Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten

Eines der Grundprinzipien der EU-Datenschutzgrundverordnung (EU-DSGVO) ist, dass Verantwortliche, z. B. Unternehmen, für die Verarbeitung personenbezogener Daten nachweisen können müssen, dass sie den Anforderungen des Datenschutzes genügen (Datenschutz-Compliance), siehe auch Art. 5 Abs. 2 DSGVO. Ein Instrument, um den Nachweis zu führen, ist das sogenannte Verzeichnis von Verarbeitungstätigkeiten (auch: Verarbeitungsverzeichnis), welches vom Verantwortlichen zu führen ist. Dieses dient auch Datenschutzbeauftragten, Datenschutzberatern, Auditoren und der Datenschutzaufsicht zu Prüfungs- und Beratungszwecken. Bei der Umsetzung des Datenschutzes schieben Unternehmen die Erarbeitung des Verarbeitungsverzeichnisses oft vor sich her. Dabei kann bereits das Fehlen dieser Dokumentation der Datenverarbeitung mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des Jahresgesamtumsatzes geahndet werden.

Mit den nachfolgenden Erläuterungen möchten wir Ihnen die Scheu vor dieser Aufgabe nehmen und die ersten Schritte erleichtern.

Das Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten – auch: VvT, VVT, VvV – löst bei vielen Verantwortlichen eine Abneigung aus. Woran dies liegt, darüber kann man nur spekulieren. Möglicherweise ist einfach nicht bekannt, worum es sich bei diesem Dokument handelt, wie es auszufüllen ist und dieses generell Unsicherheit auslöst. Dabei gibt Art. 30 DSGVO Auskunft darüber und auch wir helfen weiter. Ein Verantwortlicher kann sich vom Datenschutzbeauftragten beraten lassen, auch wenn er als Unternehmen weiterhin für die Führung des Verarbeitungsverzeichnisses verantwortlich bleibt.

In diesem Dokument hält der Verantwortliche alle Tätigkeiten bzw. Prozesse im Unternehmen fest, bei denen personenbezogene Daten verarbeitet werden. Üblicherweise beinhaltet dies die Lohnbuchhaltung, das Bewerbungsverfahren, den Newsletter-Versand, die Personalverwaltung, das Marketing, die Kundenbetreuung, die Videoüberwachung oder auch den Webseitenbetrieb – es ist aber nicht auf diese beschränkt.

Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten

Bei Folgendem werden einige aufatmen: Nicht jedes Unternehmen ist verpflichtet, ein Verarbeitungsverzeichnis zu erstellen. Darüber klärt Art. 30 Abs. 5 DSGVO auf. Demnach ist es zu erstellen, wenn ein Unternehmen mehr als 250 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten betraut. Man kann sich aber nicht ausschließlich auf diese Aussage stützen. Werden nämlich personenbezogene Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO oder über strafrechtliche Verurteilungen oder Straftaten gemäß Art. 10 DSGVO verarbeitet, ist wiederum ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Des Weiteren muss man solch eine Dokumentation anfertigen, wenn die Verarbeitung personenbezogener Daten ein Risiko für die Rechte und Freiheiten Betroffener birgt oder sie nicht nur gelegentlich erfolgt. In all diesen Fällen ist ein Verarbeitungsverzeichnis auch bei unter 250 Mitarbeitern zu führen. Faktisch verpflichtet es doch nahezu jedes Unternehmen zur Führung von Verarbeitungsverzeichnissen. Selbst wenn nicht, bleibt doch die Aufgabe, die eigene Datenschutzkonformität nachweisen zu können.

Der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten

Ein Verzeichnis von Verarbeitungstätigkeiten muss folgende Informationen beinhalten:

1)    den Namen und die Kontaktdaten des Verantwortlichen,

2)    ggf. den Namen und die Kontaktdaten des mit ihm Verantwortlichen,

3)    ggf. den Namen und die Kontaktdaten des Vertreters,

4)    ggf. den Namen und die Kontaktdaten des Datenschutzbeauftragten,

5)    die Zwecke der Verarbeitung,

6)    die Kategorien betroffener Personen,

7)    die Kategorien personenbezogener Daten,

8)    die Kategorien von Empfängern, denen die Daten offengelegt worden sind/werden sollen, inkl. Empfängern in Drittländern oder internationalen Organisationen,

9)    ggf. Datenübermittlungen an ein Drittland oder internationale Organisation (Staaten außerhalb der EU) inkl. der Angabe, um welches Drittland/welche internationale Organisation es sich handelt,

10)  geeignete Garantien für die Verarbeitung der Daten in einem Drittland oder durch eine internationale Organisation in einem Drittland gemäß Art. 49 Abs. 1 Unterabs. 2 DSGVO,

