Wie sich ein Verzeichnis von Verarbeitungstätigkeiten nach der DS-GVO aufbaut und was bei der Erstellung zu beachten ist, erfahren Sie im zweiten Teil dieser Reihe.

Verzeichnis von Verarbeitungstätigkeiten vs. Verfahrensverzeichnis

Unternehmen, die bereits ein Verfahrensverzeichnis nach Maßgabe des § 4g i.V.m. § 4e BDSG erstellt haben und pflegen, wird der Übergang zum Verzeichnis von Verarbeitungstätigkeiten relativ leichtfallen. Anpassungen und Ergänzungen müssen dennoch vorgenommen werden um die gesetzlichen Anforderungen des Art. 30 DS-GVO zu erfüllen.

Für das Verzeichnis von Verarbeitungstätigkeiten sieht die DS-GVO, wie auch bereits das Verfahrensverzeichnis nach dem BDSG, keine Formvorschriften vor und kann daher von Unternehmen frei gestaltet werden. Das Verzeichnis kann elektronisch und in Unternehmenssprache geführt werden, vorausgesetzt es handelt sich dabei um eine der europäischen Sprachen. Im Gegensatz zum Verfahrensverzeichnis nach BDSG-Standard, sieht die Rechtslage der DS-GVO keine Trennung mehr zwischen einem öffentlichen (externen) und einem internen Verfahrensverzeichnis vor. Unternehmen sind daher nur zur Führung eines Verzeichnisses verpflichtet. Dieses ist auch nur auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen – ein öffentlicher Teil für „jedermann“ ist nicht mehr vorgesehen.

Hinsichtlich der neuen Rechenschaftspflichten der verantwortlichen Stelle nach Art. 5 Abs. 2 DS-GVO ist das Verzeichnis von Verarbeitungstätigkeiten zum zentralen Bestandteil der Dokumentationspflicht geworden. Für den Datenschutzbeauftragten bildet das Verzeichnis die Grundlage für seine Pflicht zur Risikoüberwachung der Datenverarbeitung gem. Art. 39 Abs. 2 DS-GVO. Aber auch eine ggf. vorzunehmende Datenschutz-Folgenabschätzung kann im Verzeichnis vorgemerkt werden.

Was ist bei der Erstellung zu beachten?

Um die Gefahr eines unübersichtlichen und unstrukturierten Verzeichnisses zu vermeiden, sollten Unternehmen bei der Erstellung darauf achten, dass dieses nicht mit zu vielen Informationen gefüllt wird. Es empfiehlt sich daher einen klaren Aufbau zu verwenden, der sich wie folgt in drei Abschnitte einteilen lässt.

Abschnitt 1 – Das Hauptblatt

Im ersten Teil des Verzeichnisses (dem sogenannten „Hauptblatt“) sind die Grundangaben zu dokumentieren. Als Grundangaben sind alle Informationen zur Erreichbarkeit der verantwortlichen Stelle (auch „Verantwortlicher“) gem. Art. 14 Abs. 1 lit. a DS-GVO zu verstehen.

1. Verantwortlicher (Name, Unternehmen, Ladungsfähige Anschrift, Kontaktdaten, Registernummer)

2. Gesetzlicher Vertreter (Angaben zur Geschäftsführung)

3. Vertreter in der EU (Name, Kontaktdaten)

4. Datenschutzbeauftragter (Name, Kontaktdaten)

Abschnitt 2 – Die einzelnen Verfahren

Im zweiten Teil des Verzeichnisses sind detaillierte Angaben zu den einzelnen Verfahren zu machen, sofern dabei personenbezogene Daten verarbeitet werden. Dieser Teil stellt den Kern eines jeden Verzeichnisses von Verarbeitungstätigkeiten dar und sollte daher sorgfältig erstellt und gepflegt werden.

1. Bezeichnung der Verarbeitungstätigkeit

Jedes Verfahren muss zuallererst in verständlicher Weise kurz beschrieben werden. Das kann beispielsweise die Beschreibung des betreffenden Geschäftsprozesses und die dabei beteiligten Organisationseinheiten im Unternehmen sein. Beispiel: Das Kundenverwaltungssystem (Customer-Relationship-Management) erhebt im Zuge des Anmeldeprozesses die personenbezogenen Daten der Nutzer durch das Anmeldeformular auf der Webseite.

2. Zweck der Verarbeitungstätigkeit

Die Zwecke der einzelnen Verarbeitungstätigkeiten müssen eindeutig und klar definiert werden. Andernfalls kann die Aufsichtsbehörde nicht die Zulässigkeit der Datenverarbeitung und die Angemessenheit der getroffenen Maßnahmen zur Datensicherheit beurteilen. Beispiele: Verträge abschließen, Kunden bewerten, Kundenbindung erhöhen, Personal verwalten, Bewerber erfassen, Kundenzufriedenheit steigern usw.

3. Rechtsgrundlage der Verarbeitungstätigkeit

Mit der Bestimmung des Zweckes der Datenverarbeitung wird es der verantwortlichen Stelle auch möglich sein, die rechtliche Grundlage der Datenverarbeitung zu definieren. Diese müssen auch für jedes einzelne Verfahren genau hinterlegt werden. Als Legitimationsgrundlage kommen insbesondere die Erlaubnistatbestände gem. Art. 6 DS-GVO in Betracht. Beispiele: Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DS-GVO, Einwilligung gem. Art. 6 Abs. 1 lit. a DS-GVO oder auch für die Erfüllung gesetzlicher Pflichten gem. Art. 6 Abs. 1 lit. c DS-GVO. 

