Verarbeitungsverzeichnis nach DSGVO − so geht's

Bevor die DSGVO in Kraft trat, hieß das Verarbeitungsverzeichnis „Verfahrensverzeichnis“. Lediglich größere Unternehmen waren dazu verpflichtet, dieses zu führen. Heute sieht die Situation anders aus. Gemäß Art. 30 DSGVO ist jedes Unternehmen, das personenbezogene Daten erhebt, speichert, weiterleitet oder verarbeitet, dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen.  

Es handelt sich um eine gesetzliche Vorgabe, die unbedingt erfüllt werden sollte. Denn ein Unternehmen kann jederzeit von der Aufsichtsbehörde aufgefordert werden, das Verarbeitungsverzeichnis vorzulegen. Für die Aufsichtsbehörde dient es als Nachweis, dass die Vorschriften der DSGVO eingehalten werden. Das Verarbeitungsverzeichnis hat aber auch das Ziel, Transparenz zur Verarbeitung personenbezogener Daten in deinem Unternehmen aufzuzeigen. 

In einem Verarbeitungsverzeichnis dokumentierst du die Tätigkeiten deiner Agentur, etwa die gängigen Geschäftsprozesse, sowie die Datenarten. Dabei hast du immer den Blick auf das Zusammenspiel mit personenbezogenen Daten gerichtet. Bei der Dokumentation müssen einige rechtliche Vorgaben  erfüllt werden.  

Beispiele für Agentur-relevante Geschäftsprozesse, die in einem Verarbeitungsverzeichnis dokumentiert werden:  

• Hosting einer Website bei einem Hosting-Dienstleister
• Versand von Newslettern mittels eines externen Anbieters
• Projektmanagement mit Hilfe eines externen Tools
• Zusammenarbeit mit Freelancern, Fotografen etc.

Zusätzlich müssen zu jeder Tätigkeit folgende Daten erfasst werden: Umfang, Zweck der Verarbeitung, Kategorien personenbezogener Daten, Kategorien von Empfängern, Auftragnehmer (Auftragsverarbeiter), Rechtsgrundlage für die Verarbeitung, Datenübermittlungen in Drittländer oder internationale Organisationen und Löschfristen.  

Die Erstellung eines vollständigen und rechtskonformen Verarbeitungsverzeichnisses ist also recht aufwendig. Wenn es zu Änderungen an den Prozessen oder den oben genannten rechtlichen Vorgaben kommt, müssen diese im Verarbeitungsverzeichnis dokumentiert werden. Es ist also eine kontinuierliche Arbeit und Pflege, die viel Zeit in Anspruch nimmt.  

Es bestehen keine genauen Vorgaben für Formvorschriften. Letztendlich ist es jedem selbst überlassen, wie und wo man seine internen Prozesse dokumentiert. Ob beispielsweise in einem Word- oder Excel-Dokument oder auf einem Blatt Papier. Wichtig ist lediglich, dass alle Pflichtangaben der DSGVO enthalten sind.  

So kann ein Verarbeitungsverzeichnis gemäß Art. 30 DSGVO aussehen:  

Um dir als Agentur den Aufwand abzunehmen, haben wir den AV-Manager entwickelt. Neben der Erstellung von AV-Verträgen ist im AV-Manager auch die Erstellung des Verarbeitungsverzeichnisses möglich. Durch unsere zahlreichen Vorlagen, speziell auf den Agenturalltag ausgerichtet, klickst du dir dein eigenes Verarbeitungsverzeichnis schnell zusammen. Die Pflege übernehmen wir für dich. Wir kümmern uns darum, dass alle Vorlagen stets rechtsaktuell sind. In jeder Vorlage sind bereits alle relevanten rechtlichen Angaben, die Subunternehmer-Adresse sowie die dazugehörige TOM enthalten.

Die Adresse eines Subunternehmens oder eine Rechtsgrundlage ändert sich? Kein Problem! Wir halten die Vorlagen aktuell und du kümmerst dich um deine Projekte. Lediglich ein Klick ist notwendig und dein gesamtes Verarbeitungsverzeichnis ist wieder auf dem neuesten Stand.  

Sollte sich das Projekt deines Kunden vergrößern, ist das auch kein Problem. Neue Verarbeitungstätigkeiten können dem Verarbeitungsverzeichnis im AV-Manager jederzeit hinzugefügt werden.  

Auch ein Export des Verarbeitungsverzeichnisses als PDF ist ganz bequem über einen Klick möglich.  

Du fragst dich jetzt, ob du unseren AV-Manager wirklich brauchst oder ob du dein Verarbeitungsverzeichnis nicht auch in Excel erstellen kannst? Das geht bestimmt, ist aber deutlich unkomfortabler. Wir haben dir hier einmal die Vorteile aufgelistet.