Verarbeitungsverzeichnis

Pflicht des Verantwortlichen zur Dokumentation seiner Verarbeitungsvorgänge aus Art. 30 DSGVO

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutzgrundverordnung (DSGVO) fordert vom Verantwortlichen das Führen eines Verzeichnisses, in dem alle Verarbeitungstätigkeiten enthalten sind, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis dient zum Nachweis der Einhaltung der Verordnung und ist so zu führen, dass es der Aufsichtsbehörde auf Anfrage vorgelegt werden kann, damit die betreffenden Verarbeitungsvorgänge anhand dieses Verzeichnisses kontrolliert werden können.

Als Teil der Rechenschaftspflicht des Verantwortlichen ist also auch die daraus folgende Nachweispflicht gegenüber der Aufsichtsbehörde zu sehen. Diese kann nach Artikel 58 Abs. 1 lit. a DSGVO das Unternehmen anweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

Schon vor der Geltung der DSGVO waren in Deutschland Verfahrensverzeichnisse nach dem früheren Bundesdatenschutzgesetz (BDSG-alt) zu führen, und zwar als öffentliches Verfahrensverzeichnis. Insofern sollte diese Pflicht für die Unternehmen keine allzu großen Überraschungen bedeuten, auch wenn sich Namen oder Formen geändert haben.

Was gehört in ein Verzeichnis von Verarbeitungstätigkeiten?

Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis oder VVZ) zu führen, hat den Inhalt des Artikel 30 DSGVO. Die in Artikel 30 DSGVO Abs. 1 DSGVO aufgeführten Vorgaben sind die Mindestvorgaben, die im VVZ abzubilden sind. Es wird aber zumeist empfohlen, darüber hinaus zusätzliche Informationen im Verfahren bereitzustellen oder zu verknüpfen, da deren Dokumentation sonst an anderer Stelle erfolgen müsste.  Dieses Vorgehen vereinfacht die interne und externe Prüfung des Verfahrensstands und das Verständnis des Verfahrens als Prozess im Unternehmen. Dadurch können ggf. auch Nachfragen seitens der Aufsichtsbehörden nach weiteren erläuternden Unterlagen vermieden werden. Das VVZ ist eines der wichtigsten Dokumente für Datenschutzbeauftragte, Datenschutzkoordinatoren und weitere Stellen, die Kenntnis über Abläufe und Sicherheitsmaßnahmen von Verarbeitung haben müssen.

Ohne korrekt geführtes VVZ lässt sich kein effizientes Risikomanagement und auch keine Steuerung des Datenschutzes im Unternehmen durchführen. Es besteht die Gefahr von Datenverlust und zudem drohen auch erhebliche Bußgelder! Es ist nicht entscheidend oder vorgeschrieben, ob die Dokumentation handschriftlich oder softwaregestützt, über ein DSMS, mittels Tabellenkalkulation oder jeweils in einem Textdokument erfolgt.

Die Mindestinhalte des VVZ sind jedoch vorgeschrieben:

a) Namen & Kontaktdaten des Verantwortlichen und ggf. weitere Personen.

  • Wer sind die Ansprechpartner beim Verantwortlichen, wer kann über die Verarbeitung Auskunft geben?

b) Die Zwecke der Verarbeitung

  • Was wird wozu verarbeitet, was soll damit erreicht werden?

c) Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

  • Kunde oder Mitarbeiter; Kunden-Kontaktdaten wie Anschrift, Telefon, E-Mail; Personalstammda-ten wie Lohnsteuernummer, Personalnummer...)

d) Benennung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

  • Wer bekommt die personenbezogenen Daten, in welcher Funktion und wo sitzt derjenige?

e) Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien

  • Wie hat der Verantwortliche nach dem Kapitel 5 der DSGVO in den Artikeln 44 ff. dargestellten Übermittlung personenbezogener Daten diese sichergestellt? Erfolgt sie aufgrund eines Angemessenheitsbeschlusses oder vorbehaltlich geeigneter Garantien? Gibt es verbindliche Datenschutzvorschriften des Unternehmens bzw. Binding corporate rules? Gibt es Ausnahmen für bestimmte Fälle, die eine Übermittlung rechtfertigen, etwa eine Erforderlichkeit aufgrund wichtiger Gründe im öffentlichen Interesse?

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

  • Welche Fristen sind konkret einschlägig? Das sind zumeist die Aufbewahrungsfristen aus dem HGB und der Abgabenordnung, aber auch noch viele weitere aus spezifischen Fachgesetzen und Anwendungsgebieten. Wie gewährleisten Sie die Löschung? Die gesetzlichen Aufbewahrungs-pflichten stellen einen Rechtfertigungsgrund nach Art. 6 I lit. c DSGVO dar – allerdings nur zum Zwe-cke Erfüllung dieser Pflichten, nicht zu weiteren Verarbeitungszwecken!

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

  • Wie haben Sie Ihre TOM-Pflichten erfüllt und dokumentiert? Hier reicht zumeist ein Verweis auf die allgemein einschlägigen TOM, sofern keine spezielleren Maßnahmen getroffen werden müssen.

Ihre VVZ über ein moderndes DSMS!​

Sie benötigen eine Struktur oder Unterstützung bei der Aktualisierung oder Erstellung der Verzeichnisse von Verarbeitungstätigkeiten? Sie möchten Ihre VVZ über ein modernes DSMS verwalten können?

KTDatenschutz_Team_ausgeschnitten
Kontaktieren Sie uns jetzt!

Die Kür – weitere sinnvolle Angaben im VVZ

Weitere Angaben können direkt im Verzeichnis oder auch als Verweisungen auf Referenzdokumente oder Links aus einem DSMS heraus erfolgen. Theoretisch lässt sich das meiste auch anderswo dokumentieren als in einem VVZ oder in Verknüpfung mit diesem.

Die Erfahrung zeigt auch bei Betrachtung von verschiedenen Dokumentationsverfahren und Datenschutzmanagementsystemen, dass eine nachvollziehbare, transparente Dokumentation innerhalb eines DSMS am effektivsten bei der Datenschutzbearbeitung, Kontrolle und Verbesserung der Verfahren funktioniert.

Empfehlenswert erscheinen meist folgende Zusatzangaben:

IT-Systeme und TOM

  • also eingesetzte Software/ Hardware und Sicherungsmaßnahmen für die Daten.

Schwellenwertbestimmung

  • der Verarbeitungstätigkeit - also die Vorprüfung, ob eine DSFA (Datenschutzfolgeabschätzung) erforderlich sein wird oder nicht, vorbehaltlich der Vorgaben/ Blacklists der Aufsichtsbehörden.

Schutzbedarf

  • Festlegung des Schutzbedarfs der Verarbeitung, vorzugsweise in enger Zusammenarbeit mit der IT-Sicherheit. Nur so kann optimal ermittelt werden, mit welchen Datenschutzmaßnahmen die Prozesse geeignet zu schützen sind.

Risikobewertung der Verarbeitungstätigkeit

  • diese geht im Wege des Risikomanagements einher mit der Festlegung des Schutzbedarfs. Je ris-kanter, desto besser müssen auch die Maßnahmen / TOM definiert werden. Rechtmäßigkeit der Verarbeitung - welcher Erlaubnistatbestand aus Art. 6 DSGVO gestattet die Verarbeitung? Hieran lassen sich gleich die weiteren, spezifischen Anforderungen verknüpfen: Wenn aufgrund einer Einwilligung nach lit. a verarbeitet wird – wie wird die Einwilligung erhoben, dokumentiert, ggf. widerrufen? Wenn aufgrund von berechtigten Interessen verarbeitet wird, wo ist die Interessensabwägung erfolgt und dokumentiert?

Informationspflichten

  • Wie haben Sie die Betroffenen über die Verarbeitung und ihre Rechte informiert und so Ihre Pflich-ten nach den Art. 12 ff DSGVO erfüllt?

Weitere Unterlagen

  • Hierzu gehören insbesondere interne Anleitungen zu Verfahren, Organisationsanweisungen, Be-lehrungen, Informationsschreiben, Beschreibungen von Verfahrensschritten oder Prozessvorga-ben.

Wer führt das Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis muss vom Verantwortlichen geführt werden, nicht vom Datenschutzbeauftragten, sonst würde dieser sich selbst kontrollieren. Der DSB unterstützt, berät und kontrolliert letztlich das, was vom Verantwortlichen dokumentiert wurde. In der Regel wird das nicht der Verantwortliche in Person der Geschäftsführung sein, sondern die federführenden zuständigen Personen in den Fachabteilungen (Prozesseigner bzw. Process Owner). Zumeist kennen auch nur sie die geplanten oder bereits durchgeführten Verarbeitungsvorgänge genauer und wissen, warum das Verfahren überhaupt verwendet wird.

Gerade an dieser Stelle ist Teamwork gefragt – der Datenschutzkoordinator kann seine Aufgaben ebenso wenig wahrnehmen wie der Datenschutzbeauftragte, wenn die Fachabteilung die Verfahren und Dokumentationsinhalte nicht zurückmelden oder sich nicht einmal über die Zwecke ihrer eigenen Verarbeitungen Gedanken gemacht haben.

Hier nutzt dann auch die beste Software für ein DSMS nicht viel, auch wenn dadurch die Administration und das Risikomanagement von Datenschutzverfahren wesentlich erleichtert, wenn nicht erst ermöglicht wird. je systematischer und konsequenter die VVZ gepflegt werden, desto leichter wird das Datenschutzmanagement für alle Beteiligten.

Je früher dabei Datenschutzbeauftragte und Datenschutzkoordinatoren bei neuen Verfahren von den Prozessverantwortlichen einbezogen werden, desto leichter kann von Anfang an in die richtige Richtung gesteuert werden und aufwändige Korrekturmaßnahmen von oft komplexen Verfahrensabläufen vermieden werden. Das spart neben Zeit und Nerven auch letztlich Geld.

Jetzt kostenloses Erstgespräch vereinbaren

Sie haben Interesse an unseren Angeboten im Bereich Datenschutzberatung, Datenschutzmanagement, Informationssicherheit oder der Bestellung als externe Datenschutzbeauftragte?

kt-datenschutz-kontakt
Jetzt Gespräch vereinbaren