Eine der Kernaufgaben im Datenschutzmanagement zur Umsetzung der DSGVO und gleichzeitig eine der aufwändigsten Aufgaben ist das Führen des Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 DSGVO. In diesem Verzeichnis müssen Unternehmen und Behörden Geschäftsprozesse dokumentieren, in denen personenbezogene Daten verarbeitet werden. Dabei genügt nicht die bloße Auflistung der bestehenden Geschäftsprozesse, sondern es müssen zu jedem Prozess die Angaben aus dem Katalog des Art. 30 Abs. 1 DSGVO gemacht werden. Also beispielsweise zum Zweck der Datenverarbeitung im jeweiligen Prozess, zur Speicherdauer oder zu den Empfängern, an die personenbezogene Daten innerhalb des Prozesses übermittelt werden.
Bei großen Konzernen kann der Umfang des Verzeichnisses gewaltig werden, wenn man die Verpflichtung zur Erstellung ernst nimmt. Aus unserer Praxis kennen wir Fälle, in denen eine fast vierstellige Anzahl an Geschäftsprozessen im Verzeichnis dokumentiert ist. Doch auch bei kleinen und mittleren Unternehmen kann schnell zumindest eine mittlere zweistellige Zahl erreicht werden.
Die Erstellung des Verzeichnisses im Rahmen einer Bestandsaufnahme im Unternehmen oder in der Behörde ist dabei als großer Einmalaufwand nur der erste Schritt. Das Verzeichnis muss nach seiner Erstellung regelmäßig gepflegt und aktualisiert werden, wenn Geschäftsprozesse angepasst werden, entfallen oder neu hinzukommen. Heißt: Die Beschäftigung mit dem Verarbeitungsverzeichnis ist eine arbeitsintensive Daueraufgabe.
Der Zweck des Verzeichnisses:
Polemisch gesprochen könnte man sagen, dass kein personenbezogenes Datum dadurch besser geschützt wird, dass Geschäftsprozesse in einem Verzeichnis aufwändig dokumentiert werden. Dieser Gedanke würde jedoch zu kurz greifen. Das Verarbeitungsverzeichnis kann aus verschiedenen Gründen als das Rückgrat des Datenschutzmanagements in einem Unternehmen oder einer Behörde angesehen werden:
- Die für die Erstellung des Verzeichnisses benötigte Bestandsaufnahme ermöglicht es, sich überhaupt erstmal einen Überblick über die bestehenden Datenverarbeitungen zu verschaffen. Anhand dieses Überblicks kann im nächsten Schritt eine Bewertung der Rechtmäßigkeit der einzelnen Datenverarbeitungen vorgenommen werden und identifizierte rechtliche Risiken können abgebaut oder zumindest zur Kenntnis genommen werden.
- Durch die Zusammenstellung der vorhandenen Datenverarbeitungen kann die gesetzlich erforderliche Prüfung der Angemessenheit der technischen und organisatorischen Sicherheitsmaßnahmen gemäß 32 DSGVO einfacher vorgenommen werden.
- Ein gepflegtes Verarbeitungsverzeichnis erleichtert die Bearbeitung von Betroffenenanfragen wie Auskunftsersuchen und die Reaktion auf Datenpannen. So erleichtert es die Auffindbarkeit, an welchen Stellen Daten eines Betroffenen zu finden sein könnten, dadurch das Prozesse dokumentiert sind, in denen potenziell Daten des Betroffenen verarbeitet werden.
- Letztlich ist das Verzeichnis das zentrale Werkzeug zur Umsetzung der Rechenschaftspflicht aus 5 Abs. 2 DSGVO. Also der Pflicht, die Einhaltung der DSGVO nachweisen können. Wenn zu jedem Geschäftsprozess eine datenschutzrechtliche Bewertung ins Verzeichnis aufgenommen wird, wenn dokumentiert wird, auf welche Rechtsgrundlage eine Verarbeitung gestützt wird und wie Informationspflichten umgesetzt werden und wenn die Bewertung zur Erforderlichkeit einer DSFA im Verzeichnis dokumentiert wird, ist die Umsetzung diverser Anforderungen aus der DSGVO an einer zentralen Stelle gebündelt.
Das Verarbeitungsverzeichnis macht also viel Aufwand, hat aber durchaus seinen Sinn und einen Nutzen im Datenschutzmanagement.
Aufnahmen bei der Pflicht ein Verzeichnis zu führen:
Schaut man in Art. 30 Abs. 5 DSGVO könnte man den Eindruck gewinnen, dass die Pflicht zur Führung eines Verarbeitungsverzeichnisses nur für größere Unternehmen und Behörden gilt. Im Gesetz heißt es leicht verkürzt, dass kein Verzeichnis von Unternehmen geführt werden muss, „die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“
Diese (sprachlich schwer verständliche) Ausnahmevorschrift, die eine Vereinfachung für kleine und mittlere Unternehmen darstellen soll, läuft jedoch häufig ins Leere.
