Verzeichnis von Verarbeitungstätigkeiten

gemäß Art. 30 DSGVO

Die Datenschutz-Grundverordnung (DSGVO) bringt eine Reihe von Dokumentationspflichten mit. Das Herzstück dieser Dokumentation ist das Verzeichnis von Verarbeitungstätigkeiten (kurz auch „Verarbeitungsverzeichnis“ oder „VVT“). Darin müssen die Prozesse, bei denen personenbezogene Daten verarbeitet werden, systematisch dokumentiert werden. Wir erläutern Ihnen nachfolgend, wer ein solches Verzeichnis in welcher Form führen muss, welche Inhalte verpflichtend sind und wie Sie so ein Verzeichnis am besten erstellen können.

Wen trifft die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten?

Bild1

Grundsatz

Grundsätzlich ist jede Stelle, die personenbezogene Daten verarbeitet, zur Erstellung und Führung eines Verarbeitungsverzeichnisses verpflichtet. Das gilt sowohl für Verantwortliche (Art. 30 Abs. 1 DSGVO), als auch für Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO).

Ausnahmen

Ausnahmen gelten für Unternehmen oder Einrichtungen, die weniger als 250 Beschäftigte haben, es sei denn

  • die durchgeführten Verarbeitungen bergen ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich, oder
  • es werden besondere personenbezogene Daten nach Art. 9 DSGVO oder Informationen zu strafrechtlichen Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet.

Aufgrund der sehr engen Ausnahmen ist in der Praxis davon auszugehen, dass nahezu alle Unternehmen und Organisationen ein Verarbeitungsverzeichnis führen müssen. Denn schon die Existenz einer Kundendatenbank oder von Beschäftigtendaten, führt zu einer nicht nur gelegentlichen Datenverarbeitung.

Verpflichtung innerhalb des Unternehmens

Die Pflicht, ein aktuelles Verzeichnis von Verarbeitungstätigkeiten vorzuhalten, trifft das Unternehmen. An erster Stelle ist – rein formal gesehen – also die Geschäftsführung für das Verarbeitungsverzeichnis verantwortlich. Diese kann die Aufgabe aber entsprechend delegieren, sinnvollerweise zum Beispiel an eine:n Datenschutzmanager:in oder an die jeweiligen Fachabteilungen im Unternehmen. Der oder die Datenschutzbeauftragte wird bei der Erstellung und Pflege des Verzeichnisses lediglich unterstützend tätig.

Bild2

Warum müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten erstellen?

Sinn und Zweck des Verzeichnisses

Das Verzeichnis von Verarbeitungstätigkeiten ermöglicht Ihnen und ggf. Ihrem oder Ihrer Datenschutzbeauftragten, den Überblick über die Datenverarbeitung zu behalten, die Rechtmäßigkeit der einzelnen Verarbeitungen zu prüfen und Auskunftsansprüche von betroffenen Personen zügig zu bearbeiten. Außerdem kann es der zuständigen Aufsichtsbehörde dazu dienen, die Erfüllung Ihrer Pflichten aus der DSGVO zu kontrollieren.

Symbolbild: Glühbirne
referee 2

Sanktionen

Bei Verstößen gegen die Dokumentationspflicht drohen gemäß Art. 83 Abs. 4 lit. a) DSGVO Geldbußen von bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens – je nachdem, was höher liegt.

Allerdings ist das kein Automatismus. Gemäß Art. 58 Abs. 1 DSGVO können Aufsichtsbehörden anstelle einer Geldbuße beispielsweise auch eine Verwarnung aussprechen. Die Frage, ob ein Bußgeld erlassen wird und wenn ja, in welcher Höhe, orientiert sich an der Leistungsstärke des Unternehmens und am konkreten Verstoß.

Was beinhaltet ein Verzeichnis von Verarbeitungstätigkeiten?

In einem Verarbeitungsverzeichnis müssen alle Verarbeitungstätigkeiten, die innerhalb des Unternehmens durchgeführt werden, beschrieben werden.

Was ist eine Verarbeitungstätigkeit?

