Neben den allgemeinen Rechenschaftspflichten verpflichtet die Datenschutz-Grundverordnung (DSGVO) Unternehmen dazu, ihre Datenverarbeitung zu dokumentieren. Eine zentrale Rolle spielt dabei das sogenannte Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Ein Verzeichnis von Verarbeitungstätigkeiten ist eine strukturierte Übersicht darüber, welche personenbezogenen Daten in deinem Unternehmen verarbeitet werden.
Es enthält unter anderem:
- welche Daten verarbeitet werden
- zu welchem Zweck die Verarbeitung erfolgt
- welche Personen betroffen sind (z. B. Kunden)
- an wen Daten weitergegeben werden
- wie lange Daten gespeichert werden
- welche technischen und organisatorischen Maßnahmen zum Schutz der Daten bestehen
Dieses Verzeichnis dient dazu, die Einhaltung der DSGVO nachweisen zu können.
Wer ist verpflichtet?
Grundsätzlich gilt:
- Du als Händler (Verantwortlicher) musst ein eigenes Verzeichnis führen
- Ascend (als Auftragsverarbeiter) führt ein separates Verzeichnis über die Verarbeitung im Auftrag
Auch kleinere Unternehmen sind in der Praxis fast immer verpflichtet, ein solches Verzeichnis zu führen, da die Verarbeitung von Kundendaten in der Regel nicht nur gelegentlich erfolgt.
Welche Rolle spielt Ascend?
Wenn du Ascend zur Verarbeitung von Kundendaten nutzt:
- verarbeitet Ascend Daten in deinem Auftrag
- erfolgt die Verarbeitung auf Grundlage eines Auftragsverarbeitungsvertrags (AV-Vertrag)
- unterstützt Ascend dich dabei, die notwendigen Informationen für deine Dokumentation bereitzustellen
Muss ich für jeden Dienstleister ein eigenes Verzeichnis führen?
Du musst dein Verzeichnis so strukturieren, dass alle Verarbeitungstätigkeiten klar nachvollziehbar sind.
Wenn du mehrere Systeme oder Dienstleister nutzt (z. B. Warenwirtschaft, Zahlungsanbieter, Newsletter-Tools), solltest du die jeweiligen Verarbeitungstätigkeiten getrennt dokumentieren.
Als Auftragsverarbeiter führt Ascend intern ebenfalls ein Verzeichnis. In der Praxis ist es sinnvoll, Verarbeitungstätigkeiten pro Händler bzw. pro Nutzungskontext klar zu trennen, um Transparenz und Nachvollziehbarkeit sicherzustellen.
Welche Inhalte sollte dein Verzeichnis enthalten?
Ein typisches Verzeichnis umfasst:
- Name und Kontaktdaten deines Unternehmens
- ggf. Kontaktdaten eines Datenschutzbeauftragten
- Beschreibung der Verarbeitungstätigkeiten (z. B. Verkaufstransaktionen, Kundenverwaltung)
- Kategorien betroffener Personen (z. B. Kunden)
- Kategorien personenbezogener Daten (z. B. Kontaktdaten, Kaufhistorie)
- Zwecke der Verarbeitung
- Empfänger oder Kategorien von Empfängern
- ggf. Übermittlungen in Drittländer
- Speicherdauer oder Kriterien für die Löschung
- Beschreibung der technischen und organisatorischen Maßnahmen
Wie kannst du dich absichern?
- Führe dein Verzeichnis aktuell und vollständig
- Dokumentiere Änderungen an deinen Verarbeitungstätigkeiten
- Stelle sicher, dass du auf Anfrage der Aufsichtsbehörde Auskunft geben kannst
- Nutze Vorlagen als Grundlage, lasse diese bei Bedarf rechtlich prüfen
Wichtiger Hinweis
Die DSGVO verlangt keine bestimmte Form. Dein Verzeichnis kann auch elektronisch geführt werden, zum Beispiel als Dokument oder Tabelle.
Eine Unterschrift ist nicht zwingend erforderlich, kann aber aus organisatorischen Gründen sinnvoll sein.
Rechtlicher Hinweis
Diese Informationen stellen keine Rechtsberatung dar. Wenn du unsicher bist, solltest du dich an einen Rechtsbeistand wenden, um sicherzustellen, dass du die für dich geltenden gesetzlichen Anforderungen vollständig erfüllst.