11)  wenn möglich, die Löschfristen und

12)  wenn möglich, die Beschreibung technischer und organisatorischer Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

Die Angaben im Verzeichnis von Verarbeitungstätigkeiten muss ein Verantwortlicher aber nicht auf die oben genannten Angaben begrenzen. Wenn er beispielsweise vermerken möchte – und er sollte dies aus Dokumentationsgründen machen -, auf welcher Rechtsgrundlage die Verarbeitung beruht, kann er dies ergänzen. Es steht ihm auch frei, zu entscheiden, wie detailliert er das Verzeichnis gestalten möchte. Die Konferenz der Datenschutzbeauftragten (DSK) hat ein Muster für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten für Verantwortliche zur Verfügung gestellt. Speziell für Ärzte gibt es ein Musterbeispiel des Bayerischen Landesamtes für Datenschutzaufsicht.

Der Nutzen des Verzeichnisses von Verarbeitungstätigkeiten

So sehr man vor dieser Dokumentation zurückschreckt, so nützlich ist sie. Wer sich damit auseinandersetzt, gewinnt einen Eindruck darüber, durch wen welche Daten wofür verarbeitet und wie lange diese gespeichert werden. Dies hilft – in Kombination mit einem Löschkonzept -, einen Überblick darüber zu haben, wie lange man welche Daten vom Gesetz her zu speichern hat.

Verlangt ein Betroffener Auskunft über die Verarbeitung seiner Daten, kann ein Verantwortlicher das Verzeichnis von Verarbeitungstätigkeiten zur Beantwortung zu Hilfe ziehen.

Falls die Datenschutzbehörde nachfragt, hat ein Verantwortlicher dies vorzulegen – es sei denn, er kann entsprechend belegen, dass er nicht zur Führung dessen verpflichtet ist. Er kann es auch so gestalten, dass es als allgemeine Übersicht dient, während es dennoch den Vorschriften der DSGVO entspricht.

Eventuell hilft das Verzeichnis von Verarbeitungstätigkeiten sogar, einen Datenschutzvorfall oder zumindest ein hohes Bußgeld zu vermeiden. Tritt solch ein Vorfall doch ein und die Behörde fragt nach, kann ein Unternehmen mit dem Verzeichnis von Verarbeitungstätigkeiten nachweisen, dass es sich aktiv mit dem Datenschutz beschäftigt und versucht, genau solche Vorfälle abzuwehren. Vielleicht besänftigt es die Behörde.

Ein wichtiger Bestandteil des Verarbeitungsverzeichnisses ist die Dokumentation der technischen und organisatorischen Maßnahmen zum Schutz der Daten. Gerade in Zeiten steigender Cyber-Angriffe (den Lage­bericht zur IT-Sicherheit in Deutschland 2020 des BSI finden Sie hier) können bei der Erarbeitung dieser Maßnahmen mögliche Schwachstellen und Sicherheitsrisiken erkannt und geschlossen werden. Das Bayerische Landesamt für Datenschutzaufsicht hat hierzu eine Checkliste zur Überprüfung bereitgestellt: hier.

Pflege und Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten

Wichtig ist es im Unternehmen, auch zu verstehen, dass dieses Dokument kontinuierlich gepflegt und aktualisiert werden muss, wenn Änderungen in Verarbeitungsprozessen vorgenommen werden. Dann bildet der Entwurf der Änderungen eine gute Grundlage, diese mit dem Datenschutzbeauftragten oder -berater abzustimmen. Empfehlenswert ist es hierbei auch, den Datenschutzbeauftragten oder -berater rechtzeitig in die Planung neuer Verarbeitungstätigkeiten und der folgenden Erstellung bzw. Ergänzung des Verarbeitungsverzeichnisses mit einzubinden. So kann er beispielsweise auf ein erhöhtes Risiko für die Rechte und Freiheiten für Betroffene bei der Verarbeitung aufmerksam machen.

Fazit

Im Endeffekt ist die Scheu vor dem Verzeichnis von Verarbeitungstätigkeiten unbegründet. Ja, es ist eine Fleißaufgabe, dennoch überwiegt, abgesehen von der gesetzlichen Pflicht und der Sanktionsdrohung, auch der Nutzen durch die Überprüfung der eigenen Prozesse mit der Möglichkeit einer Geschäftsprozessoptimierung und der Sicherheit der Datenverarbeitung. Es demonstriert schließlich auch, dass ein Verantwortlicher sich mit dem Datenschutz im Unternehmen näher beschäftigt hat.

Sie haben nicht die Expertise oder die Ressourcen zur Erstellung des Verarbeitungsverzeichnisses und benötigen Unterstützung? Treten Sie mit uns in Kontakt, sodass wir Ihnen weiterhelfen können.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.