Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter

Seit Einführung der EU-Datenschutz-Grundverordnung gilt nach Art. 30 DSGVO die Pflicht, ein Verzeichnis zu führen, in wechem die einzelnen Datenverarbeitungstätigkeiten dokumentiert werden – das so genannte Verzeichnis von Verarbeitungstätigkeiten (VVT). Sinn und Zweck dieser Pflicht im Hinblick auf den Verantwortlichen (Art. 30 Abs. 1 DSGVO) ist in einem anderen Beitrag bereits erläutert worden. Nach Art. 30 Abs. 2 DSGVO besteht eine ähnliche Pflicht aber auch für den Auftragsverarbeiter. Also eine Dokumentationspflicht hinsichtlich solcher Verarbeitungstätigkeiten, die er im Auftrag eines Verantwortlichen durchführt.  

Für Unternehmen, die als Auftragsverarbeiter tätig sind, hat das zur Folge, dass insgesamt zwei Verzeichnisse von Verarbeitungstätigkeiten geführt werden müssen; eines als Verantwortlicher gem. Art. 30 Abs. 1 DSGVO und eines als Auftragsverarbeiter gem. Art. 30 Abs. 2 DSGVO.  

Ein Beispiel verdeutlicht den Unterschied: ein Plattformbetreiber muss ein Verzeichnis als Verantwortlicher z.B. im Hinblick auf die Lohnbuchhaltung führen. Darüber hinaus muss er aber auch ein Verzeichnis als Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO führen, wenn er etwa Mitarbeiterdaten eines Auftraggebers auf seiner Plattform in dessen Auftrag verarbeitet.  

Inhalt der Pflicht 

Anders als bei dem VVT als Verantwortlicher, ist Ausgangspunkt der Dokumentation als Auftragsverarbeiter der einzelne Auftraggeber bzw. Verantwortliche iSd. Art. 4 Nr. 7 DSGVO. Denn nach dieser Vorschrift soll der Auftragsverarbeiter für jeden Auftraggeber ein Verzeichnis führen, aus dem z.B. hervorgeht, welche Verarbeitungstätigkeiten er für diesen durchführt, ob er die Daten des Verantwortlichen in das EU-Ausland übermittelt und welche technischen und organisatorischen Maßnahmen er einsetzt, um die Daten des Auftraggebers zu schützen.  

Wie das Verzeichnis des Verantwortlichen, ist auch das VVT des Auftragsverarbeiters schriftlich zu führen und es muss der zuständigen Aufsichtsbehörde auf deren Verlangen zur Verfügung gestellt werden. Verstöße gegen diese Pflichten können nach Art. 58 Abs.2 lit. i) iVm. Art. 83 DSGVO mit einer Geldbuße von bis zu 10 Millionen Euro geahndet werden. 

Sinn und Zweck 

Neben dem Reflektieren über konkrete Verarbeitungstätigkeiten steht bei Art. 30 Abs. 2 DSGVO die Dokumentationsfunktion im Vordergrund. Der Auftragnehmer kann sich so gegenüber seinem Auftraggeber rechtfertigen und behält einen Überblick über seine Auftragsdatenverarbeitungsverhältnisse. Hinsichtlich der Kontrollfunktion durch die Aufsichtsbehörde eignet sich das Verzeichnis zudem als Ergänzung zum Verzeichnis des Verantwortlichen, sodass sich aus der Gesamtschau der Verzeichnisse ein umfassender Überblick über die Datenverarbeitungsvorgänge entnehmen lässt.  

Fazit 

Im Ergebnis sollten Sie prüfen, inwieweit Sie nicht nur als Verantwortlicher, sondern auch als Auftragsverarbeiter tätig sind, sodass Sie ebenfalls die Pflicht aus Art. 30 Abs. 2 DSGVO trifft. Das Erstellen eines entsprechenden Verzeichnisses ist angesichts des geringeren Umfangs ohne großen Aufwand möglich. Sollten Sie Unterstützung benötigen, stellen wir Ihnen gerne eine geeignete Vorlage zur Verfügung und stehen Ihnen beratend zur Seite.