Das Verarbeitungsverzeichnis: Eine Auflistung und Dokumentation aller Geschäftsabläufe und Verfahren, bei denen personenbezogene Daten verarbeitet werden.
Schon nach altem Recht (vgl. § 4d, § 4e BDSG a. F.) mussten Unternehmen die personenbezogene Daten verarbeiten ein sogenanntes Verfahrensverzeichnis führen. Mit Inkrafttreten der europäischen Datenschutzgrundverordnung im Mai vergangenen Jahres wurde das bisherige Verfahrensverzeichnis durch das Verzeichnis von Verarbeitungstätigkeiten (kurz: Verarbeitungsverzeichnis) nach Art. 30 DSGVO abgelöst.
Weil es sich bei der DSGVO um eine EU-Verordnung handelt, gilt diese mit Inkrafttreten unmittelbar und muss nicht erst in nationales Recht umgesetzt werden. Da die EU den Mitgliedstaaten jedoch durch 69 sogenannte Öffnungsklauseln einen gewissen gesetzgeberischen Gestaltungsraum gelassen und teilweise sogar vorgeschrieben hat, war eine Anpassung des alten BDSG erforderlich.
Das bisherige Verfahrensverzeichnis nach § 4 d BDSG a. F. wurde von der Bundesgesetzgebung im § 70 BDSG neu auf nationaler Ebene ersetzt.
Ein wesentlicher Unterschied zur alten Rechtslage ist, dass nicht mehr nur die verantwortlichen Stellen selbst ein Verarbeitungsverzeichnis führen müssen, sondern zusätzlich jetzt auch die Stellen, die im Auftrag der verantwortlichen Stellen Daten verarbeiten (Auftragsdatenverarbeiter).
Warum muss ein Verarbeitungsverzeichnis geführt werden?
Mit der EU-Datenschutzgrundverordnung wurden umfangreiche neue Dokumentations- und Rechenschaftspflichten für personenbezogene Daten verarbeitende Stellen eingeführt. Art. 30 DSGVO verpflichtet Unternehmen die personenbezogene Daten erheben, speichern oder verarbeiten, bzw. den für die Verarbeitung Verantwortlichen, sowie ihre Auftragsverarbeiter zur Führung eines Verarbeitungsverzeichnisses.
Der grundsätzliche Zweck des Verarbeitungsverzeichnisses ergibt sich bereits aus dem Erwägungsgrund (ErwGr.) 82 zu Art. 30 DSGVO. Das Verzeichnis von Verarbeitungstätigkeiten dient dem Verantwortlichen als Nachweis gegenüber den Aufsichtsbehörden, dass er die Vorgaben gemäß Art. 5 Abs. 2 DSGVO ordnungsgemäß eingehalten hat (Rechenschaftspflicht).
Das Verarbeitungsverzeichnis muss der Aufsichtsbehörde auf Anfrage zur Einsichtnahme zur Verfügung gestellt werden. Die frühere Meldepflicht nach § 4d BDSG a. F. und das Recht der Einsichtnahme durch jedermann gemäß § 4g Abs.2 Satz 2 a. F. sind entfallen.
Wer muss das Verarbeitungsverzeichnis führen?
Gemäß Art. 30 Abs. 5 DSGVO sind Unternehmer mit weniger als 250 Mitarbeitern von der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses befreit, wenn die Datenverarbeitung nur gelegentlich erfolgt. Das hat zur Folge, dass fast jede datenverarbeitende Stelle ein Verarbeitungsverzeichnis führen müsste, denn bereits wer ab und zu Kundendaten erhebt oder verarbeitet, handelt nicht mehr nur gelegentlich im Sinne der Verordnung. Die DSGVO definiert den Begriff gelegentlich aber leider nicht, so das bei jeder Auslegung ein Rest an Rechtsunsicherheit bleibt. Hier hilft nur eine Klarstellung durch die Datenschutzaufsichtsbehörden. Die Befreiung von der Führung eines Verarbeitungsverzeichnisses gilt auch nicht bei Verarbeitung besonders sensibler Daten, z. B. Gesundheitsdaten (vgl. Art. 9 Abs. 1 DSGVO) oder Daten über Straftaten (Art. 10 DSGVO) und ebenfalls nicht bei Verarbeitung von Daten, die zu einer Beeinträchtigung oder Verletzung der Rechte des Betroffenen führen können, z. B. Erstellung von Persönlichkeitsprofilen oder Scoring.
Was ist in das Verarbeitungsverzeichnis aufzunehmen?
Alle mit oder ohne Hilfe automatisierter Verfahren durchgeführte Verarbeitungstätigkeiten personenbezogener Daten. Dazu zählen insbesondere das Erheben, Speichern, Verarbeiten, Weiterleiten oder Löschen der Daten (vgl. Art. 4 Abs. 2 DSGVO).
Fundamentale Pflichtangaben im Verarbeitungsverzeichnis sind:
- Name und Anschrift des Daten verarbeitenden Unternehmens
- Vertretungsberechtigte Personen (z. B. Geschäftsführer, Vorstand etc.)
- Angaben zum Datenschutzbeauftragten (sofern vorhanden)
Des Weiteren sind für jede einzelne Verarbeitungstätigkeit zusätzlich folgende Angaben aufzunehmen:
- Bezeichnung der Verarbeitungstätigkeit (z. B. Zahlungsverkehr, Controlling, Finanzbuchhaltung etc.)
