte und Freiheiten der betroffenen Personen und ihren personenbezogenen Daten umgehen.

Als Unternehmer oder Auftragsverarbeiter beschreiben Sie im DSGVO-Verarbeitungsverzeichnis folgende Verarbeitungstätigkeiten (Beispiele):

  • welche Kategorien von Daten Sie speichern,
  • auf welcher Rechtsgrundlage dies geschieht,
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32 Absatz 1),
  • wie lange bestimmte Daten gespeichert werden, sowie die Fristen für die Löschung,
  • an wen diese personenbezogenen Daten weitergegeben werden,
  • wie sie geschützt werden und so weiter.

Die zuständige Aufsichtsbehörde wird Sie bei jeder Prüfung oder Beschwerde zuerst nach diesem Verzeichnis fragen. Ein gutes Verarbeitungsverzeichnis ist also eine rechtliche Pflicht und das "datenschutzrechtliche Aushängeschild" für jedes Unternehmen.

2. Wer benötigt ein Verarbeitungsverzeichnis?

Fast jeder Unternehmer muss nach der DSGVO ein ausführliches Verzeichnis von Verarbeitungstätigkeiten führen. Für kleinere Unternehmen gibt es zwar Ausnahmen. Aber: Diese Ausnahmen greifen nur, wenn die personenbezogenen Daten „nicht nur gelegentlich“ verarbeitet werden.

Leider gibt es keine klare Aussage darüber, was nicht nur gelegentlich bedeutet. Als Unternehmer sollten diese Dokumentationspflichten also ernst nehmen. Das Verzeichnis ist nicht nur eine gesetzliche Pflicht. Sie können es auch als Marketinginstrument zur Kundenbindung nutzen.

Ein Beispiel: Das britische Marktforschungsinstitut Vanson Bourne führte im Jahr 2017 eine Studie durch. Knapp 70 Prozent der befragten Nutzer gaben dabei an, dass sie nach einer Datenschutzverletzung keine weiteren Geschäfte mehr mit dem jeweiligen Unternehmen tätigen würden. 2019 zeigte eine weitere Studie von CISCO, dass Kaufentscheidungen von Verbrauchern viel schneller getroffen werden, wenn der Anbieter datenschutzrechtlich sauber aufgestellt war.

ACHTUNG

Für das Verzeichnis von Verarbeitungstätigkeiten laut DSGVO gibt es Muster, die im Internet kursieren. Wer für ein Verarbeitungsverzeichnis allerdings eines der vielen allgemeinen oder alten Internet-Muster verwendet, läuft Gefahr, unnötige und gefährliche Fehler zu machen. Das verärgert die Datenschutzbehörde und beschädigt das Vertrauen Ihrer Kunden.

Mit einem guten und stimmigen Verzeichnis von Verarbeitungstätigkeiten können Unternehmer mit wenig Aufwand eines der größten DSGVO-Haftungsrisiken minimieren. Und gleichzeitig das Kundenvertrauen nachhaltig steigern.

3. Welchen Inhalt hat ein Verzeichnis von Verarbeitungstätigkeiten?

Für ein DSGVO-konformes Verarbeitungsverzeichnis müssen Sie und Ihre Mitarbeiter sich als Erstes darüber im Klaren sein, welche Angaben in diesem Verzeichnis überhaupt gemacht werden müssen.

WICHTIG DABEI

Sie müssen nicht alle einzelnen Kundendaten in das Verzeichnis übernehmen. Es geht um die Datenschutz-Vorgänge und Datenkategorien an sich, bei denen Sie personenbezogene Daten speichern oder verarbeiten.

Also nicht:

Name: Klaus Müller
E-Mail-Adresse: klaus_mueller@mailprovider.de
Anschrift: Hoher Weg 3, 10117 Berlin

Sie müssen beim Erstellen des Verzeichnisses also nicht die konkreten Kundendaten, sondern die Tätigkeiten und Datenarten auflisten. Also etwa:

  • Verarbeitung von Bewerber- und Personaldaten
  • interne und externe Unternehmenskommunikation
  • Kundenbetreuung
  • Marketing
  • Social Media Auftritte
  • Finanzen und Buchhaltung
  • Videoüberwachung
  • Datenvernichtung

Das klingt zunächst einmal aufwendig. Aber: Bei den meisten Unternehmen handelt es sich um gängige Geschäftsprozesse, die Sie relativ einfach in ein Verarbeitungsverzeichnis (früher: Muster Verfahrensverzeichnis nach BDSG) übertragen können. Ein fertiges Verzeichnis von Verarbeitungstätigkeiten kann dann beispielsweise so aussehen (Auszug):

VV muster

4. Wer ist für das Führen des Verarbeitungsverzeichnisses verantwortlich?

Die Verantwortlichen für das Verarbeitungsverzeichnis sind der Unternehmer bzw. der Geschäftsführer des Unternehmens. Sie müssen im Rahmen der Dokumentationspflicht der DSGVO sämtliche Verarbeitungstätigkeiten dokumentieren. Nur so sind Sie bei Prüfungen der Aufsichtsbehörden auf der sichern Seite.

WICHTIG

Das gilt nicht nur für die Daten in der Beziehung Unternehmer - Kunde. Sondern auch für Daten, die zum Beispiel im Rahmen der Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) anfallen. Etwa, wenn Sie als Agentur personenbezogene Daten Ihrer Kunden im Auftrag verarbeiten, weil Sie Newsletter-Kampagnen oder GoogleAds Kampagnen für Ihre Kunden durchführen.

5. Welche Strafen drohen, wenn Sie kein Verarbeitungsverzeichnis führen?

Halten Sie sich nicht an die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, oder führen Sie dieses nur unvollständig, drohen laut DSGVO Geldbußen. Diese können bis zu 10 Millionen Euro oder 2 % des erzielten weltweiten Jahresumsatz im vorangegangenen Geschäftsjahr betragen.

ACHTUNG

Das Bußgeld droht auch, wenn Sie den zuständigen Aufsichtsbehörden auf Verlangen das Verarbeitungsverzeichnis nicht vorlegen.

6. So gehen Sie vor, wenn Sie ein Verarbeitungsverzeichnis erstellen

Wenn Sie ein Verarbeitungsverzeichnis erstellen wollen (oder müssen), sollten Sie als Erstes eine Liste der Dateneingänge und -ausgänge erstellen, die in Ihrem Unternehmen anfallen.

Wenn Sie oder Ihre Mitarbeiter ein Verarbeitungsverzeichnis erstellen wollen, stehen für die Dokumentation der Verarbeitungstätigkeiten nach der DSGVO grundsätzlich drei Varianten zur Verfügung:

  1. Sie erstellen das Verarbeitungsverzeichnis selbst: Das kann bei rechtlich unerfahrenen Personen aber relativ aufwendig, fehleranfällig und risikoreich sein (Bußgelder).
  2. Sie beauftragen einen auf Datenschutz spezialisierten Rechtsanwalt mit der Erstellung: Das ist zwar ein sicherer Weg, kann aber leicht mehrere tausend Euro kosten. Für kleine Unternehmen und Einzelkämpfer dürfte ein solcher Aufwand aber meist übertrieben sein.
  3. Der Mittelweg: Sie nutzen ein Datenschutz-Tool oder ein Datenschutz-Management-System (DSMS): Hier haben Sie oft Profi-Tools an der Hand, die aber preiswerter sind als die Beratung durch einen Anwalt. Auf eRecht24 Premium bieten wir Ihnen eine Lösung zur Datenschutzdokumentation für Ihr Unternehmen. Einfach, schnell und übersichtlich. Probieren Sie es jetzt aus!
Jetzt Datenschutz absichern

DatenschutzPro

Schützen Sie noch heute Ihre Unternehmensdaten – mit unserer flexiblen und einfachen Lösung:

  • Mehrere Projekte einfach verwalten
  • Datenschutzrisiken auf einen Blick bewertet
  • AV-Verträge & TOMs erstellen
  • Intuitive und zeitsparende Handhabung
Jetzt Datenschutz absichern

 

 

 

Caroline Schmidt
Caroline Schmidt, B.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über vier Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details