Der Begriff der Verarbeitung steht im Datenschutzrecht für jeglichen Umgang mit personenbezogenen Daten – von der Erhebung bis zur Löschung. Unter einer Verarbeitungstätigkeit versteht man eine abgrenzbare Reihe von Datenverarbeitungen, die zur Erreichung eines oder mehrerer Zwecke durchgeführt werden.

Beispiel: Ein Bewerber übermittelt seine Bewerbungsdaten per E-Mail an ein Unternehmen, welches die Daten erhebt und in eine Personalrecruiting-Software überträgt. Auf das System nimmt nun die Abteilungsleitung des zuständigen Bereichs Zugriff. Die Bewerbung wird gesichtet und der Bewerber abgelehnt. Nach Ablauf von sechs Monaten wird die Bewerbung automatisch in der Personal-Software und im E-Mail-Postfach gelöscht. All diese Verarbeitungsschritte stellen im Gesamten die Verarbeitungstätigkeit des Personal-Recruitings dar.

Andere Beispiele von Verarbeitungstätigkeiten sind etwa eine Videoüberwachung von Verkaufsräumen, die Kontaktdatenverwaltung von Geschäftspartner:innen und Kund:innen in einer CRM-Anwendung oder der Betrieb der VoIP-Telefonanlage.

Bild3

Welche Inhalte müssen in einem Verarbeitungsverzeichnis beschrieben werden?

Im Verarbeitungsverzeichnis müssen alle Verarbeitungstätigkeiten, die im Unternehmen stattfinden, beschrieben werden. Die Mindestinhalte pro Verarbeitungstätigkeit werden von Art. 30 DSGVO vorgegeben. Dabei unterscheiden sich die Vorgaben je nach Verantwortlichkeit des Unternehmens. Agiert ein Unternehmen als Verantwortlicher, müssen die Informationen aus dem Katalog des Art. 30 Abs. 1 DSGVO dokumentiert werden. Dazu gehören:

Häkchen

Name und Kontaktdaten

Den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten.

Häkchen

Verarbeitungszweck

Die konkreten Zwecke der Datenverarbeitung.

Häkchen

Kategorien

Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten.

Häkchen

Empfänger

Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.

Häkchen

Übermittlung Drittland

Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Abs. 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien.

Häkchen

Löschfristen und Datensicherheit

Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Agiert ein Unternehmen (in der Regel zusätzlich) als Auftragsverarbeiter, so muss ein gesondertes Verzeichnis der Verarbeitungstätigkeiten im Auftrag geführt werden. Maßgeblich ist dann der verkürzte Katalog des Art. 30 Abs. 2 DSGVO.

Welche Zusatzinhalte können in einem Verarbeitungsverzeichnis dokumentiert werden?

Neben den gesetzlichen Mindestinhalten kann es sinnvoll sein, relevante Zusatzinformationen für eine Verarbeitungstätigkeit im Verzeichnis zu dokumentieren. Das kann helfen, um die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu erfüllen. Sinnvolle Zusatzinformationen sind beispielsweise:

Häkchen

Softwaresysteme

Die Dokumentation der für die Verarbeitung genutzten Softwaresysteme hilft vor allem bei der Erfüllung von Betroffenenanfragen.

Häkchen

Rechtsgrundlage

Jede Datenverarbeitung bedarf einer Rechtsgrundlage. Um die Einhaltung dieses Grundsatzes nachweisbar zu dokumentieren, ist es sinnvoll, auch die Rechtsgrundlage der Verarbeitung im VVT zu nennen.

Häkchen

Informationspflichten

Dokumentierte Informationen dazu, wie das Unternehmen die Informationspflichten aus Art. 13 DSGVO erfüllt, helfen bei der Erfüllung der Rechenschaftspflicht.

Häkchen

Löschkonzept

Neben den Löschfristen können im VVT auch weitere Informationen zum konkreten Löschprozess dokumentiert werden.

Häkchen

Verantwortliche Abteilung

Insbesondere in größeren Unternehmen kann es sinnvoll sein, die für die Datenverarbeitung verantwortliche Abteilung zu dokumentieren. So wissen Datenschutzmanager:innen immer, welche Ansprechpartner:innen für die Datenverarbeitung zuständig sind.

