Verarbeitungsverzeichnis nach der DSGVO – Warum benötige ich das?

Verarbeitungsverzeichnis nach der DSGVO – Warum benötige ich das?

Eine zentrale Verpflichtung, die sich aus der DSGVO ergibt, ist die Führung von einem Verzeichnis über Verarbeitungstätigkeiten – kurz (VVT). Dieses Verzeichnis ist nicht nur ein formales Muss, sondern ein wichtiges Instrument, um Datenschutzkonformität in Ihrem Unternehmen sicherzustellen. Insbesondere für Online-Shop-Betreiber*innen, die regelmäßig Kundendaten verarbeiten, ist ein gut geführtes Verarbeitungsverzeichnis unerlässlich.

Wer ist zur Führung eines Verarbeitungsverzeichnisses verpflichtet?

Die DSGVO sieht vor, dass alle Verantwortlichen, die personenbezogene Daten verarbeiten, ein Verarbeitungsverzeichnis führen müssen. Verantwortliche*r ist in diesem Kontext die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies trifft praktisch auf alle Online-Shop-Betreiber*innen zu, da zur Abwicklung von Bestellungen, zur Kundenkommunikation und für Marketingzwecke regelmäßig personenbezogene Daten verarbeitet werden.

Ausnahmen von der Pflicht

Es gibt jedoch eine Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Diese sind nur dann zur Führung eines Verzeichnisses verpflichtet, wenn:

  • Die Verarbeitung nicht nur gelegentlich erfolgt,
  • Die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen könnte,
  • Besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, Daten zur ethnischen Herkunft) oder strafrechtliche Verurteilungen verarbeitet werden.

Da in einem Online-Shop die Verarbeitung personenbezogener Daten regelmäßig und in großem Umfang erfolgt, greift diese Ausnahme in der Regel nicht. Selbst kleine und mittlere Online-Shops sollten daher unbedingt ein Verarbeitungsverzeichnis führen.

Erste Schritte

  • Es sind alle Verarbeitungstätigkeiten Ihres Unternehmens, bei denen personenbezogene Daten verarbeitet werden, zu identifizieren und danach zu dokumentieren.
  • Um möglichst alle Verarbeitungstätigkeiten zu identifizieren, sollten Sie pro Abteilung prüfen, welche Vorgänge in Zusammenhang mit personenbezogenen Daten stehen.
  • Es macht Sinn in jedem Bereich eine/n Ansprechpartner*in zu haben, um bei der Erstellung des VVTs zu unterstützen.

Was muss in ein Verarbeitungsverzeichnis aufgenommen werden?

Ein Verarbeitungsverzeichnis muss detaillierte Informationen über alle Verarbeitungstätigkeiten enthalten, die in Ihrem Unternehmen durchgeführt werden. Diese Informationen müssen präzise und vollständig dokumentiert werden, um den Anforderungen der DSGVO gerecht zu werden. Die DSGVO gibt in Art. 30 Abs. 1 vor, welche Angaben ein Verarbeitungsverzeichnis mindestens enthalten muss:

Name und Kontaktdaten des Verantwortlichen

  • Wer ist verantwortlich?
    Hier müssen die Namen und Kontaktdaten des Verantwortlichen angegeben werden, also die Person oder das Unternehmen, das für die Verarbeitung der Daten verantwortlich ist.
  • Zusätzliche Angaben bei gemeinsamen Verantwortlichen
    Wenn die Verarbeitung gemeinsam mit anderen Verantwortlichen erfolgt, müssen auch deren Kontaktdaten angegeben werden.

Zwecke der Verarbeitung

  • Warum werden die Daten verarbeitet?
    Die Zwecke der Verarbeitung müssen klar und spezifisch benannt werden. Zwecke
    können unter anderem die Bestellabwicklung, Marketing, oder die Analyse des Nutzer*innenverhaltens sein.

Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten

  • Welche Personen sind betroffen?
    Typische Kategorien betroffener Personen in einem Online-Shop sind Kund*innen, Newsletter-Abonnent*innen und ggf. Mitarbeiter*innen.
  • Welche Daten werden verarbeitet?
    Hier sollten Sie detailliert auflisten, welche Datenkategorien verarbeitet werden. Zum Beispiel: Bestelldaten, Zahlungsinformationen, usw.

Kategorien von Empfänger*innen

  • Wer erhält die Daten?
    Das Verzeichnis muss Angaben dazu enthalten, an wen die personenbezogenen Daten weitergegeben werden. Dies können externe Dienstleister*innen wie Zahlungsdienstleister*innen, Logistikunternehmen, oder IT-Dienstleister*innen sein.
  • Unterscheidung zwischen internen und externen Empfängern
    Unterscheiden Sie zwischen internen Empfängern innerhalb Ihres Unternehmens und externen Empfängern außerhalb des Unternehmens. Auch Tochterunternehmen oder Partnerunternehmen, die Zugriff auf die Daten haben, sollten erfasst werden.

Übermittlungen in Drittländer

  • Werden Daten ins Ausland übermittelt?
    Wenn personenbezogene Daten in Länder außerhalb der Europäischen Union übermittelt werden, müssen diese Drittländer und die jeweiligen rechtlichen Grundlagen für die Übermittlung im Verarbeitungsverzeichnis aufgeführt werden.
  • Sicherheitsvorkehrungen
    Bei Übermittlungen in unsichere Drittländer (Länder, die kein angemessenes Datenschutzniveau bieten) müssen zusätzliche Maßnahmen dokumentiert werden, wie zum Beispiel die Verwendung von Standarddatenschutzklauseln.

Geplante Löschfristen

  • Wie lange werden die Daten gespeichert?
    Für jede Verarbeitungstätigkeit sollten Sie angeben, wie lange die personenbezogenen Daten gespeichert werden. Dies kann abhängig von rechtlichen Verpflichtungen, vertraglichen Notwendigkeiten oder internen Richtlinien variieren.
  • Löschkonzept
    Es ist ratsam, ein detailliertes Löschkonzept zu entwickeln und dieses regelmäßig zu überprüfen, um sicherzustellen, dass Daten nicht länger als nötig gespeichert werden.

Technische und organisatorische Maßnahmen

  • Wie werden die Daten geschützt?
    Das Verzeichnis sollte auch beschreiben, welche technischen und organisatorischen Maßnahmen (TOMs) ergriffen werden, um die Sicherheit der Daten zu gewährleisten. Dies können Maßnahmen wie Verschlüsselung, Zugriffskontrollen, regelmäßige Sicherheitsupdates und Schulungen für Mitarbeiter*innen sein.

Warum ist das Verarbeitungsverzeichnis so wichtig?

Ein Verarbeitungsverzeichnis ist mehr als nur eine Pflichtaufgabe. Es ist ein zentraler Bestandteil der DSGVO-Compliance und erfüllt mehrere wichtige Funktionen:

Nachweis der DSGVO-Konformität

  • Rechenschaftspflicht
    Die DSGVO fordert von den Verantwortlichen für die Datenverarbeitung, dass Sie jederzeit in der Lage sind, die Einhaltung der Datenschutzvorschriften nachzuweisen. Ein korrekt geführtes Verarbeitungsverzeichnis ist ein wesentlicher Bestandteil dessen.
  • Prüfungen durch Aufsichtsbehörden
    Im Falle einer Datenschutzprüfung durch die Aufsichtsbehörde ist das Verarbeitungsverzeichnis eines der ersten Dokumente, das angefordert wird. Ein vollständiges und korrektes Verzeichnis kann hier helfen, Bußgelder und andere rechtliche Konsequenzen zu vermeiden.

Interne Übersicht und Kontrolle

  • Transparenz über Datenverarbeitungsprozesse
    Das Verarbeitungsverzeichnis bietet Ihnen eine wertvolle Übersicht über alle Datenverarbeitungsprozesse in Ihrem Unternehmen. Dies kann helfen, Schwachstellen in den Prozessen zu identifizieren und diese gezielt zu verbessern.
  • Schutz vor Datenverlust und Sicherheitsverletzungen
    Durch die regelmäßige Überprüfung und Aktualisierung des Verzeichnisses können Sie sicherstellen, dass alle technischen und organisatorischen Maßnahmen auf dem neuesten Stand sind, um Datenverluste oder Sicherheitsverletzungen zu vermeiden.

Vertrauen der Kundschaft stärken

  • Transparenz gegenüber der Kundschaft
    Ein Unternehmen, das sorgfältig mit personenbezogenen Daten umgeht und dies auch nachweisen kann, stärkt das Vertrauen seiner Kundschaft. Dies ist besonders im E-Commerce von entscheidender Bedeutung, da oft sensible Daten wie Zahlungsinformationen angeben werden müssen.
  • Wettbewerbsvorteil
    Datenschutz wird zunehmend zu einem wichtigen Unterscheidungsmerkmal im Wettbewerb. Unternehmen, die hier vorbildlich agieren, können dies aktiv in ihrer Kommunikation nutzen und sich so von der Konkurrenz abheben.

Praxistipps zur Erstellung und Pflege des Verarbeitungsverzeichnisses

Erstellung des Verarbeitungsverzeichnisses

  • Starten Sie mit einer Bestandsaufnahme
    Bevor Sie das Verarbeitungsverzeichnis erstellen, sollten Sie eine umfassende Bestandsaufnahme aller Datenverarbeitungstätigkeiten in Ihrem Unternehmen durchführen.
  • Nutzen Sie unseren DSGVO-Manager
    Für Erstellung eines Verarbeitungsverzeichnisses empfehlen wir Ihnen unseren DSGVO-Manager. Dieser bietet Ihnen zahlreiche Vorlagen und ein einfaches Anlegen eigener Verfahren. So können Sie sicherstellen, dass Sie alle erforderlichen Angaben korrekt erfassen und können ihr Verarbeitungsverzeichnis mit minimalem Aufwand erstellen und aktuell halten.
  • Einbindung von Fachabteilungen
    Binden Sie verschiedene Fachabteilungen (z.B. IT, Marketing, etc.) in die Erstellung des Verarbeitungsverzeichnisses ein, um sicherzustellen, dass alle relevanten Verarbeitungstätigkeiten erfasst werden.

Pflege und Aktualisierung

  • Regelmäßige Überprüfung
    Das Verarbeitungsverzeichnis sollte nicht statisch sein. Es ist wichtig, dass Sie es regelmäßig überprüfen und aktualisieren, insbesondere wenn sich in Ihrem Unternehmen Prozesse ändern oder neue Verarbeitungstätigkeiten hinzukommen.
  • Dokumentation von Änderungen
    Jede Änderung im Verarbeitungsverzeichnis sollte dokumentiert und begründet werden. Dies erleichtert es, bei einer Prüfung durch die Aufsichtsbehörde nachzuweisen, dass das Verzeichnis stets auf dem neuesten Stand gehalten wurde.

Fazit

Das Verarbeitungsverzeichnis ist ein zentrales Element der DSGVO-Compliance und dient nicht nur dazu, gesetzliche Pflichten zu erfüllen, sondern auch als internes Kontrollinstrument und als Nachweis gegenüber Aufsichtsbehörden. Ihr aktuelles Verarbeitungsverzeichnis müssen Sie den Aufsichtsbehörden auf Nachfrage jederzeit zur Verfügung stellen können.

Nur wer die eigenen Verarbeitungsprozesse genau im Blick hat, kann Datenschutzprobleme erkennen und letztendlich minimieren. Legen Sie ein transparentes und übersichtliches Verzeichnis an. Unsere Muster und vordefinierten Verfahren aus dem DSGVO-Manager helfen Ihnen dabei. Durch eine saubere Archivierung der Verarbeitungstätigkeiten schaffen Sie die notwendige Transparenz und Nachvollziehbarkeit gemäß den geltenden

30.08.24
Sabrina Brosch

Sabrina Brosch

Sabrina Brosch, LL.M., ist als Teamlead der Legal Consultants Privacy bei Trusted Shops tätig. Sie betreut die Trusted Shops Legal Produkte im Bereich Datenschutz.

Weitere relevante Artikel

Das Bild symbolisiert den Datenaustausch zwischen der EU und der Schweiz.

Der Angemessen­heits­be­schluss CH: Daten­aus­tausch Schweiz – EU

 Datenschutzbeauftrage am Laptop

Betriebliche Daten­schutz­be­auf­tragte: Wer eignet sich?

 Illustration zum Thema Datenschutz

­­Datenschutz­­­­­­­management­system: Wie Sie den Überblick behalten

Weitere interessante Blog-Artikel

Online-Handel in Legal

Neues Jahr, neue Gesetze – diese Änderungen erwarten dich in 2025!

Das Jahr 2025 bringt rechtliche Veränderungen für den Online-Handel mit sich. In diesem Rechtstipp haben wir die wichtigsten Neuerungen zusammengefasst.

Jetzt lesen
4min. Lesezeit  |  09.01.25
Cross-Border Handel in Legal

Gesetzesänderung Belgien: zwei Liefer­optionen erforderlich

In Belgien gilt seit diesem Jahr ein Gesetz, das alle Online-Shops verpflichtet, ab dem 21. September 2024 mindestens zwei Lieferoptionen anzubieten.

Jetzt lesen
2min. Lesezeit  |  16.12.24
Online-Handel in Legal

Impressum aktuali­sie­ren? Die Wirt­schafts-Identi­fikations­nummer ist da!

Seit November 2024 vergibt das Bundeszentralamt für Steuern eine Wirtschafts-Identifikationsnummer. Wir erklären, was das für den Online-Handel bedeutet.

Jetzt lesen
5min. Lesezeit  |  10.12.24
Land auswählen:
DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM

© 2025 Trusted Shops SE Impressum Datenschutz Cookies