Das Verzeichnis von Verarbeitungstätigkeiten
Bild von Ro Ma auf Pixabay

Das Verzeichnis von Verarbeitungstätigkeiten

Heute möchte ich mich mit einer der absoluten Grundlagen des Datenschutzes im Unternehmen auseinandersetzen: dem Verzeichnis von Verarbeitungstätigkeiten (im Folgenden „Verarbeitungsverzeichnis“).

Was ist das und wer muss es führen?

Ein Verarbeitungsverzeichnis hat sämtliche Tätigkeiten zu dokumentieren, in denen personenbezogene Daten verarbeitet werden. Es soll dabei sichtbar machen, wie im Unternehmen personenbezogene Daten verarbeitet werden und dadurch am Ende zum einen die Arbeit des Datenschutzbeauftragten (sofern einer bestellt ist) erleichtern, zum anderen aber auch im Falle einer Kontrolle durch eine Aufsichtsbehörde dieser einen Überblick liefern, welche Daten in welcher Weise und zu welchem Zweck bei der verantwortlichen Stelle verarbeitet werden. Das Verzeichnis ist auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen, dies geschieht oft im Vorfeld einer Vor-Ort-Kontrolle.

Unter einer Verarbeitungstätigkeit versteht die Datenschutz-Grundverordnung ein Paket von einzelnen Verarbeitungen (Art. 4 Nr.2 DSGVO), die durch einen gemeinsamen Zweck gekennzeichnet sind. Beispiele für Verarbeitungstätigkeiten, die in einem Verarbeitungsverzeichnis erfasst werden müssen sind etwa die Bereitschaftsplanverwaltung, die Arbeitszeiterfassung, das Bewerbermanagement oder eine Lieferantenstammdatenbank.

Spezielle Formanforderungen an das Verarbeitungsverzeichnis gibt es nicht, es kann in Papierform, in einfacher elektronischer Form (beispielsweise mit einer Excel-Tabelle) oder auch mit einem speziellen Tool geführt werden.

Laut Artikel 30 der Datenschutz-Grundverordnung (DSGVO) ist jeder Verantwortliche (und ggf. sein Vertreter) ausdrücklich dazu verpflichtet ein Verarbeitungsverzeichnis zu führen. Anders als bei der Bestellpflicht des Datenschutzbeauftragten aus Artikel 37 DSGVO und § 38 BDSG kommt es also weder darauf an welche Arten von personenbezogenen Daten der Verantwortliche verarbeitet, noch darauf, wie viele Mitarbeiter mit der Datenverarbeitung im Unternehmen beschäftigt sind.

Die Verletzung der Pflicht ein Verarbeitungsverzeichnis zu führen ist eine Ordnungswidrigkeit und kann gem. Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld bis zu 10 Mio. Euro bzw. 2% des weltweiten Jahresumsatzes des vorangegangen Geschäftsjahres auslösen.

Wer stellt das Verarbeitungsverzeichnis auf?

Die Idee der DSGVO ist, dass das Unternehmen das Verarbeitungsverzeichnis führt, so auch der Wortlaut des Artikels 30: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten“. Es ist allerdings nicht festgelegt, welcher Funktionsträger im Unternehmen die Arbeit dann tatsächlich ausführt. Auch die Erstellung des Verzeichnisses ist eine Aufgabe, die innerhalb des Unternehmens delegiert werden kann. In der Praxis wird die Wahl regelmäßig auf die oder den Datenschutzbeauftragten (DSB), oder im Falle dass ein(e) externe(r)  DSB bestellt ist auf die oder den Datenschutzkoordinator(in), im Unternehmen fallen.

In jedem Fall sollte der/die DSB aber in die Erstellung und die Pflege des Verarbeitungsverzeichnisses einbezogen werden, da diese(r) sich in der Regel mit den Anforderungen an das Verarbeitungsverzeichnis am besten auskennt. Es ist definitiv keinem geholfen wenn Mitarbeiter, die nicht über das entsprechende Fachwissen verfügen, das Verzeichnis auf eigene Faust füllen und am Ende muss der DSB fast alles wieder korrigieren bzw. fängt dann doch wieder von vorne an.