Häkchen

Risikobewertung

Für jede Datenverarbeitung muss eine Risikobewertung durchgeführt werden. Zur Erfüllung der Rechenschaftspflicht ist es daher sinnvoll, diese Prüfung auch im VVT zu dokumentieren.

Wo führe ich ein Verzeichnis von Verarbeitungstätigkeiten?

 

Schriftlich oder elektronisch

Das Verarbeitungsverzeichnis ist immer schriftlich zu führen (Art. 30 Abs. 3 DSGVO). Schriftlich meint dabei nicht „auf Papier“, also mit Zettel und Stift, sondern umfasst auch eine digitale, elektronische Dokumentation. Typischerweise werden Verarbeitungsverzeichnisse daher mittels Word, Excel oder einer Datenschutz-Software geführt.

Eine Software hilft!

Die Nutzung einer Datenschutz-Software bringt dabei viele Vorteile mit sich. Mit den meisten Softwareprodukten kann nicht nur das Verarbeitungsverzeichnis erstellt werden. Vielmehr kann auch die weitere Datenschutzorganisation abgebildet werden, wie zum Beispiel die Dokumentation von Betroffenenanfragen, Datenschutzvorfällen oder Datenschutz-Folgenabschätzungen. All das und vieles mehr bietet auch unsere Softwarelösung DataDesk.

Muss ich das Verarbeitungsverzeichnis veröffentlichen?

Nein. Anders als noch zu Zeiten des alten BDSG muss ein Verzeichnis von Verarbeitungstätigkeiten nicht mehr veröffentlicht werden. Auch eine Offenlegung gegenüber einer Behörde ist nicht proaktiv, sondern nur auf Anfrage der Behörde nötig.

Wie erstelle ich ein Verzeichnis von Verarbeitungstätigkeiten?

Wenn Sie „auf der grünen Wiese“ starten, bietet sich ein strukturiertes Vorgehen an. Welche Schritte zur Erstellung eines Verarbeitungsverzeichnisses notwendig sind, zeigen wir Ihnen nachfolgend.

Schritt 1: Organisation des Unternehmens

Im ersten Schritt unterteilen Sie Ihr Unternehmen in organisatorische Bereiche und Abteilungen (z.B. anhand eines Organigramms). Das ist für die Strukturierung des Verzeichnisses sinnvoll und hilft Ihnen, die richtigen Ansprechpartner:innen zu finden. Abteilungen, die in jedem Fall mit personenbezogenen Daten arbeiten, sind zum Beispiel die Personalabteilung, der Bereich IT und die Abteilung Marketing/Vertrieb.

Organisation des Unternehmens
Server

Schritt 2: Verarbeitungsprozesse identifizieren

Gehen Sie Ihr Unternehmen dann systematisch Bereich für Bereich durch und identifizieren Sie gemeinsam mit den jeweiligen Abteilungsverantwortlichen die einzelnen Verarbeitungstätigkeiten erst einmal grob. Tragen Sie jede Verarbeitungstätigkeit in Ihr Verzeichnis ein und wählen Sie dabei Bezeichnungen, mit denen man in Ihrem Unternehmen etwas anfangen kann.

Hierzu ein Beispiel:

Bei Ihnen gibt es wahrscheinlich eine Personalabteilung oder zumindest eine:n Personalverantwortliche:n. In diesem Bereich findet sich klassischerweise eine Vielzahl von Verarbeitungstätigkeiten, in denen Daten von Beschäftigten und auch von Bewerber:innen verarbeitet werden. Stellen Sie sich zur Identifikation von Verarbeitungstätigkeiten einfach einen typischen Beschäftigten vor – von der Bewerbung bis zur Kündigung. Der Beschäftigte wird zunächst im Bewerbungsverfahren rekrutiert, dann werden seine personenbezogenen Daten in der Personalakte gespeichert. Im Laufe des Beschäftigungsverhältnisses finden Feedbackgespräche statt, der Beschäftigte bekommt Lohnzahlungen, beantragt Urlaub und ist krankheitsbedingt abwesend. Vielleicht gibt es im Unternehmen zudem Benefits, wie zum Beispiel ein Fahrradleasing oder eine betriebliche Altersvorsorge. In all diesen Prozessen werden personenbezogenen Daten verarbeitet. All diese Prozesse stellen dementsprechend Verarbeitungstätigkeiten dar.

