Muster: Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche
Kostenloser Download: Muster-Verzeichnis von Verarbeitungstätgkeiten für Auftraggeber bzw. den Verantwortlichen
| Datei-Typ | Microsoft Word |
|---|---|
| Version | 3.1 (Changelog) |
| Aktualisiert | 17. September 2020 |
| Sprachen | Deutsch |
Bewertungen
Nutzungsrechte
 |
Sie dürfen die Vorlagen und Generatoren auf dieser Website zum Zwecke der Erfüllung eigener Datenschutzanforderungen auch im gewerblichen Bereich kostenfrei einsetzen und veröffentlichen, sofern Sie uns als Quelle benennen. |
Verantwortliche haben laut Datenschutz-Grundverordnung (DSGVO) ein umfangreiches Verzeichnis von Verarbeitungstätigkeiten führen. Darin sind alle Verarbeitungen personenbezogener Daten zu dokumentieren.
Unsere kostenlose Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten hilft Ihnen als Verantwortlicher ein Verzeichnis für Ihr Unternehmen zu erstellen und den Nachweispflichten gegenüber Ihrer Aufsichtsbehörde nachzukommen (Achtung: Auftragsverarbeiter nutzen bitte diese Vorlage).
Inhalt, Form und Aufbau des Verzeichnisses von Verarbeitungstätigkeiten
Die Anforderungen an den Inhalt eines Verzeichnisses von Verarbeitungstätigkeiten werden in Art. 30 DSGVO festgelegt und ähneln dem der früheren Verfahrensverzeichnisse nach Bundesdatenschutzgesetz alter Fassung BDSG a. F. Die Anforderungen unterscheiden sich jedoch je nachdem, ob es sich um das Verzeichnis des Verantwortlichen oder des Auftragsverarbeiters für die Auftragsverarbeitung handelt.
Das Verzeichnis des Verantwortlichen ist nach Art. 30 Abs. 1 DSGVO zu erstellen und deutlich umfangreicher. Demnach müssen die wesentlichen Angaben zur Verarbeitung personenbezogener Daten gemacht werden, wie z. B. der Zweck der Verarbeitung, die Datenkategorien, der Kreis der betroffenen Personen und die Datenempfänger.
Jedes Verzeichnis muss eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO beinhalten. Die Beschreibung sollte so konkret erfolgen, dass die Aufsichtsbehörde sich einen guten Überblick über die angewendeten Maßnahmen zur Informationssicherheit machen kann. Falls vorhanden, kann hier auf ein hierzu im Unternehmen vorhandenes Dokument verwiesen werden.
Zusätzlich zu der Einstufung ist es empfehlenswert, eine Eintrittswahrscheinlichkeit eines Schadens und eine Schadenshöhe der jeweiligen Verarbeitungstätigkeit zu ermitteln. Von diesen Werten leitet sich ab, welche technischen und organisatorischen Maßnahmen überhaupt getroffen werden müssen, um die Daten angemessen zu schützen. Je höher die Schutzstufe und je größer die Eintrittswahrscheinlichkeit, desto qualifiziertere technische und organisatorische Maßnahmen müssen im Unternehmen umgesetzt werden.
Das Verzeichnis der Verarbeitungstätigkeiten des Verantwortlichen ist gemäß Art. 30 Abs. 3 DSGVO schriftlich oder in elektronischer Form (Textform) zu führen. Da nach deutschem Verwaltungsverfahrensrecht die Amtssprache deutsch ist, sollte das Verzeichnis in deutscher Sprache geführt werden. Internationale Unternehmen mit Englisch als Unternehmenssprache müssen unter Umständen Übersetzungen anfertigen, sofern die Aufsichtsbehörde die Einsicht anfragt und eine deutsche Version voraussetzt.
Praxistipp zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
Das Vorgehen bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sollte sich am Aufbau und der Komplexität des Unternehmens orientieren. Gleichzeitig muss das Verzeichnis so strukturiert sein, dass es den Anforderungen aus Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) sowie Art. 24 und 30 DSGVO genügt.
Um unnötige Dokumente zu vermeiden, wodurch eine Doppeldokumentation entstehen würde, empfiehlt es sich, im Verzeichnis von Verarbeitungstätigkeiten auf andere Dokumente zu verweisen, u.a. auf das Datenschutzkonzept oder das Löschkonzept. Damit erfüllen Sie zugleich die zusätzlich bestehende Pflicht nach Art. 24 Abs. 1 DSGVO, derartige Maßnahmen zur Erfüllung der Verordnung einzusetzen. Beide Konzepte müssen im Bedarfsfall dann auch der Aufsichtsbehörde vorgelegt werden.
Bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sind Detailkenntnisse über die einzelnen Verfahren unabdingbar. Deshalb dürfte es für eine einzelne Person (z. B. den Datenschutzbeauftragten) unmöglich sein, das Verzeichnis für die verantwortliche Stelle alleine zu erstellen und zu pflegen. Zudem bedarf es einer intern gut funktionierenden Kommunikation, um das Verfahren aktuell halten zu können.
In unserem Schwerpunkt zum Verzeichnis von Verarbeitungstätigkeiten finden zum Beispiel eine ausführliche Einführung zum Thema.
Changelog
In der Version 3.1 finden sich nur kleinere Änderungen in der letzten Tabellenzeile des Bereichs: “Angaben für eine weitergehende interne Dokumentation oder zur Erfüllung von Informationspflichten nach Art. 13 & 14 DSGVO”.
Wenn Sie die vorherige Version unserer Vorlage (3.0) verwenden, müssen Sie diese nicht austauschen. Für neu erfasste Verarbeitungstätigkeiten empfehlen wir Ihnen aber, den genannten Bereich in der aktualisierten Version zu vergleichen.
Für Version 3.0 haben wir das Verzeichnis von Verabreitungstätigkeiten vollständig überarbeitet, daher verzichten wir auf eine Darstellung der einzelnen Anpassungen. Wenn Sie die vorherige Version unserer Vorlage (2.1 bzw. 2.0) verwenden, müssen Sie diese nicht austauschen. Für neu erfasste Verarbeitungstätigkeiten empfehlen wir Ihnen aber, die aktuelleste Version unserer kostenlosen Vorlage herunterzuladen.