Dass es ein Verzeichnis der Verarbeitungstätigkeiten für jedes Unternehmen geben sollte ist allgemein Bekannt.
Als Auftragsverarbeiter kommen hier weitreichendere Dokumentationspflichten auf die Unternehmen zu.
Zusätzlich zum eigenen Verzeichnis der Verarbeitungstätigkeiten muss jeder Auftragsverarbeiter laut Art. 30 DSGVO ein eigenes Verarbeitungsverzeichnis für die Kunden führen.
In der Praxis stellt sich die Frage ob ein Auftragsverarbeiter für jeden Kunden ein eigenes Verzeichnis von Verarbeitungstätigkeiten führt, oder ob die verschiedenen Verzeichnisse zusammengefasst werden können.
Bis die Rechtslage hier eindeutig geklärt ist, folgen wir der Rechtsauffassung, aufgrund der Vorlage vom LDI NRW, dass für jeden Kunden ein eigenes Verzeichnis von Verarbeitungstätigkeiten geführt werden muss. In der Praxis lässt sich dies anhand von vorbereiteten Vorlagen bestens realisieren. Da in der Dokumentationspflicht auch keine Schriftform also Ausdrucke etc. vorgeschrieben ist, reicht hier auch diese Verarbeitungen lediglich digital ab zu speichern.
Was ist nun der Unterschied zwischen den beiden Verarbeitungsverzeichnissen?
Bei den Ersten 5 Punkten, geht es regulär nur um Kontaktdaten, diese haben wir hier nun eher mal ausgelassen. Ab dem 6. Punkt gehen wir genauer ein, da hier doch spezifischere Angaben gefordert werden.
| reguläres Verarbeitungsverzeichnis | Verarbeitungsverzeichnis für Auftragsverarbeiter |
|---|---|
| Angaben zum Verantwortlichen | Angaben zum Verantwortlichen |
| Angaben zum ggf. gemeinsamen Verantwortlichen | Angaben zum ggf. gemeinsamen Verantwortlichen |
| Angaben zum Vertreter des Verantwortlichen | Angaben zum Vertreter des Verantwortlichen |
| Angaben zum Datenschutzbeauftragten | Angaben zum Datenschutzbeauftragten |
| Verarbeitungstätigkeit | Verarbeitungstätigkeit |
| ggf Übermittlung an ein Drittland | ggf Übermittlung an ein Drittland |
| Bei Datenübermittlung welche unter Art. 49 Abs.1 fällt | Bei Datenübermittlung welche unter Art. 49 Abs.1 fällt |
| Nennung der konkreten Datenempfängern | Nennung der konkreten Datenempfänger |
| Verantwortliche Fachabteilung – Ansprechpartne | Unternehmen (Auftraggeber Kontaktdaten) |
| Zwecke der Verarbeitung | Kategorien von Verarbeitungen die im Auftrag durchgeführt werden |
| Beschreibung der Kategorien betroffener Personen | Subunternehmer |
| Beschreibung der Kategorien von personenbezogenen Daten | |
| Kategorien von Empfängern denen die personenbezogenen Daten offen gelegt worden sind oder noch werden | |
| Löschfristen | |
| Optional: Name des eingesetzten Verfahrens |