Hier finden Sie eine exemplarische Sammlung von typischen Verarbeitungstätigkeiten in Unternehmen:

Finanzbuchhaltung (Debitoren, Kreditoren, etc.)

Zahlungsverkehr

Bonitätsprüfung

Controlling

Mahnwesen

Reisekosten und Auslagen

Personalverwaltung

Lohnbuchhaltung

Personaleinsatzplanung

Zeiterfassung / An- und Abwesenheiten

Betriebliche Altersvorsorge & sonstige Versicherungen

Notfalllisten

Geburtstage und Jubiläen

Benefits (Nahverkehr, Fitnessstudio, etc.)

Personalentwicklung

Bewerbungen

Website

Apps

Social Media

E-Mail Marketing

Blacklist / Do-not-contact List

Direktmarketing (Post)

Gewinnspiele

Umfragen

Messen und Veranstaltungen

Kundenverwaltung / CRM

Auftragsmanagement / ERP

Projektmanagement

Kundenservice

Nutzer- und Verzeichnisdienst

Datenhaltung / Fileserver

Prüfung / Überwachung der IT-Systeme

Dokumenten-Management

Büro-Software

Telefonanlage

E-Mail, Kalender, Adressbuch

Interne Kommunikation (Groupware, Chats, etc.)

Device Management

IT-Support

Passwort-Manager

Intranet / Wiki

Besucher WLAN

Videoüberwachung

Elektronische Zutrittskontrolle (Keycard, Chip)

Akten- & Datenträgervernichtung

Reisemanagement

Flottenmanagement

Guest Management

 

Bild4

Schritt 3: Detailerfassung

Sobald Sie Ihr Verzeichnis im Groben erstellt haben, geht es an die Detailerfassung. Nun müssen die vorher identifizierten Verarbeitungsprozesse mit Leben gefüllt werden. Sprechen Sie dazu am besten mit den Personen, die den Verarbeitungsprozess im Arbeitsalltag auch tatsächlich durchführen. Diese Personen wissen am besten, welche personenbezogenen Daten wie verarbeitet werden.

Fragen Sie im Gespräch die notwendigen Informationen ab, die zur Dokumentation der Verarbeitungstätigkeit erforderlich sind. Idealerweise dokumentieren Sie die Informationen direkt gemeinsam in Ihrer Datenschutz-Software (zum Beispiel DataDesk). Das spart Zeit und beugt Missverständnissen vor. In der analogen Variante hilft auch eine Checkliste zur Erfassung einer Verarbeitungstätigkeit.

Und fertig ist Ihr Verzeichnis von Verarbeitungstätigkeiten! Zumindest für den Moment.

Schritt 4: Regelmäßige Kontrolle und Aktualisierung bei Bedarf

Ein einmal erstelltes, aktuelles Verarbeitungsverzeichnis muss regelmäßig kontrolliert, aktualisiert und ergänzt werden. In der Praxis ist es sinnvoll, feste Revisionszyklen zu bestimmen, in denen die Verarbeitungstätigkeiten standardmäßig kontrolliert werden. Auch hierbei hilft eine Datenschutz-Software wie DataDesk mit automatischen Erinnerungen bei Ablauf eines Revisionszyklus.

Darüber hinaus kann es nötig sein, auch kurzfristige Änderungen durchzuführen. Immer wenn neue Verarbeitungstätigkeiten eingeführt werden oder sich bereits dokumentierte Verarbeitungen erheblich ändern, muss das Verzeichnis aktualisiert werden. Denn jede neue oder veränderte Verarbeitungstätigkeit muss sich auch im aktuellen Verzeichnis wiederfinden. Implementieren Sie hierzu am besten einen internen Prozess, damit Sie über neue und veränderte Verarbeitungstätigkeiten rechtzeitig informiert werden.

Wir unterstützen Sie als externe Datenschutzbeauftragte gerne bei der Erstellung, Pflege und Verwaltung Ihres Verzeichnisses von Verarbeitungstätigkeiten. Melden Sie sich dazu einfach über unser Kontaktformular bei uns.

Bild5