- Zwecke der Verarbeitung (z. B. Videoüberwachung, Arbeitszeiterfassung etc.
- Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit (z. B. Einwilligung, Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung, vgl. Art. 6 DSGVO
- Beschreibung der Kategorien betroffener Personen (z. B. Mitarbeiter, Kunden, Lieferanten etc.)
- Beschreibung der Datenkategorien (z. B. Adressdaten, Bonitätsdaten etc.
- Besondere Arten personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten, Daten zum Sexualleben, religiöse oder weltanschauliche Überzeugungen etc.)
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch werden (intern: z. B. Abteilungen) (extern: z. B. Kunden,Lieferanten, Steuerberater, Finanzämter, auch Server in einem Drittland / Cloudlösungen)
- Datenübermittlung in Drittländer (Nennung der konkreten Datenempfänger)
- wenn möglich die Löschungsfristen für die verschiedenen Datenkategorien (in der Regel gesetzliche Aufbewahrungs- und Löschfristen, aber auch selbst festgelegte Fristen)
- wenn möglich die Technischen und organisatorische Sicherheitsmaßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO (z. B. Passwortverfahren, Verschlüsselungverfahren, Backup-Mechanismen etc.)
Wie erstellt man ein Verarbeitungsverzeichnis?
Die DSGVO enthält keine besonderen Gestaltungsvorschriften für das Verarbeitungsverzeichnis. Es bleibt den Unternehmen selbst überlassen, wie sie das Verzeichnis gestalten. Entscheidend ist nur, dass alle Pflichtangaben enthalten sind. Gemäß Art. 30 Abs. 3 DSGVO ist das Verzeichnis entweder in Schriftform oder alternativ auch in elektronischer Form (Textform) zu führen. Das Verzeichnis ist ferner in deutscher Sprache zu verfassen. Der strukturelle Aufbau des Verarbeitungsverzeichnisses ist üblicherweise dreiteilig: Im ersten Teil stehen die Verantwortlichen für die Datenverarbeitung nebst ihren Kontaktdaten. Im zweiten Teil sind die einzelnen Verfahren der Datenverarbeitung nebst Beschreibung enthalten. Und im dritten Teil werden die Technischen und Organisatorischen Sicherheitsmaßnahmen (TOM) aufgeführt. Aus Gründen der Vereinfachung, empfiehlt es sich auch bestimmte Dokumentationen separat zu erstellen, z. B. Datenschutzkonzept, Löschkonzept, Virenschutzkonzept, Datensicherungskonzept etc. In diesem Fall genügt im Verarbeitungsverzeichnis ein Hinweis auf die jeweils vorhandene separate Dokumentation.
In der Regel werden für die Erstellung eines Verarbeitungsverzeichnissen detaillierte Kenntnisse über die einzelnen Verfahren benötigt. Der für die Pflege und fortlaufende Aktualisierung des Verzeichnisses verantwortlich zeichnende Datenschutzbeauftragte ist daher bei der erstmaligen Erstellung in der Regel auf die Hilfe der Fachbereiche angewiesen. Er führt dann üblicherweise in Zusammenarbeit mit dem jeweiligen Fachbereich die relevanten Informationen für das Verarbeitungsverzeichnis zusammen.
Folgende zwei Erstmaßnahmen sind daher unverzichtbar:
- Erstellung einer genauen Übersicht aller im Unternehmen eingesetzter automatisierter Verfahren in denen personenbezogene Daten verarbeitet oder gespeichert werden. Dazu zählen z. B. auch Zeiterfassungssysteme, E-Mail-Systeme, CRM-Systeme etc.
- Prüfung aller Verträge von Auftragsverarbeitern auf DSGVO-Konformität und Sicherstellung dass diese die vom Verantwortlichen übermittelten Daten mit entsprechenden technischen und organisatorischen Maßnahmen entsprechend der DSGVO verarbeiten
Doch neben dem rein formalen Zweck gemäß DSGVO kann das Verarbeitungsverzeichnis dem Datenschutzbeauftragten auch zur Erfüllung seiner Aufgaben nach Art. 39 DSGVO dienlich sein, insbesondere für die Prüfung ob und wann eine Datenschutzfolgenabschätzung (vgl. Art. 35 DSGVO) erforderlich ist. Des Weiteren kann das Verarbeitungsverzeichnis auch als Prüfungsgrundlage für die Erfüllung von Betroffenenrechten (vgl. Art. 12 Abs. 1 DSGVO) herangezogen werden.
Was passiert bei einem Verstoß gegen die Pflichten gemäß Art. 30 DSGVO?
Im Art. 83 Absatz 4a DSGVO ist auch die Nichteinhaltung der Verpflichtung zum Führen eines Verarbeitungsverzeichnisses mit einem Bußgeld belegt. Bei einem Verstoß können Bußgelder bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden; je nachdem, was höher ist.
Datenverarbeitende Unternehmen, deren Verarbeitungsverzeichnis noch lückenhaft oder nicht vorhanden ist, sollten schnell für Abhilfe sorgen, denn es drohen drastische Strafen.
Quellen