DSGVO Basics, Teil 4: Das Verarbeitungsverzeichnis

Nachdem wir mit Teil 1, Teil 2 und Teil 3 unsere Einführung in das seit dem 25. Mai 2018 geltende Datenschutzrecht begonnen haben, kommt nun Teil 4 zum Thema: Das Verarbeitungsverzeichnis. Das ist eine der vielen Pflichten, welche die DSGVO Unternehmen auferlegt, und für viele kleinere IT-Unternehmen wohl die unangenehmste.

Was ist ein Verarbeitungsverzeichnis?

In Art. 30 Abs. 1 DSGVO verpflichtet die DSGVO so gut wie jedes Unternehmen, ein „Verzeichnis der Verarbeitungstätigkeiten“ zu führen. Daneben gibt es in Art. 30 Abs. 2 DSGVO eine entsprechende Pflicht für Auftragsverarbeiter, jedoch mit leicht modifizierten Inhalten. Auftragsverarbeiter haben also quasi ein “doppeltes” Verzeichnis zu führen; dazu später mehr.

Diejenigen, die sich mit dem Thema Datenschutzrecht schon vor dem Wirksamwerden der DSGVO beschäftigt haben, werden sich sicherlich an das Verfahrensverzeichnis des BDSG (a.F.) erinnert fühlen. Und das vollkommen zu Recht, verfolgen doch beide Instrumente den gleichen Zweck: Nämlich “auf einen Blick” (im Alltag benötigt jedoch auch der fachkundige Betrachter wahrscheinlich doch eher mehr) einen Überblick über alle Datenverarbeitungsprozesse eines Unternehmens zu erhalten.

Bei der Pflicht zur Führung solcher Verzeichnisse handelt es sich also keineswegs um eine erst durch die DSGVO geschaffene Pflicht. Streng genommen, waren viele Unternehmen bereits vorher zur Führung des Verfahrensverzeichnisses verpflichtet. Da das Thema Datenschutz aber erst mit dem Wirksamwerden der DSGVO in den Fokus vieler Entscheidungsträger gerückt ist, müssen jede Menge Verarbeitungsverzeichnisse nun – und das nach unserer Erfahrung auch heute noch – von Grund auf neu erstellt werden.

Wer muss ein Verarbeitungsverzeichnis führen?

Wie eingangs bereits kurz erwähnt, muss grundsätzlich jeder, der personenbezogene Daten zu nicht nur privaten Zwecken verarbeitet, auch ein Verarbeitungsverzeichnis führen.

Der Art. 30 Abs. 5 DSGVO regelt dazu zwar zunächst gewisse Ausnahmen: Wenn zum Beispiel ein Unternehmen weniger als 250 Personen beschäftigt, muss es kein Verarbeitungsverzeichnis führen.

Hiervon gibt es aber wiederum in der gleichen Vorschrift eine wichtige Gegenausnahme: Wenn das Unternehmen personenbezogene Daten nicht nur gelegentlich verarbeitet, gilt die Privilegierung für kleinere Unternehmen nicht. Und damit in praktisch allen Fällen. Denn welches Unternehmen fällt einem ein, dass nur “ab und zu” mit personenbezogenen Daten umgeht? Eben, keines. Über den Sinn dieses gesetzgeberischen Vorgehens kann man durchaus streiten.

Ziel und Zweck des Verarbeitungsverzeichnisses

Wesentlicher Zweck des Verarbeitungsverzeichnisses ist es, Transparenz über die Verarbeitung personenbezogener Daten im Unternehmen zu schaffen.

Das Verarbeitungsverzeichnis muss auf Nachfrage der zuständigen Datenschutzaufsichtsbehörde zur Verfügung gestellt werden und dient gegenüber der Aufsichtsbehörde als Nachweis, dass die Vorschriften der DSGVO eingehalten wurden.

