Verfahrensverzeichnis oder auch Verzeichnis der Verarbeitungstätigkeiten genannt.


 

Die Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht nach Artikel 30 der Datenschutz-Grundverordnung (DSGVO) für alle Verantwortlichen und Auftragsverarbeiter, die personenbezogene Daten verarbeiten. Allerdings gibt es einige Ausnahmen für kleinere Unternehmen oder Organisationen.

 | Datenschutz Südwesten | Datenschutz Südwesten
Video abspielen

 | Datenschutz Südwesten

Pflicht zur Führung eines Verarbeitungsverzeichnisses:

Verantwortliche und Auftragsverarbeiter:
Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, müssen in der Regel ein Verarbeitungsverzeichnis führen.

Ausnahmen:
Unternehmen mit weniger als 250 Mitarbeitern müssen nur dann ein Verzeichnis führen, wenn:

    • Die Verarbeitung regelmäßig erfolgt.
      [Bedeutung: Bestimmte Datenverarbeitungsprozesse finden wiederkehrend statt,
      wie zum Beispiel Kundendatenpflege oder Fakturierungsprogramm]
    • Die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
    • Es sich um besondere Kategorien von Daten handelt (z. B. Gesundheitsdaten).
    • Es sich um Daten zur Strafverfolgung handelt.

Das Verarbeitungsverzeichnis dient dazu, Transparenz zu schaffen und auf Anfragen der Datenschutzbehörden schnell reagieren zu können. Es enthält Informationen wie die Zwecke der Verarbeitung, die Kategorien der verarbeiteten Daten, Empfänger und Sicherheitsmaßnahmen.

Unterschied Verarbeitungs- und einem Verfahrensverzeichnis?

Der Unterschied zwischen einem Verarbeitungsverzeichnis und einem Verfahrensverzeichnis liegt hauptsächlich in der Art und Weise, wie sie verwendet werden und welche Informationen sie enthalten:

Verarbeitungsverzeichnis (Art. 30 DSGVO):

 

  • Dieses Verzeichnis ist gesetzlich vorgeschrieben und muss von jedem Verantwortlichen und Auftragsverarbeiter geführt werden, der personenbezogene Daten verarbeitet.
  • Es enthält eine Übersicht über alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten erhoben, gespeichert oder anderweitig verarbeitet werden.

Typische Inhalte sind:

  • Der Zweck der Verarbeitung
  • Kategorien betroffener Personen und Daten
  • Empfänger der Daten
  • Aufbewahrungsfristen
  • Technische und organisatorische Maßnahmen zum Datenschutz

Es dient also der Dokumentation aller Verarbeitungsvorgänge, um im Falle einer Prüfung durch Aufsichtsbehörden Auskunft geben zu können.



Verfahrensverzeichnis:

Dies ist ein Begriff aus der Zeit vor der DSGVO und wird heute oft synonym mit dem Verarbeitungsverzeichnis verwendet, auch wenn es streng genommen nicht mehr die offizielle Bezeichnung ist.

  • Früher bezog sich ein Verfahrensverzeichnis eher auf eine detaillierte Beschreibung einzelner Verfahren, bei denen personenbezogene Daten verarbeitet werden, inklusive der genauen Schritte und Abläufe.
  • Es diente eher der internen Kontrolle und Übersicht über technische Prozesse, die mit Datenverarbeitung zusammenhängen.

Heutzutage ist der Begriff des Verarbeitungsverzeichnisses maßgeblich und sollte verwendet werden. Das Verfahrensverzeichnis war spezifischer und detaillierter, wird aber in der Praxis durch das Verarbeitungsverzeichnis abgelöst.

Autoren-Avatar
Jörg Pfeiffer
Skip to content