Das Verfahrensverzeichnis dient quasi zur Bestandsaufnahme für laufende Datenverarbeitungsprozesse.
Es ist eine Art „Inventarisierung“ der Geschäftsprozesse, auf Basis dessen, welche Verarbeitungstätigkeiten in einem Unternehmen durchgeführt werden. Im Verfahrensverzeichnis wird überdies angegeben, welche Art von Daten für welchen Zweck verarbeitet werden, woher diese kommen, wer für die sachgemäße Verarbeitung verantwortlich ist, welche Systeme an der Verarbeitung der personenbezogenen Daten beteiligt sind, wohin Daten übermittelt werden, wann diese gelöscht werden und welche Maßnahmen zum Schutz der Daten eingeleitet worden sind.
Warum benötige ich das:
Anhand des Verfahrensverzeichnisses können Systeme klassifiziert werden, welche mit schützenswerten Daten in Berührung kommen. Daraus ableiten kann man eine Schutzbedarfs- sowie Risikoanalyse, um wiederum daraus entsprechende dokumentierte Schutzmaßnahmen für diese Daten und Systeme ableiten und umsetzen zu können. Ganz nebenbei bemerkt schreibt der Gesetzgeber eine Führung dieses Verfahrensverzeichnisses – oder nun mit der DSGVO eine „Liste der Verarbeitungstätigkeiten“ – vor.
Man kann mit Hilfe dieses Verzeichnisses besser darauf schließen, welche Prozesse ggf. kritisch sind und wo man aus der Sicht des Datenschutzes möglicherweise Umstrukturierungen tätigen muss, ggf. auch besondere Schutzmaßnahmen zu ergreifen hat. Der Unternehmer muss schlicht beweisen, welche Daten wie verarbeitet werden und was er zum Schutze der verarbeiteten Daten tut. Dafür muss er sich allerdings zuerst im Klaren sein, welche Verfahren mit welchen Daten wie in Berührung kommen; allgemeinhin muss also eine Art Bestandsaufnahme her: Das wird „Verfahrensverzeichnis“, oder „Liste der Verarbeitungstätigkeiten“ genannt.