Die DSGVO sagt bislang, dass Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis führen müssen. Von dieser Ausnahme werden dann aber folgende Rückausnahmen gemacht:
- Ein Verzeichnis ist doch zu führen, wenn die vom Unternehmen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
- Ein Verzeichnis ist doch zu führen, wenn das Unternehmen nicht nur gelegentlich personenbezogene Daten verarbeitet.
- Ein Verzeichnis ist doch zu führen, wenn das Unternehmen Daten nach 9 DSGVO verarbeitet. Also beispielsweise Gesundheitsdaten oder Daten zur Religion seiner Beschäftigten.
Kundenmanagement, Buchhaltung und Personalmanagement sind jedenfalls keine nur gelegentlichen Verarbeitungstätigkeiten. Typischerweise verarbeiten Arbeitgeber auch personenbezogene Daten nach Art. 9 DSGVO über die Religionszugehörigkeit (Abführung von Kirchensteuer) und Gesundheitsdaten (BEM Verfahren, Arbeitsunfälle, Krankmeldungen). Datenverarbeitungen, die ein Risiko für die Betroffenen mit sich bringen, können zumindest bei weitverbreiteten Themen wie KI-Tools, der Verwendung von MS Teams oder Videoüberwachung gesehen werden. Aus diesem Grund sind die Rückausnahmen sehr häufig einschlägig.
In der Literatur ist dann noch umstritten, ob die Pflicht zur Führung eines Verzeichnisses nur für solche Datenverarbeitungen wieder auflebt, die ein Risiko bergen, die nicht nur gelegentlich sind oder in denen Daten nach Art. 9 DSGVO verarbeitet werden. Die herrschende Meinung geht nach meinem Eindruck dahin, dass die Pflicht zur Führung eines Verzeichnisses vollständig wieder auflebt und gerade nicht nur für einzelne Verarbeitungstätigkeiten.
Im Ergebnis wird das Ziel, durch Art. 30 Abs. 5 DSGVO eine Erleichterung für kleine und mittlere Unternehmen zu schaffen, also nicht erreicht. In Anbetracht des Arbeitsaufwands und der leerlaufenden Ausnahmeregelung ist es kein Wunder, dass es politische Bestrebungen gibt, an dieser Stelle durch eine Reform doch noch Erleichterungen für Unternehmen zu schaffen.
Pläne für eine Reform:
Zuletzt berichteten verschiedene Quellen darüber, dass es seitens der EU-Kommission Pläne für eine solche Reform bezüglich der Pflicht zur Führung eines Verarbeitungsverzeichnisses gibt. Vergleiche hier, hier und hier. Art. 30 Abs. 5 DSGVO soll angepasst werden und künftig wie folgt lauten:
„Die in den Absätzen 1 und 2 genannten Verpflichtungen gelten nicht für Unternehmen oder Organisationen mit weniger als 750 Beschäftigten, es sei denn, die von ihnen durchgeführte Verarbeitung kann ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen im Sinne von Artikel 35 begründen.“
Von der EU-Kommission ist also eine Anhebung der Grenze von 250 Mitarbeitern auf bis zu 750 Mitarbeiter geplant. Unternehmen, die kleiner als 750 Mitarbeiter sind, sollen kein Verzeichnis mehr führen müssen, sofern keine Verarbeitungen von personenbezogenen Daten mit voraussichtlich hohem Risiko für die Rechte und Freiheiten der betroffenen Personen erfolgen. Das Gesetzgebungsverfahren in der EU ist soweit ersichtlich noch nicht abgeschlossen. Ob die Reform wie von der EU-Kommission geplant tatsächlich kommt, muss sich erst noch zeigen.
Auf eine dogmatische oder ideologische Bewertung der Reformbestrebungen wird an dieser Stelle verzichtet. Zwei Punkte sollen aber betont werden.
Erstens: Die Grenze für die Mitarbeiter Anzahl ist nicht entscheidend. Es kommt nicht darauf an, ob im Gesetz „250 Mitarbeiter“, oder „750 Mitarbeiter“ steht. Entscheidend sind die weiteren Regelungen in Art. 30 Abs. 5 DSGVO, die dazu führen, dass die Ausnahme von der Pflicht zur Führung eines Verarbeitungsverzeichnisses bislang häufig ins Leere läuft. Eine echte Erleichterung für kleine und mittlere Unternehmen wird nur geschaffen, wenn die Rückausnahmen in Art. 30 Abs. 5 DSGVO reformiert werden und dadurch die Pflicht zur Führung eines Verzeichnisses häufiger entfällt. Es müsste dafür gesorgt werden, dass die Pflicht zur Führung eines Verzeichnisses nicht in vielen Fällen wiederauflebt, obwohl sie eigentlich aufgrund der Anzahl an Mitarbeitern entfallen könnte. Hierfür wird nun ein Schritt in die passende Richtung getan. Für Unternehmen unter 750 Mitarbeitern lebt die Pflicht zur Führung des Verzeichnisses nur wieder auf, wenn sie Datenverarbeitungen mit hohem Risiko vornehmen.
