Verfahrensverzeichnis oder auch Verzeichnis der Verarbeitungstätigkeiten genannt.
Die Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht nach Artikel 30 der Datenschutz-Grundverordnung (DSGVO) für alle Verantwortlichen und Auftragsverarbeiter, die personenbezogene Daten verarbeiten. Allerdings gibt es einige Ausnahmen für kleinere Unternehmen oder Organisationen.
Pflicht zur Führung eines Verarbeitungsverzeichnisses:
Verantwortliche und Auftragsverarbeiter:
Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, müssen in der Regel ein Verarbeitungsverzeichnis führen.
Ausnahmen:
Unternehmen mit weniger als 250 Mitarbeitern müssen nur dann ein Verzeichnis führen, wenn:
Das Verarbeitungsverzeichnis dient dazu, Transparenz zu schaffen und auf Anfragen der Datenschutzbehörden schnell reagieren zu können. Es enthält Informationen wie die Zwecke der Verarbeitung, die Kategorien der verarbeiteten Daten, Empfänger und Sicherheitsmaßnahmen.
Der Unterschied zwischen einem Verarbeitungsverzeichnis und einem Verfahrensverzeichnis liegt hauptsächlich in der Art und Weise, wie sie verwendet werden und welche Informationen sie enthalten:
Verarbeitungsverzeichnis (Art. 30 DSGVO):
Typische Inhalte sind:
Es dient also der Dokumentation aller Verarbeitungsvorgänge, um im Falle einer Prüfung durch Aufsichtsbehörden Auskunft geben zu können.
Verfahrensverzeichnis:
Dies ist ein Begriff aus der Zeit vor der DSGVO und wird heute oft synonym mit dem Verarbeitungsverzeichnis verwendet, auch wenn es streng genommen nicht mehr die offizielle Bezeichnung ist.
Heutzutage ist der Begriff des Verarbeitungsverzeichnisses maßgeblich und sollte verwendet werden. Das Verfahrensverzeichnis war spezifischer und detaillierter, wird aber in der Praxis durch das Verarbeitungsverzeichnis abgelöst.