Datenschutz-Grundverordnung –Teil 4: Verarbeitungsverzeichnis: Wer es führen muss und was es enthält!
Nach der neuen Gesetzeslage ist keine Meldung an das Datenverarbeitungsregister (DVR) zu erstatten. Stattdessen werden Verzeichnisse über die Datenverarbeitung geführt.

Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen. Wenn in einem Unternehmen schon Datenanwendungen im DVR registriert sind, können diese als Anhaltspunkt für die Dokumentation dienen. Jedes Unternehmen, das eine Lohnverrechnung und/oder Kundendateien führt, benötigt ein Verarbeitungsverzeichnis. Die Pflicht zur Führung des Verarbeitungsverzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern nur dann nicht, wenn
- die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
- die Verarbeitung nur gelegentlich erfolgt und
- die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet. Diese Ausnahme wird faktisch allerdings sehr selten zur Anwendung kommen.
Was Verantwortliche dokumentieren
Das Verarbeitungsverzeichnis, das ein Verantwortlicher führt, muss folgende Informationen enthalten:
- Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
- Zweck der Datenverarbeitung,
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Kunden und Lieferanten; Rechnungsdaten, Adressdaten),
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater), einschließlich Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in den USA),
- ggf. Übermittlungen von personenbezogenen Daten an ein Drittland (z.B. USA) oder an eine internationale Organisation, einschließlich der Angaben des betreffenden Drittlands oder der betreffenden internationalen Organisation (u.U. ist auch die Dokumentierung geeigneter Garantien erforderlich),
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit),
- allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit).
Auch Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis führen.
Was Auftragsverarbeiter dokumentieren
Sie müssen Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, enthalten und ggf. jene des Datenschutzbeauftragten. Weiters die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden. Gegebenenfalls auch Übermittlungen von personenbezogenen Daten an ein Drittland und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.
Pflichten gegenüber der Aufsichtsbehörde
Jeder Verantwortliche, jeder Auftragsverarbeiter sowie die jeweiligen Vertreter haben bei der Erfüllung ihrer Aufgaben mit der Aufsichtsbehörde zusammenzuarbeiten. Auf Anfrage sind die Verzeichnisse der Behörde vorzulegen. Anhand dieser Verzeichnisse ist es für die Aufsichtsbehörde möglich, die betreffenden Verarbeitungsvorgänge zu kontrollieren.
Formen der Verzeichnisse
Diese Verzeichnisse sind schriftlich zu führen, wobei dies auch in einem elektronischen Format erfolgen kann.
Muster
So könnte ein Datenverarbeitungsverzeichnis für Verantwortliche aussehen:
- Stammdatenblatt Allgemeine Angaben: Name und Anschrift E-Mail-Adressen Name und Kontaktdaten des Datenschutzbeauftragten Name und Kontaktdaten der Vertreter
- Datenverarbeitungen/ Datenverarbeitungszwecke
- Detailangaben zu den einzelnen Datenverarbeitungszwecken Kategorien der betroffenen Personen Rechtsgrundlagen Verträge, Zustimmungserklärungen, sonstige Unterlagen Kategorien der verarbeiteten Daten und Löschungs/Aufbewahrungsfristen Kategorien von Empfängern
- Allgemeine Beschreibung organisatorisch-technischer Maßnahmen Vertraulichkeit Integrität Verfügbarkeit/Belastbarkeit Pseudonymisierung/Verschlüsselung Evaluierungsmaßnahmen