Kostenloses Erstgespräch: Fordern Sie jetzt ihr kostenloses Erstgespräch an!
veranstaltungen_bb

Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO einfach erstellen

Datenschutz

Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO einfach erstellen

Das Verzeichnis von Verarbeitungstätigkeiten (kurz: Verarbeitungsverzeichnis) stellt viele Unternehmen vor große Herausforderungen. Mit einem sauber geführten Verarbeitungsverzeichnis können sie ihren Pflichten nachkommen. Die EU-Datenschutzgrundverordnung (DSGVO) verpflichtet Verantwortliche zum Führen eines solchen Verzeichnisses. Verantwortliche sind unter anderem Unternehmen, Behörden, Vereine und Selbstständige.

In diesem Beitrag erfahren Sie, wie ein erstes Verarbeitungsverzeichnis erstellt werden kann. Zudem lernen Sie, wie Sie ein bereits bestehendes Verarbeitungsverzeichnis verbessern und so den Reifegrad erhöhen können.

Warum benötigen Verantwortliche ein Verarbeitungsverzeichnis?

Artikel 30 DSGVO beschreibt eindeutig das Führen eines Verarbeitungsverzeichnisses. Dort heißt es in Absatz 1:

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.

Seit Inkrafttreten der DSGVO gibt es von vielen Verantwortlichen, die weniger als 250 Mitarbeitende haben, den Irrtum kein Verarbeitungsverzeichnis führen zu müssen. Aber woher kommt dieser Irrtum? Schauen wir einmal gemeinsam in Artikel 30 Abs. 5 DSGVO:

Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

In diesem Absatz werden drei Verschiedene Bedingungen genannt, bei denen doch ein Verarbeitungsverzeichnis vom Verantwortlichen geführt werden muss. Das „oder“ besagt, dass nur eine Bedingung erfüllt sein muss, damit die Pflicht zum Führen eines Verarbeitungsverzeichnisses gegeben ist.

In vielen Fällen werden personenbezogene Daten nicht nur gelegentlich, sondern regelmäßig oder ständig verarbeitet. Wenn das der Fall ist, müssen Verantwortliche das Verarbeitungsverzeichnis führen.

Welchen Zweck verfolgt das Verarbeitungsverzeichnis?

  • Verantwortliche können mit einem sauber geführten Verarbeitungsverzeichnis alle Verarbeitungsvorgänge nachvollziehen.
  • So können unter anderem Betroffenenanfragen einfacher beantwortet werden.
  • Zudem können Verantwortliche so die strengen Voraussetzungen der DSGVO nachweisen. Diese Nachweise können z. B. gegenüber Datenschutz-Aufsichtsbehörden von Bedeutung sein.

Die DSGVO beseht auf der einen Seite aus den verpflichtenden Artikeln 1 bis 99. Zusätzlich haben die Verordnungsgeber 173 Erwägungsgründe der DSGVO angehängt. Diese sind nicht direkt verpflichtend, beschreiben aber einige DSGVO-Themen konkreter.
So beschreibt Erwägungsgrund 82 DSGVO folgendes zum Verarbeitungsverzeichnis:

Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.

Welche Verfahren bzw. Prozesse müssen dokumentiert werden?

Die DSGVO schreibt nicht konkret vor, welche Verfahren und Prozesse dokumentiert werden müssen. Wenn Sie noch kein Verarbeitungsverzeichnis erstellt haben, könnten Sie so vorgehen, dass Sie Ihre Hauptprozesse aufschreiben. Als nächsten Schritt könnten Sie Prozesse in anderen Abteilungen und Fachbereichen analysieren und dokumentieren.

Ideen für die Erstellung einer ersten Version eines Verarbeitungsverzeichnisses:

Wichtig bei dem Thema ist eins: Anzufangen. Die erste Version des Verarbeitungsverzeichnis wird wahrscheinlich nicht gut sein. Für den ersten Schritt ist das aber völlig in Ordnung. Immerhin ist noch kein Meister vom Himmel gefallen. Wenn Sie Ihr Verarbeitungsverzeichnis regelmäßig weiterentwickeln, wird es nach einer gewissen Zeit einen guten Reifegrad erreichen.

Folgend einige Ideen, welche Verfahren und Prozesse neben Ihren Hauptprozessen dokumentiert werden sollten:

  • Personalmanagement inkl. Personalakte
  • Bewerbungsmanagement
  • Lohn- und Gehaltsabrechnungen
  • Debitoren- und Kreditorenverwaltung
  • Onlinebanking
  • Datenschutzmanagement und Betroffenenanfragen
  • Einkauf und Verkauf
  • Kundenstammdaten
  • Firewall / WLAN / Verzeichnisdienst
  • Telefonanlage
  • Webseite, ggf. Tracking
  • Videoüberwachung und Videoaufzeichnung
  • Marketingaktionen

Ideen für ein bereits erstelltes Verarbeitungsverzeichnis:

Wenn Sie bereits ein Verarbeitungsverzeichnis führen und den Reifegrad erhöhen wollen, könnten Sie das Thema mehr in die Organisationsstruktur mit aufnehmen. Die Pflege und Weiterentwicklung des Verarbeitungsverzeichnisses könnten mit in Organisationsrichtlinien aufgenommen werden. Je nach Größe der Organisation sollte jedes Verfahren einer bzw. eines Fachverantwortlichen zugewiesen werden. Diese Personen sind für die Pflege und Weiterentwicklung der Dokumentation verantwortlich.

Was muss konkret dokumentiert werden?

Die DSGVO gibt in Artikel 30 klare Vorgaben für die Dokumentation der Prozesse und Verfahren:

  • den Namden Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Fazit

Die Erfahrung zeigt, dass das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ein zentraler Baustein innerhalb des Datenschutzes ist. Daher sollte es stets aktuell gehalten werden. Die Zuweisung von Verantwortlichekeiten hilft in der Regeln dieses Ziel zu erreichen.

Wenn Sie noch kein Verarbeitungsverzeichnis erstellt haben, obwohl die DSGVO Sie dazu verpflichtet, ist unsere Empfehlung schnellstmöglich damit anzufagen – auch wenn das Verzeichnis anfangs noch nicht perfekt ist. Führen Sie schon ein Verzeichnis, könnten Sie regelmäßig prüfen, wie Sie den Reifegrad erhöhen können. Wir wünsche Ihnen viel Erfolg bei der Erstellung und Pflege Ihres Verzeichnisses von Verarbeitungstätigkeiten.

Innerhalb unserer Datenschutzberatung unterstützen wir Sie gerne bei der Erstellung Ihres Verarbeitungsverzeichnisses.