Welche Inhalte sind Pflicht?

Eine ganze Reihe von Angaben sind im Verarbeitungsverzeichnis Pflicht nach Artikel 30 der DSGVO. Diese Pflichtangaben sind zum Teil Stammdaten, also Informationen die innerhalb des Unternehmens für alle Verarbeitungsvorgänge gleich sind, sowie spezielle Angaben zu den einzelnen Verarbeitungstätigkeiten. Nach diesem Prinzip würde ich es auch empfehlen ein Verarbeitungsverzeichnis aufzubauen also zunächst die Stammdaten aufzunehmen und dann ein Verzeichnis (z.B. Tabelle) in dem die Angaben zu den einzelnen Verarbeitungsvorgängen aufgelistet werden.

Im allgemeinen Teil mit den Stammdaten sind folgende Stammdaten verpflichtend aufzunehmen:

  • der Name des Verantwortlichen
  • die Kontaktdaten des Verantwortlichen
  • ggf. der Vertreter des Verantwortlichen
  • der/die etwaige Datenschutzbeauftragte des Verantwortlichen
  • eine Datensicherheitsbeschreibung (allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) gem. Art. 32 DSGVO)

Unter dem zweiten Teil des Verzeichnisses mit den einzelnen Dokumentationen zu den Verarbeitungstätigkeiten sind folgende Angaben zu erfassen:

  • Der Zweck / die Zwecke der Verarbeitungstätigkeit
  • Die von der Verarbeitung betroffenen Personengruppen (z.B. Mitarbeiter, Kunden)
  • Die Kategorien personenbezogener Daten, die verarbeitet werden (z.B. Name, Anschrift, Personalnummer, Religionszugehörigkeit)
  • Welchen anderen Unternehmen oder staatlichen Einrichtungen gegenüber werden die Daten offengelegt? (z.B. Finanzamt, externer IT-Dienstleister)
  • Übermittlung von Daten an Unternehmen/staatliche Stellen außerhalb der EU (z.B. Server in der USA)
  • Im Falle von Drittlandstransfer (Ziffer 5): Die Länder an die die Daten übermittelt werden
  • Im Falle von (5) und (6) geeignete Garantien (Angemessenheitsbeschluss der EU, Standardvertragsklauseln, Binding Corporate Rules) die die Übermittlung rechtfertigen.
  • Löschfristen für die verarbeiteten personenbezogenen Daten.
  • spezielle TOMs für die dokumentierte Verarbeitung

Optionale Inhalte

In meinen Augen gibt es über die gesetzlich geforderten Inhalte hinaus noch weitere Angaben, bei denen es Sinn mach diese in den speziellen Teil des Verarbeitungsverzeichnisses aufzunehmen, vor allem weil diese weiteren Informationen die Arbeit des DSB erleichtern.

Dazu zählt in erster Linie die Rechtsgrundlage für die jeweilige Verarbeitungstätigkeit, da es so auf einen Blick ersichtlich wird falls Verarbeitungstätigkeiten ohne Berechtigung erfolgen und man für diese gegebenenfalls eine Einwilligung bei den Betroffenen eingeholt werden muss.

Auch Sinnvoll ist es, für die einzelnen Verarbeitungstätigkeiten anzugeben, welche Software zum Einsatz kommt (falls es sich nicht um Verarbeitungen auf Papier handelt), auch diese Info kann später bei einer eventuellen Risikoanalyse die Arbeit des DSB erleichtern.

Aktualisierung des Verarbeitungsverzeichnisses

Bild von Birgit Böllinger auf Pixabay

Da die DSGVO eine Abbildung der aktuellen Verarbeitungstätigkeiten fordert, ein Unternehmen aber natürlich nicht statisch ist, sondern sich oft Dinge ändern (neue Verarbeitungstätigkeit kommt hinzu, andere Software wird eingesetzt, zusätzliche Daten werden bei einer bestehenden Verarbeitungstätigkeit erfasst) sollte das Verarbeitungsverzeichnis regelmäßig aktualisiert werden.

