Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten

Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 wird das bisher bekannte Verfahrensverzeichnis gem. § 4e Bundesdatenschutzgesetz (BDSG) abgelöst durch ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 GS-GVO. Hiermit entfällt auch gleichzeitig das sog. Jedermannverzeichnis, d.h. die öffentliche, für Jedermann zur Verfügung zu stellende Version des Verfahrensverzeichnisses.

Datenschutz-Goettingen-30

Grundlage für das Datenschutzmanagement

Das Verzeichnis von Verarbeitungstätigkeiten ist eine der wichtigsten Grundlagen zum Aufbau eines wirkungsvollen Datenschutzmanagementsystems. Dies ist leicht nachvollziehbar, da eine Kenntnis aller Verarbeitungstätigkeiten die Grundlage für alles Weitere im Datenschutz ist. Man kann Datenschutz nur wirkungsvoll betreiben, wenn man die eigenen Verarbeitungen kennt.

Daher ist das Verzeichnis von Verarbeitungstätigkeiten auch immer ein guter erster Ansatzpunkt bei Prüfungen durch die zuständigen Datenschutz-Aufsichtsbehörden. Ebenfalls kann ich mir keine Möglichkeit vorstellen, wie man gem. Art. 5 Abs. 2 DS-GVO die Rechtmäßigkeit der Verarbeitung nachweisen kann, wenn ein entsprechendes Verzeichnis nicht zur Verfügung steht.

Pflicht zur Führung des Verzeichnisses

Wer ist verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen? Hier hilft ein Blick in Art. 30 Abs. 5 DS-GVO. Dort ist festgelegt, dass Unternehmen mit weniger als 250 Mitarbeitern von der Pflicht befreit sind. Aber halt, bitte nicht zu früh freuen! Es gibt auch hier wieder Ausnahmen von der Ausnahme:

Das Verzeichnis ist auch mit weniger als 250 Mitarbeitern verpflichtend, wenn:

  • die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
  • die Verarbeitung nicht nur gelegentlich erfolgt (Achtung: auch Gehaltszahlungen erfolgen nicht nur gelegentlich!!!)
  • eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 DS-GVO erfolgt. Diese erfolgt übrigens auch, wenn Gehaltsabrechnungen durchgeführt werden, da hier auch die Religionszugehörigkeit verarbeitet wird und somit besondere Datenkategorien verarbeitet werden.
  • die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 GS-GVO erfolgt

Inhalt des Verzeichnisses

Die DS-GVO macht keine konkreten Formvorschriften für das Verzeichnis von Verarbeitungstätigkeiten. Nach altem Recht gab es teilweise spezielle Vorgaben der Aufsichtsbehörden. Von einigen Aufsichtsbehörden (z.B. Niedersachsen) gibt es einen eigenen Vordruck für ein Verfahrensverzeichnis.

Doch dies ist mit Inkrafttreten der DS-GVO Geschichte. Die DS-GVO gibt ledigleich Vorgaben für den Inhalt. Da keine entsprechenden Öffnungsklauseln vorhanden sind, können die jeweiligen EU-Staaten auch keine eigenen Vorschriften hierzu erlassen.

Folgende Inhalte müssen gem. Art. 30 Abs. 1 DS-GVO enthalten sein:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Verarbeitungstätigkeiten-Datenschutz

Was ist ein Verfahren ?

In vielen Betrieben / Behörden entsteht schon ein Problem bei der Erstellung des Verzeichnisses. Hier kommt oft die Frage auf, was eigentlich als „Verfahren“ zu bezeichnen ist. Ein weit verbreitetes Mißverständnis besteht darin, dass hier einfach alle IT-Verfahren aufgelistet werden, welche im jeweiligen Betrieb / Behörde eingesetzt werden. Dies ist natürlich nicht der Sinn eines Verzeichnisses gem. Art. 30 DS-GVO.

Es sind sämtliche Verarbeitungen von personenbezogenen Daten aufzuführen. Dabei ist es unerheblich, ob die Verarbeitung maschinell erfolgt oder z.B. in Papierform. Ein paar einfache Beispiele wären:

  • Gehaltsabrechnung der Beschäftigten
  • Urlaubskartei der Beschäftigten
  • Fehlzeitenverwaltung
  • Bearbeitung von Bewerberdaten
  • Zeiterfassung
  • Videoüberwachung
  • usw.

Fazit

Wie man hier schon sieht, ist das Verzeichnis sehr detailliert zu erstellen. Der hierfür entstehende Aufwand sollte nicht unterschätzt werden, da sämtliche Verarbeitungen im Unternehmen bekannt sein müssen. Für jedes Verfahren müssen alle oben genannten Punkte gem. Art. 30 DS-GVO enthalten sein. Hier empfiehlt es sich in vielen Fällen, eine Projektgruppe mit der Sammlung und Zusammenstellung der Verarbeitungen zu beauftragen.

Ein Verstoß gegen die oben genannten Vorschriften kann gem. Art. 83 Abs. 4 DS-GVO mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden.