Foto: skylarvision, Pixabay

Der Schutz persönlicher Daten: Warum ein Datenschutzkonzept und Verfahrensverzeichnis so wichtig ist

15. Mai 2023

Der Schutz personenbezogener Daten ist ein wichtiges Anliegen. In den letzten Jahren hat sich gezeigt, dass Unternehmen, die ein dezidiertes Datenschutzkonzept haben und in einem Verfahrensverzeichnis sämtliche Verarbeitungsschritte ordnungsgemäß dokumentiert haben, ein höheres Maß an Sicherheit beim Schutz von personenbezogenen Daten bieten und mithin bei der Einhaltung der in diesem Zusammenhang bestehenden gesetzlichen Vorgaben. Daher bilden das Datenschutzkonzept und das Verfahrensverzeichnis eines Unternehmens das Herzstück der datenschutzrechtlichen Dokumentation eines Unternehmens dar.


Ein Datenschutzkonzept ist ein Dokument, in dem das Unternehmen die Richtlinien und Verfahren zum Schutz personenbezogener Daten, welche im Unternehmen beachtet werden müssen, festgelegt werden.

Das Verfahrensverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten ist werden alle Verarbeitungsvorgänge von personenbezogenen Daten im Unternehmen dokumentiert und festgelegt zu welchen Zweck und auf welcher Rechtsgrundlage der jeweilige Verarbeitungsvorgang erfolgt. Es enthält auch Informationen darüber, wie das Unternehmen die Daten schützt und wie es mit Daten umgeht, die es erhält. Es kann ferner Informationen darüber enthalten, wie die Daten gespeichert, verarbeitet und weitergegeben werden. Das Verfahrensverzeichnis dient mehreren Zwecken: Einerseits umfasst dieses Verzeichnis alle Verarbeitungsabläufe personenbezogener Daten und schafft Transparenz für den Verantwortlichen. Andererseits beinhaltet es unterschiedliche gesetzliche Pflichtangaben und dient dazu, die Rechenschaftspflichten zu erfüllen. Also, wie gesetzliche Anforderungen konkret in einem bestimmten Ablauf (z.B. Umgang mit Bewerbungen) umgesetzt sind. Rechtsgrundlage für das Verfahrensverzeichnis ist Art. 30 DS-GVO. Danach sind zunächst nur Unternehmen verpflichtet ein Verfahrensverzeichnis zu führen, wenn sie mehr als 250 Personen beschäftigen. Damit müssten sich viele kleinere und mittlere Unternehmen nicht damit beschäftigen. Abweichend davon ist das Verfahrensverzeichnis jedoch auch zu führen, wenn sie Verarbeitungsvorgänge durchführen, die mit Risiken behaftet sind, regelmäßig stattfinden oder dabei Gesundheitsdaten oder Daten zu strafrechtlichen Verurteilungen verarbeiten. Da bei fast allen kleinen Unternehmen ein Risiko vorhanden ist und Gesundheitsdaten jedenfalls im Personalbereich verarbeitet werden, müssen also Ergebnis fast alle kleineren Unternehmen und Soziale Einrichtungen ebenfalls ein Verfahrensverzeichnis führen.

Dem Verständnis halber sei noch erwähnt, dass der Begriff Verfahrensverzeichnis noch aus dem alten Bundesdatenschutzgesetz stammt und Verzeichnis der Verarbeitungstätigkeiten der aktuelle Begriff der DS-GVO ist. Heute verwendet man die Begriffe häufig deckungsgleich.

Ein Datenschutzkonzept sowie ein Verfahrensverzeichnis sind demnach wichtige Bestandteil einer angemessenes Datenschutzdokumentation eines Unternehmens. Auch wenn viele ein Verfahrensverzeichnis und ein Datenschutzkonzept als unnötige Bürokratie betrachten mögen, so bietet es erhebliche Vorteile. Wie oben beschrieben, schafft jedenfalls ein Verfahrensverzeichnis Transparenz zu den Verarbeitungsabläufen und das Datenschutzkonzept legt die internen Regeln im Umgang mit Datenschutz fest. Sind die einzelnen Verarbeitungsvorgänge erstmal identifiziert, können diese auch im Detail überprüft werden und etwaige externen Dienstleister identifiziert werden. Darüber hinaus sollten Unternehmen sicherstellen, dass sowohl Verfahrensverzeichnis als auch Datenschutzkonzept einer regelmäßigen Prüfung unterzogen wird.