Wünschenswert wäre eine Klarstellung im Gesetzestext dazu, ob die Pflicht zur Führung des Verzeichnisses komplett wieder auflebt oder ob nur ausnahmsweise Datenverarbeitungen mit hohem Risiko bei kleinen und mittleren Unternehmen zu dokumentieren sind, alle anderen Datenverarbeitungen aber nicht.
Zweitens: Selbst, wenn bei der Führung des Verarbeitungsverzeichnisses tatsächlich eine Erleichterung für kleine und mittlere Unternehmen erreicht wird, so würde dies nicht zur Aufhebung der sonstigen Pflichten aus der DSGVO führen. Datenverarbeitungen müssten weiterhin rechtmäßig gestaltet werden, Informationspflichten müssten weiterhin umgesetzt werden, technische und organisatorische Maßnahmen müssten weiterhin ergriffen werden, Verträge zur Auftragsverarbeitung müssten weiterhin geschlossen werden und so weiter … Die Aufgaben im Datenschutzmanagement werden weiter vielfältig bleiben. Der Bedarf an Unterstützung durch Datenschutzbeauftragte wird hoch bleiben.
Auch ein Tool zum Datenschutzmanagement, wie das Modul Datenschutz des Managementsystems DSN port der DSN GROUP, wäre weiterhin von großem Nutzen. Die Möglichkeit das Verarbeitungsverzeichnis zu führen ist nur eine der vielen Funktionen, die DSN port bietet.
14. Juli 2025 @ 11:33
Ich bin ein großer Fan der VVT.
Wenn man es einmal verstanden hat, möchte man sie nicht mehr missen.
Warum?
Weil sie eine Checkliste für den Datenschutz sind und somit alles einfacher machen! In der Tat: Es ist alles drin außer einer Datenschutzverletzung (gut, denn genau diese sollen VVT verhindern) und den besonderen Rechten der Betroffenen – aber die sind nun auch besonders.
14. Juli 2025 @ 9:16
Meines Erachtens haben sämtliche Personen, welche hier eine vermeintliche Erleichterung sehen keine Ahnung von der Datenschutz-Praxis.
Im Artikel ist sehr schön aufgelistet, dass der Wegfall der Verpflichtung zum Führen eines Verzeichnisses nicht zur Aufhebung der sonstigen Pflichten aus der DSGVO führen. Wie soll man aber bitte adäquat die Pflichten erfüllen können, wenn man mangels Kenntnis der Verarbeitungen keine Ahnung hat, was hinsichtlich der personenbezogenen Daten im Unternehmen genau wie und wo passiert?
Jetzt mag man vielleicht behaupten können, dass ein Unternehmen ja wohl weiß wie und wo was passiert. Das mag für den Handwerkerbetrieb, die Arztpraxis oder eine kleine Agentur noch stimmen. In dem Moment wo sich ein Unternehmen aber bereits in unterschiedliche Abteilungen aufsplittet, ist dieses Wissen ohne Verzeichnis nicht mehr zentral, sondern dezentral in den Abteilungen und ggf. sogar nur einzelnen Köpfen. Selbst ein DSB hat dann ohne fortwährende Interviews und Erfassung der Verarbeitungen (wo es dann vorher ausgereicht hat ins Verzeichnis zu schauen) keine Chance mehr die Einhaltung zu überwachen. Dies wiederum führt dann in der Praxis zu einem massiven Mehraufwand beim DSB und in der Folge natürlich auch einzelner Abteilungen und dem gesamten Unternehmen.
Der Datenschutz wird eh schon als lästig angesehen. Durch solche Änderungen wird er noch lästiger und zwangsläufig steigt massiv das Risiko der Nichteinhaltung der Pflichten.
10. Juli 2025 @ 16:56
Ich sehe das noch etwas anders. Das V-VT ist letzendlich das Rückrat zur Erfüllung der Betroffenenrechte, insbesondere von Auskunft und Widerruf.
Aber auch die Art. 12, 13 und 14 werden ohne V-VT nicht wirtschaftlich umzusetzen sein… Dann mal viel Spass liebe Verantwortliche bei der Erfüllung Eurer Pflichten!
10. Juli 2025 @ 13:44
Oh je, also wenn es jetzt schon zu viel ist, eine Liste mit den Verarbeitungen in Excel einzutippen, dann kann man wohl doch bald von einer Generation arbeitsscheuer Menschen sprechen …
Also bei mir ging das ganz schnell und das Verzeichnis hilft mir zudem sehr in der täglichen Arbeit. Da spart es dann sogar Zeit ein.
10. Juli 2025 @ 13:25
Es lebe die Bürokratie , auch weiterhin! (zumindest in Europa)
10. Juli 2025 @ 21:32
An Daniel Zeipel. Ich arbeite beim mitmaßlich größten Datenverarbeiter Europas mit vielen Daten der besonders schützenswerten Daten nach Art.9. Unser VVT platzt jetzt schon aus allen Nähten, der Aufbau und Pflege beschäftigen Personen im mittleren zweistelligen Bereich. Fast täglich kommen neue Verarbeitungsmittel dazu. Also man kann über Äpfel reden, auch wenn man Birnen nicht kennt.