Wer braucht ein DSGVO Verarbeitungsverzeichnis?

/in , ,

Viele kleinere Unternehmen fragen sich, brauche ich eigentlich ein Verarbeitungsverzeichnis. Kann ein Unternehmen möglicherweise auch mit Hinweis auf Artikel 30 DSGVO darauf verzichten?

Ich sage hier ganz klar: Nein, jedes Unternehmen braucht das.

Gründe für ein Verarbeitungsverzeichnis

In Artikel 30 DSGVO ist der Inhalt und die Pflicht zum Führen des Verzeichnisses beschrieben. Wer bis zum Absatz 5 liest stellt fest, dass dort der Satz steht „Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, …“. Hieraus leitet manch einer ab, dass damit die Pflicht  zum Führen eines Verarbeitungsverzeichnisses für ihn nicht gelte.

Ich empfehle dringend, weiterzulesen. Es folgen nun Ausnahmen von der Ausnahme:

es sei denn

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikel 10

Spätestens hier wird klar, dass schon der erste Punkt auf den überwiegenden Teil der in einem Unternehmen vorliegenden Verarbeitungen zutreffen kann. In den meisten Unternehmen findet ebenfalls eine regelmäßige Verarbeitung statt.  Denkt bitte als erstes immer an die Verarbeitung von Personaldaten, für die beide Punkte zutreffen.

Es gibt aber noch einen weiteren Grund, warum das Führen eines „Verzeichnisses von Verarbeitungen“ (Verarbeitungsverzeichnis) notwendig ist:

Woher soll ein Unternehmen wissen, welche Schutzmaßnahmen ergriffen werden sollen, wenn es nicht weiß, wo und wie welche Daten verarbeitet werden.

Hier verweise ich insbesondere auf die Artikel 5, Abs. 1 und 2, in dem sowohl die Gewährleistung einer angemessener Sicherheit der Verarbeitung personenbezogener Daten, sowie der in Artikel 2 Absatz 5 vermerkten „Rechenschaftspflicht“ bzgl. der getroffenen Maßnahmen zu erfüllen sind. Ohne Verarbeitungsverzeichnis als Startpunkt ist das nur schwer möglich.

Daher empfehle ich grundsätzlich, dieses Verarbeitungsverzeichnis sehr früh anzulegen, um auf dieser Basis viele weitere Schritte zu planen oder auch die TOMs abzustimmen.