Damit ist das Verarbeitungsverzeichnisses ein Baustein auf dem Weg zur Einhaltung der Rechenschafts- und Dokumentationspflicht (vgl. Art. 5 Abs. 2 DSGVO) des Unternehmens. In der Praxis ist das Verarbeitungsverzeichnis regelmäßig das Erste, was Aufsichtsbehörde im Rahmen einer Überprüfung eines Unternehmens wird sehen wollen.

Ein sorgfältig und laufend gepflegtes Verarbeitungsverzeichnis kann aber auch Ihrem Unternehmen selbst helfen, einen Überblick über die Datenverarbeitung zu gewinnen und zu behalten.

Form des Verarbeitungsverzeichnisses

In welcher Form ist das Verarbeitungsverzeichnis zu führen? Was die Form angeht ist man relativ frei, denn die einzige Vorgabe dazu ist: schriftlich oder elektronisch (Art. 30 Abs. 3 DSGVO). In der Praxis bewährt hat sich die Tabellenform. Hier besteht gegenüber der doch recht statischen Form eines Text-Dokuments, wie sie etwa die Datenschutzkonferenz mit ihrem Muster vorschlägt, der Vorteil, dass sich die Tabelle nach bestimmten Parametern filtern lässt. Dies erst ermöglicht es, das Verarbeitungsverzeichnis gleichzeitig als Instrument des Managements zu nutzen. Daher lautet unser Rat immer: Führen Sie das Verarbeitungsverzeichnis digital und in Tabellenform!

Inhalt und Aufbau des Verarbeitungsverzeichnisses

Was muss nun drinstehen im Verarbeitungsverzeichnis? Die Pflichtinhalte sind in Art. 30 Abs. 1 (für den Verantwortlichen) bzw. Abs. 2 (für den Auftragsverarbeiter) DSGVO geregelt. Damit ist aber noch nicht geklärt, was der Gesetzgeber unter einer “Verarbeitungstätigkeit” versteht, denn diese müssen ja im Verzeichnis aufgezählt sein.

Was ist eine Verarbeitungstätigkeit?

Um es vorweg zu sagen: Die DSGVO verlangt keine Darstellung sämtlicher Verarbeitungsvorgänge in einem Unternehmen. Vielmehr soll sich die Darstellung der einzelnen Verarbeitungsvorgänge in einem „generell-abstrakten Maß“ bewegen. Eine gewisse Zusammenfassung mehrerer Verarbeitungsvorgänge zu einer Art Gesamtdarstellung ist also erlaubt. Beispielsweise muss nicht jeder einzelne Verarbeitungsschritt bei der Lohnbuchhaltung separat aufgeführt werden. Hier bietet sich eine Zusammenfassung mehrerer, jeweils dem gleichen Zweck dienenden Verarbeitungsvorgänge an. So könnte die Darstellung im Verarbeitungsverzeichnis etwa lauten „Lohnbuchhaltung“ oder „Kontaktverwaltung“.

Typische Verarbeitungsvorgänge können nach unserer Erfahrung beispielsweise sein:

  • Auftragsverwaltung
  • Bewerbermanagement
  • Controlling
  • CRM
  • E-Mail
  • Einkauf
  • Finanzbuchhaltung
  • Inkasso
  • IT
  • Kontaktverwaltung
  • Lohnbuchhaltung
  • Marketing
  • Personal / HR
  • Projektverwaltung
  • Revision & Compliance
  • Terminverwaltung
  • Verkauf & Vertrieb
  • Verwaltung
  • Webseite
  • Zeiterfassung

Sinnvolle Zusatzangaben im Verarbeitungsverzeichnis des Verantwortlichen

Sinnvoll kann es zudem sein, das Verarbeitungsverzeichnis um einige Zusatzangaben zu erweitern, die nicht zwingend Bestandteil sein müssen.

