Was ist ein "Verzeichnisses der Verarbeitungstätigkeiten" oder "Verfahrensverzeichnis" und was muss darin stehen?

Die DSGVO schreibt dem Online-Händler zahlreiche Pflichten gegenüber seinen Kunden vor, deren Daten er erhebt und verarbeitet/verarbeiten lässt. Hier lesen Sie alles, was Sie dazu wissen müssen.

Damit die Einhaltung dieser Pflichten für den Händler nachweisbar und für die zuständigen Aufsichtsbehörden überprüfbar ist, wird in der DSGVO die Führung eines Verzeichnisses der Verarbeitungstätigkeiten vorgesehen (Art. 30 DSGVO).

Was ist das Verzeichnis genau?

Die DSGVO stellt keine konkrete Anforderung an die Form und die Struktur des Verzeichnisses. Dieses muss lediglich gem. Art. 30 Abs. 3 DSGVO schriftlich oder in elektronischer Form geführt werden.

Auf jeden Fall soll dem Verzeichnis unmissverständlich zu entnehmen sein, welche Verarbeitungstätigkeiten der Händler in Bezug auf die personenbezogenen Daten seiner Kunden selbst oder mittels eines weisungsgebundenen Auftragsverarbeiters ausführt. Diese Verarbeitungstätigkeiten können z.B. in der Erhebung und (Übertragung zur) Bearbeitung der Daten zu Werbungszwecken, deren Auswertung zur Webanalyse, der Übertragung an Newsletter-Dienstleister usw. bestehen. Im Verzeichnis muss also ab der Erhebung jeder Umgang mit personenbezogenen Daten vermerkt und verfolgbar sein.

Es dient letztendlich der Überprüfbarkeit der Einhaltung der Datenschutzgrundsätze gemäß DSGVO im eigenen Unternehmen (für die datenschutzrechtlichen Grundsätze, siehe https://shop.trustedshops.com/de/blog/detail/sCategory/17/blogArticle/266).

Wer muss ein solches Verzeichnis führen?

Die DSGVO bezweckt eine ausnahmslose Durchsetzbarkeit der Auskunftsrechte und versucht deswegen, alle möglichen Lücken, die das verhindern können, zu schließen. So wird die Pflicht zur Verzeichnisführung laut Art. 30 DSGVO nicht nur dem Online-Händler (dem Verantwortlichen) und ggf. dessen Vertreter, sondern auch dem Auftragsverarbeiter und ggf. dessen Vertreter auferlegt. Jeder hat also eigenverantwortlich ein Verzeichnis zu führen.

Das Verzeichnis ist nicht nur für einen Online-Shop zu erstellen. Betreiben Sie mehrere Online-Shops bzw. verkaufen Sie zusätzlich noch auf weiteren Verkaufsplattformen? Dann ist auch nicht für jeden einzelnen Online-Shop oder Verkaufsplattform ein Verzeichnis anzulegen. Es ist ein Verzeichnis für die Gesamtheit aller Verarbeitungstätigkeiten im Unternehmen zu führen (z.B. Für Verarbeitungsprozesse in der Buchhaltung, Personalabteilung, usw.)

Was muss das Verzeichnis enthalten?

Die Angaben, die das Verzeichnis enthalten muss, unterscheiden sich leicht zwischen Verantwortlichem und Auftragsverarbeiter. Im vorliegenden Beitrag behandeln wir das ausführlichere und für Sie als Online-Händler relevantere Verzeichnis des Verantwortlichen.

Art. 30 Abs. 1 DSGVO bestimmt, dass das durch den Verantwortlichen oder dessen Vertreter geführte Verzeichnis folgende Angaben enthalten muss:

  • Namen und Kontaktdaten des/der Verantwortlichen, seines/ihres Vertreters und ggf. eines etwaigen Datenschutzbeauftragten: Dies dient der Identifizierung des Verantwortlichen bzw. seines Ansprechpartners.
  • den Verarbeitungszweck: Wofür werden personenbezogene Daten erhoben und verarbeitet? Die Auflistung ermöglicht eine Überprüfung, ob der jeweilige Verarbeitungsvorgang auch rechtmäßig, d.h. auf einer Rechtsgrundlage beruht (z.B. Einwilligung). Beispielsweise zählt dazu die Verarbeitung von personenbezogenen Daten zum Zwecke der Werbung, Statistik, Webanalyse etc.
  • eine Beschreibung der Kategorien betroffener Personen und personenbezogener Daten: Betroffene Personen sind z.B. Kunden oder Mitarbeiter. Personenbezogene Daten sind im Unternehmen z.B. die Kontaktdaten der Kunden). Eine abstrakte Beschreibung der Kategorien ist dabei ausreichend.
  • die Kategorien von Empfängern der Daten im In- und Ausland sowie in internationalen Organisationen: Für wen sind die erhobenen Daten bestimmt und wo befindet sich diese Person? Darunter fallen z.B. Dienstleister im Rahmen einer Auftragsverarbeitung.
  • ggf. Datenübermittlungen an ein Drittland oder eine internationale Organisation unter Angabe des Landes/der Organisation sowie Dokumentierung geeigneter Garantien bei Datenübermittlungen gem. Art. 49 Abs. 1 Unterabsatz. 2 DSGVO:
    Wird das Drittland benannt, in das personenbezogene Daten übermittelt werden? Werden etwaige Garantien angegeben, die ein angemessenes Datenschutzniveau gewährleisten, sofern kein Angemessenheitsbeschlusses der Europäischen Kommission vorliegt? Weitere Einzelheiten dazu finden Sie hier.
  • die vorgesehenen Löschungsfristen der Datenkategorien und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Verarbeitungssicherheit gem. Art. 32 Abs. 1 DSGVO:
    Werden Löschfristen genannt? Als Löschfristen zählen z.B. „Nach Widerruf der Einwilligung“ oder „Nach Ende der Nutzung und Zweckfortfall“. Werden für die jeweiligen Verarbeitungstätigkeiten die technisch organisatorischen Maßnahmen (TOM) aufgelistet? Darunter fallen u.a. die verwendete Verschlüsselungssoftware, die Verarbeitung von pseudonymisierten und/oder anonymisierten Daten sowie Verträge zur Auftragsdatenverarbeitung.

Der Begriff der Verarbeitungstätigkeit ist in der DSGVO nicht näher bestimmt. Lediglich in Art. 4 Nr. 2 DSGVO wird der Begriff Verarbeitung definiert. Danach versteht man unter […]

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Die Verarbeitungstätigkeit kann daher als eine Bündelung von einzelnen Verarbeitungsschritten verstanden werden, die den gleichen Zweck verfolgen.

Die einzelnen Verarbeitungsprozesse sollten bei der Erstellung eines Verzeichnisses nicht wahllos ohne Zusammenhang aufgeführt werden. Es empfiehlt sich, die Verarbeitungsschritte transparent und übersichtlich für die einzelnen Abteilungen/Bereiche des Unternehmens zusammenzufassen.

Halten Sie das Verzeichnis außerdem "Up to Date": Kommen neue Verarbeitungsprozesse im Unternehmen hinzu, ist das Verzeichnis zu aktualisieren. Dabei sollte bei Änderungen immer eine Sicherungskopie des vorherigen Verzeichnisstands vorgenommen werden.

Unser Tipp

Überprüfen Sie bereits im Vorfeld, welche (oder ob alle) der vorgeschriebenen Angaben in ihrem Verzeichnis enthalten sein müssen und sammeln Sie die entsprechenden Informationen. Anhand dieser können Sie sodann ein Verzeichnis erstellen.

Unser DSGVO Manager bietet Ihnen den technischen Rahmen, in übersichtlicher und transparenter Weise das Verzeichnis anzulegen. Bereits vorausgefüllte Muster für Verarbeitungstätigkeiten (z.B. Newsletterversand, Tracking-Tools) runden das Ganze ab.


War der Artikel hilfreich?

0 von 0 fanden dies hilfreich