Verarbeitungsverzeichnis

Pflicht des Verantwortlichen zur Dokumentation seiner Verarbeitungsvorgänge aus Art. 30 DSGVO

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutzgrundverordnung (DSGVO) fordert vom Verantwortlichen das Führen eines Verzeichnisses, in dem alle Verarbeitungstätigkeiten enthalten sind, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis dient zum Nachweis der Einhaltung der Verordnung und ist so zu führen, dass es der Aufsichtsbehörde auf Anfrage vorgelegt werden kann, damit die betreffenden Verarbeitungsvorgänge anhand dieses Verzeichnisses kontrolliert werden können.

Als Teil der Rechenschaftspflicht des Verantwortlichen ist also auch die daraus folgende Nachweispflicht gegenüber der Aufsichtsbehörde zu sehen. Diese kann nach Artikel 58 Abs. 1 lit. a DSGVO das Unternehmen anweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

Schon vor der Geltung der DSGVO waren in Deutschland Verfahrensverzeichnisse nach dem früheren Bundesdatenschutzgesetz (BDSG-alt) zu führen, und zwar als öffentliches Verfahrensverzeichnis. Insofern sollte diese Pflicht für die Unternehmen keine allzu großen Überraschungen bedeuten, auch wenn sich Namen oder Formen geändert haben.

Was gehört in ein Verzeichnis von Verarbeitungstätigkeiten?

Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis oder VVZ) zu führen, hat den Inhalt des Artikel 30 DSGVO. Die in Artikel 30 DSGVO Abs. 1 DSGVO aufgeführten Vorgaben sind die Mindestvorgaben, die im VVZ abzubilden sind. Es wird aber zumeist empfohlen, darüber hinaus zusätzliche Informationen im Verfahren bereitzustellen oder zu verknüpfen, da deren Dokumentation sonst an anderer Stelle erfolgen müsste.  Dieses Vorgehen vereinfacht die interne und externe Prüfung des Verfahrensstands und das Verständnis des Verfahrens als Prozess im Unternehmen. Dadurch können ggf. auch Nachfragen seitens der Aufsichtsbehörden nach weiteren erläuternden Unterlagen vermieden werden. Das VVZ ist eines der wichtigsten Dokumente für Datenschutzbeauftragte, Datenschutzkoordinatoren und weitere Stellen, die Kenntnis über Abläufe und Sicherheitsmaßnahmen von Verarbeitung haben müssen.

Ohne korrekt geführtes VVZ lässt sich kein effizientes Risikomanagement und auch keine Steuerung des Datenschutzes im Unternehmen durchführen. Es besteht die Gefahr von Datenverlust und zudem drohen auch erhebliche Bußgelder! Es ist nicht entscheidend oder vorgeschrieben, ob die Dokumentation handschriftlich oder softwaregestützt, über ein DSMS, mittels Tabellenkalkulation oder jeweils in einem Textdokument erfolgt.

Die Mindestinhalte des VVZ sind jedoch vorgeschrieben:

a) Namen & Kontaktdaten des Verantwortlichen und ggf. weitere Personen.

b) Die Zwecke der Verarbeitung

c) Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

d) Benennung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Ihre VVZ über ein moderndes DSMS!​

Sie benötigen eine Struktur oder Unterstützung bei der Aktualisierung oder Erstellung der Verzeichnisse von Verarbeitungstätigkeiten? Sie möchten Ihre VVZ über ein modernes DSMS verwalten können?

KTDatenschutz_Team_ausgeschnitten

Die Kür – weitere sinnvolle Angaben im VVZ

Weitere Angaben können direkt im Verzeichnis oder auch als Verweisungen auf Referenzdokumente oder Links aus einem DSMS heraus erfolgen. Theoretisch lässt sich das meiste auch anderswo dokumentieren als in einem VVZ oder in Verknüpfung mit diesem.

Die Erfahrung zeigt auch bei Betrachtung von verschiedenen Dokumentationsverfahren und Datenschutzmanagementsystemen, dass eine nachvollziehbare, transparente Dokumentation innerhalb eines DSMS am effektivsten bei der Datenschutzbearbeitung, Kontrolle und Verbesserung der Verfahren funktioniert.

Empfehlenswert erscheinen meist folgende Zusatzangaben:

IT-Systeme und TOM

Schwellenwertbestimmung

Schutzbedarf

Risikobewertung der Verarbeitungstätigkeit

Informationspflichten

Weitere Unterlagen

Wer führt das Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis muss vom Verantwortlichen geführt werden, nicht vom Datenschutzbeauftragten, sonst würde dieser sich selbst kontrollieren. Der DSB unterstützt, berät und kontrolliert letztlich das, was vom Verantwortlichen dokumentiert wurde. In der Regel wird das nicht der Verantwortliche in Person der Geschäftsführung sein, sondern die federführenden zuständigen Personen in den Fachabteilungen (Prozesseigner bzw. Process Owner). Zumeist kennen auch nur sie die geplanten oder bereits durchgeführten Verarbeitungsvorgänge genauer und wissen, warum das Verfahren überhaupt verwendet wird.

Gerade an dieser Stelle ist Teamwork gefragt – der Datenschutzkoordinator kann seine Aufgaben ebenso wenig wahrnehmen wie der Datenschutzbeauftragte, wenn die Fachabteilung die Verfahren und Dokumentationsinhalte nicht zurückmelden oder sich nicht einmal über die Zwecke ihrer eigenen Verarbeitungen Gedanken gemacht haben.

Hier nutzt dann auch die beste Software für ein DSMS nicht viel, auch wenn dadurch die Administration und das Risikomanagement von Datenschutzverfahren wesentlich erleichtert, wenn nicht erst ermöglicht wird. je systematischer und konsequenter die VVZ gepflegt werden, desto leichter wird das Datenschutzmanagement für alle Beteiligten.

Je früher dabei Datenschutzbeauftragte und Datenschutzkoordinatoren bei neuen Verfahren von den Prozessverantwortlichen einbezogen werden, desto leichter kann von Anfang an in die richtige Richtung gesteuert werden und aufwändige Korrekturmaßnahmen von oft komplexen Verfahrensabläufen vermieden werden. Das spart neben Zeit und Nerven auch letztlich Geld.

Jetzt kostenloses Erstgespräch vereinbaren

Sie haben Interesse an unseren Angeboten im Bereich Datenschutzberatung, Datenschutzmanagement, Informationssicherheit oder der Bestellung als externe Datenschutzbeauftragte?

kt-datenschutz-kontakt