Dass es ein Verzeichnis der Verarbeitungstätigkeiten für jedes Unternehmen geben sollte ist allgemein Bekannt.

Als Auftragsverarbeiter kommen hier weitreichendere Dokumentationspflichten auf die Unternehmen zu.

Zusätzlich zum eigenen Verzeichnis der Verarbeitungstätigkeiten muss jeder Auftragsverarbeiter laut Art. 30 DSGVO ein eigenes Verarbeitungsverzeichnis für die Kunden führen.

In der Praxis stellt sich die Frage ob ein Auftragsverarbeiter für jeden Kunden ein eigenes Verzeichnis von Verarbeitungstätigkeiten führt, oder ob die verschiedenen Verzeichnisse zusammengefasst werden können.

Bis die Rechtslage hier eindeutig geklärt ist, folgen wir der Rechtsauffassung, aufgrund der Vorlage vom LDI NRW, dass für jeden Kunden ein eigenes Verzeichnis von Verarbeitungstätigkeiten geführt werden muss. In der Praxis lässt sich dies anhand von vorbereiteten Vorlagen bestens realisieren. Da in der Dokumentationspflicht auch keine Schriftform also Ausdrucke etc. vorgeschrieben ist, reicht hier auch diese Verarbeitungen lediglich digital ab zu speichern.

Was ist nun der Unterschied zwischen den beiden Verarbeitungsverzeichnissen?

Bei den Ersten 5 Punkten, geht es regulär nur um Kontaktdaten, diese haben wir hier nun eher mal ausgelassen. Ab dem 6. Punkt gehen wir genauer ein, da hier doch spezifischere Angaben gefordert werden.

reguläres Verarbeitungsverzeichnis Verarbeitungsverzeichnis für Auftragsverarbeiter
Angaben zum Verantwortlichen Angaben zum Auftragsverarbeiter
Angaben zum ggf. gemeinsamen Verantwortlichen Angaben zu ggf. weiterem Auftragsverarbeiter
Angaben zum Vertreter des Verantwortlichen Angaben zum Vertreter des Auftragsverarbeiters
Angaben zum Datenschutzbeauftragten Angaben zum Datenschutzbeauftragten
Verarbeitungstätigkeit Angaben zum jeweiligen Auftraggeber
Verantwortliche Fachabteilung - Ansprechpartner Unternehmen (Auftraggeber Kontaktdaten)
Zwecke der Verarbeitung Kategorien von Verarbeitungen die im Auftrag durchgeführt werden
Optional: Name des eingesetzten Verfahrens ggf Übermittlung an ein Drittland
Beschreibung der Kategorien betroffener Personen Nennung der konkreten Datenempfänger
Beschreibung der Kategorien von personenbezogenen Daten Bei Datenübermittlung welche unter Art. 49 Abs.1 fällt
Kategorien von Empfängern denen die personenbezogenen Daten offen gelegt worden sind oder noch werden Subunternehmer
ggf Übermittlung an ein Drittland oder Internationale Organisation  
Nennung der konkreten Datenempfängern  
Bei Datenübermittlung welche unter Art. 49 Abs.1 fällt  
Löschfristen