In unseren Augen ist es in vielen Fällen sinnvoll, die nachfolgenden Angaben im Verarbeitungsverzeichnis zu ergänzen:

  • Rechtsgrundlage der Verarbeitung
  • Einhaltung Anforderungen des Grundsatzes „Privacy by design“
  • Einhaltung Anforderungen des Grundsatzes „Privacy by default“
  • Informationen zur Einhaltung der Informationspflichten
  • Angabe, ob für die von der Datenverarbeitung erfassten Daten das Recht auf Datenportabilität Anwendung findet
  • Angaben zur Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA)

Erst um diese Angaben ergänzt, entwickelt sich das Verarbeitungsverzeichnis zu einem wichtigen Werkzeug zur Einhaltung datenschutzrechtlicher Vorgaben und Pflichten.

Sinnvolle Zusatzangaben im Verarbeitungsverzeichnis des Auftragsverarbeiters

Aus dem gleichen Grund empfehlen wir auch, das Verarbeitungsverzeichnis des Auftragsverarbeiters um gewissen Angaben zu ergänzen. Diese sind:

  • Weisungen des Auftraggebers in Bezug auf den jeweiligen Verarbeitungsvorgang
  • Vereinbartes Löschverfahren und Dokumentation des Prozesses
  • Dokumentation von Unterauftragsverhältnissen und Angaben zur Genehmigung durch den Auftraggeber

Prozess zur Erstellung des Verarbeitungsverzeichnisses

Wie gehen wir vor, wenn wir Unternehmen bei der Erstellung eines Verarbeitungsverzeichnisses unterstützen, und wie sollten Sie vorgehen?

Bevor man ein Verarbeitungsverzeichnis erstellen kann, muss man die einzelnen Verarbeitungsvorgänge kennen, die dort hinein gehören. Daher startet die Erstellung eines Verarbeitungsverzeichnisses damit, dass man sein Unternehmen und alle Prozesse auf Datenverarbeitungen “durchleuchtet” (sog. Screening). Dieser Screening-Prozess ist wichtig, zwingt er doch dazu, sich mit der Struktur der unternehmensinternen Datenverarbeitungsprozesse auseinander zu setzen und so vielleicht inneffiziente oder unzulässige Strukturen zu erkennen.

Das Ergebnis ist (zumindest im Idealfall) eine Auflistung aller Datenverarbeitungsvorgänge in einem Unternehmen. Diejenigen davon, die den gleichen Zweck verfolgen und daher zusammengefasst werden können, werden zusammengefasst und die Pflichtinhalte ergänzt.

Ganz so einfach, wie es sich hier liest, ist es freilich gerade bei etwas größeren Unternehmen oder Unternehmen mit komplexen (IT-)Leistungen nicht. Oft werden beim Screening, das in der Regel intern von unseren Mandanten durchgeführt wird, Verarbeitungsvorgänge nicht berücksichtigt. Hier ist es dann unsere Aufgabe gezielt nachzufragen, Erläuterungen zu geben und Nachfragen zu beantworten und so den Screenings-Prozess bei unseren Mandanten zu begleiten. Anschließend werden die Verarbeitungszwecke in Abstimmung mit unseren Mandanten sowie die Rechtsgrundlage des jeweiligen Verarbeitungsvorganges ermittelt.

Muster und Hinweise

Im Internet finden sich Zahlreiche Muster für ein Verarbeitungsverzeichnisse und Hinweise von Branchenverbänden. Wir haben Ihnen eine Auswahl von hilfreichen Quellen zusammengestellt:

Können wir Ihnen mit Ihrem Verarbeitungsverzeichnis helfen?

Sie haben noch kein Verarbeitungsverzeichnis und brauchen Hilfe bei der Erstellung? Oder Sie sind unsicher, ob Ihr Verarbeitungsverzeichnis den Anforderungen der DSGVO genügt? In unserer Produktübersicht erfahren Sie, welche Leistungen wir im Zusammenhang mit Verarbeitungsverzeichnissen für Sie erbringen und was Sie das kostet. Und in unserem E-Book erfahren Sie alles zur Auftragsverarbeitung in der Praxis.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

  • Abonnieren Sie unsere Tipps und Tricks.
  • Lesen Sie unsere kostenlosen E-Books.
  • Informieren Sie sich über unsere Leistungen.
  • Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
  • Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.

Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: