Ziel des Verzeichnisses ist es, eine Übersicht über alle Verarbeitungsvorgänge in der Kanzlei zu führen, in die personenbezogene Daten eingebunden sind. Es sollen alle Prozesse der Kanzlei Eingang in das Verzeichnis der Verarbeitungstätigkeiten finden.
Dabei ist es unerheblich, ob die Verarbeitung auf Papier oder EDV-gestützt erfolgt. Ein handgeführtes Kanzleipostbuch oder die Personalakten der Mitarbeiter zählen ebenso zur Verarbeitung wie die Finanzbuchhaltung, der Abruf der Kontenauszugsdaten oder die regelmäßige Sicherung des Datenbestandes in einem Rechenzentrum.
Inhalt des Verzeichnisses
Das Verzeichnis muss bestimmte Mindestangaben enthalten (Art. 30 Abs. 1 DSGVO):
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
- die jeweilige Verfahrensbezeichnung (z. B. Bewerbung, Personalverwaltung, Mandanteninfoabend),
- die jeweilige Zweckbestimmung der Datenverarbeitung,
- eine Beschreibung der betroffenen Personengruppen (Beschäftigte, Mandanten, Mitarbeiter von Mandanten, Besucher des Internetauftritts),
- eine Beschreibung der personenbezogenen Daten oder Datenkategorien,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z. B. IT-Dienstleister, Systempartner, Hosting-Dienstleister, Aktenvernichter), einschließlich Empfänger in Drittländern oder internationalen Organisationen,
- für den Fall von Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation die Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation,
- die Regelfristen für die Löschung der Daten, wobei zu beachten gilt, dass für Protokolldaten oder Videoüberwachung nicht die üblichen 10 oder 6 Jahre, sondern teilweise nur Wochen oder Stunden gelten,
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Erweitertes Verzeichnisses
Es empfiehlt sich zur Kontrolle des eigenen Unternehmens, ein erweitertes Verzeichnis zu erstellen, in dem zusätzlich aufgeführt werden:
- die konkreten Verarbeitungstätigkeiten und
- die herangezogenen Rechtsgrundlagen (z. B. Art. 6 DS-GVO, Arbeitsvertrag, Betriebsvereinbarung, Einwilligung oder sonstige spezielle Regelungen) aufgeführt werden.
Freistellung von der Verzeichniserstellungspflicht
Unternehmen sind von der Verpflichtung zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten freigestellt, wenn sie
- weniger als 250 Mitarbeiter beschäftigen und
- die Verarbeitung nur gelegentlich erfolgt und auch keine besonderen Datenkategorien (z.B. Religionsdaten im Rahmen der Abführung von Kirchsteuer etc.) verarbeitet werden.
Eine solche Freistellung kommt für Kanzleien nicht in Betracht.
Vorlage des Verzeichnisses
Das Verzeichnis ist nicht öffentlich und muss auch den betroffenen Personen auch nicht offengelegt werden. Es dient ausschließlich zur Vorlage gegenüber der Aufsichtsbehörde, um nachweisen zu können, in welchem Verfahren in dem jeweiligen Unternehmen oder mit personenbezogenen Daten umgegangen wird.
Form des Verzeichnisses
Das Verzeichnis ist regelmäßig und schriftlich in deutscher Sprache zu führen. Es kann auch elektronisch vorgehalten werden.
Aktualisierung des Verzeichnisses
Das Verzeichnis muss auf aktuellem Stand gehalten werden. Änderungen sollten dokumentiert werden, um Aktualisierungen gegenüber der Aufsichtsbehörde nachweisen zu können.