In einer perfekten Welt würden sich sämtliche Fachabteilungen oder sonstige Organisationseinheiten selbstverständlich umgehend mit dem Datenschutzbeauftragten in Verbindung setzen, wenn sich bei ihren Verarbeitungstätigkeiten etwas ändert, da dies aber eher eine Wunschvorstellung eines DSB ist, würde ich raten den Stand der Verarbeitungsverzeichnisses einmal im Jahr, mindestens aber zwei Jahre bei den mit der jeweiligen Verarbeitungstätigkeit betrauten Personen abzufragen und eventuelle Änderungen nachzutragen. Zusätzlich sollten die Abteilungsverantwortlichen soweit in den datenschutzrechtlichen Grundkenntnissen geschult werden, dass sie eventuelle Änderungen erkennen und diese eigenverantwortlich dem DSB (oder wer sonst die Verzeichnisse führt) melden können.

Verarbeitungsverzeichnis beim Auftragsverarbeiter

Bild von Ro Ma auf Pixabay

Auch Dienstleister, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten (Auftragsverarbeiter, dazu mein Artikel hier) müssen ein eigenes Dienstleisterverarbeitungsverzeichnis erstellen und pflegen (Art. 30 Abs. 2 DSGVO). Mit diesem Verzeichnis kann sich der Auftragsverarbeiter, aber auch der Verantwortliche der sein Kontrollrecht wahrnimmt, jederzeit schnell einen Überblick verschaffen, welche Datenarten er für welche Kundenzwecke für welche Kunden im Auftrag verarbeitet. Ein Auftragsverarbeiter hat also immer mindestens zwei Verarbeitungsverzeichnisse zu führen, eines mit den eigenen Verarbeitungstätigkeiten und eines mit denen, die er im Auftrag ausführt.

Das Dienstleisterverarbeitungsverzeichnis hat mindestens folgende Inhalte:

  • den Namen des Dienstleisters
  • die Kontaktdaten des Dienstleisters
  • den Namen und die Kontaktdaten des jeweiligen Verantwortlichen
  • den jeweiligen Namen und die Kontaktdaten der DSB aller Verantwortlichen
  • die Kategorien von Verarbeitungstätigkeiten, die der Auftragsverarbeiter mit personenbezogenen Daten für die Auftraggeber durchführt
  • Übermittlung von personenbezogenen Daten in Länder außerhalb der EU, Angaben in welche Länder übermittelt wird und ggf. Angabe der geeigneten Garantien (s.o.)
  • Eine Datensicherheitsbeschreibung (allg. Beschreibung der TOMs)

Es ist ratsam, dass der jeweilige Auftraggeber die Datensicherheitsbeschreibung des Auftragsverarbeiters als Erweiterung mit in die eigene Datensicherheitsbeschreibung aufnimmt, denn zu einer kompletten und aussagekräftigen Datensicherheitsbeschreibung gehören selbstverständlich alle Sicherheitsmaßnahmen, die Bezug zu den vom Verantwortlichen verarbeiteten personenbezogenen Daten haben.

Bild von Gerd Altmann

Es lässt sich also insgesamt festhalten, dass das Führen eines Verzeichnisses von Verarbeitungstätigkeiten nicht nur verpflichtend ist, sondern absolut Sinnvoll für jedes Unternehmen. Wenn das Verzeichnis konsequent geführt wird, bildet es als praktischer Leitfaden die Grundlage für die weitere Arbeit des Datenschutzbeauftragten, kann aber darüber hinaus auch für alle weiteren Organisationseinheiten im Unternehmen einen Überblick darüber verschaffen, wo personenbezogene Daten auf welche Weise verarbeitet werden. Somit handelt es sich bei dem Verarbeitungsverzeichnis um eine absolute Grundlage für den Datenschutz im Unternehmen, deren Vorteile eindeutig überwiegen.

Menü schließen

Das Verzeichnis von Verarbeitungstätigkeiten

by paul time to read: 5 min
0