4. Betroffene Personen der Verarbeitungstätigkeit

Die DS-GVO gibt in Art. 30 lit.c vor, dass im Verzeichnis von Verarbeitungstätigkeiten die Kategorien von natürlichen Personen, deren personenbezogene Daten im jeweiligen Verfahren verarbeitet werden, aufzuführen sind. Typische Kategorien von Personen sind beispielsweise: Nutzer der App oder der Webseite, Ansprechpartner bei Geschäftskunden oder eigene Mitarbeiter.

5. Daten oder Datenkategorien der Verarbeitungstätigkeit

Mit Daten oder Datenkategorien sind die Angaben oder Informationen gemeint, die im Zusammenhang mit der betroffenen Person verarbeitet werden. Beispiele für Daten und Datenkategorien sind: Adressdaten (etwa Straße, Hausnummer, PLZ und Wohnort), Geburtsdatum, Telefonnummer, Vertragsdaten, Bankdaten, Abrechnungs- und Leistungsdaten, Sozialversicherungsdaten usw.

6. Kategorien von Empfängern der Verarbeitungstätigkeit

Mit Empfänger sind die internen ( bspw. Abteilungen im Unternehmen) als auch externen (Behörden, Dienstleister) Stellen gemeint, denen die personenbezogenen Daten und Datenkategorien offen gelegt werden. Als interne Empfänger kommen beispielsweise Abteilungen (z.B. Controlling, IT) im Unternehmen selbst in Betracht. Externe Empfänger sind beispielsweise: Banken, Finanzämter, Sozialversicherungsträger oder eingebundene Dienstleister (z.B. Anbieter für digitale Lohnabrechnung, Steuerberater)

7. Datenübermittlung in Drittländer

Die Angaben zur Übermittlung von Daten in Drittländern gem. Art. 30 Abs. 1 lit. e DS-GVO nimmt im Verzeichnis von Verarbeitungstätigkeiten eine zentrale Rolle ein. Auch wenn kein Datentransfer in Drittländer ohne angemessenes Datenschutzniveau erfolgt, muss hierzu ebenso Stellung genommen werden. Es sind die Daten bzw. Datenkategorien sowie die Empfänger zu beschreiben. Eine Übermittlung i.S.d. Art. 30 Abs. 1 lit. e DS-GVO liegt zum Beispiel schon immer dann vor, wenn Daten der Betroffenen auf einen Server in einem Drittland (u.a. Russland, USA) gespeichert werden oder ein Callcenter für den Kundenservice in Indien betrieben wird. 

8. Vorgesehene Löschfristen

An dieser Stelle sollte der Verantwortliche die Löschfristen für die personenbezogenen Daten dieser Verarbeitungstätigkeit beschreiben. Gem. Art. 30 Abs. 1 lit. f DS-GVO ist eine plausible Auflistung von Löschfristen ausreichend, sofern sichergestellt werden kann, dass die in Art. 17 DS-GVO genannte Löschpflicht eingehalten wird. Personenbezogene Daten sind insbesondere nach Wegfall der Legitimationsgrundlage oder nach Widerspruch des Betroffenen zu löschen – aber auch nur dann, wenn keine gesetzlichen Aufbewahrungspflichten der Löschung entgegenstehen. Beispiel: Löschung erfolgt mit Kündigung, Löschung erfolgt nach Widerruf, Löschung erfolgt nach 6 bzw. 10 Jahren (§ 257 HGB)

Abschnitt 3 – Die technischen und organisatorischen Maßnahmen  

Die DS-GVO verlangt in Art. 30 Abs. 1 lit. g, dass im Verzeichnis von Verarbeitungstätigkeiten Angaben über die getroffenen organisatorischen und technischen Maßnahmen zur Datensicherheit gem. Art. 32 DS-GVO gemacht werden. Da dieses Verzeichnis zur Weitergabe an die Aufsichtsbehörde bestimmt ist, muss bei der Auflistung der Maßnahmen darauf geachtet werden, dass dieses keine allzu detaillierten schutzbedürftigen und internen Informationen zum IT-Sicherheitskonzept offenlegt. Zudem ist es wichtig, dass dieser Abschnitt klar aufzeigt, dass durch die technischen und organisatorischen Maßnahmen, die in Art. 30 Abs. 1 DS-GVO genannten Anforderungen (Datenintegrität, Verfügbarkeit, Vertraulichkeit, ggf. Pseudonymisierung oder Verschlüsselung) erreicht werden können. Folgende Maßnahmen tragen u.a. zur Datensicherheit im Unternehmen bei:

Technische Maßnahmen:

1. Zutrittskontrolle  (Sicherheitsschlösser, Videoüberwachung, Objektsicherung, abschließbare Schränke)

2. Zugangskontrolle (Firewalls, Anti-Virenprogramme, Berechtigungsmatrix, Benutzererkennungen, Passwörter)

3. Eingabekontrolle (Protokollierung von Zugriffen auf EDV-Systeme)

4. Weitergabekontrolle (Verschlüsselung, Pseudonymisierung, ausgewählte Empfänger)

5. Verfügbarkeitskontrolle (Backup-System, Notfallkonzepte, Feuerlöscher, Cloud-Lösungen,)

6. Trennungskontrolle (Trennung von Datenbanken, Berechtigungskonzepte)

Für tiefer gehende technische Maßnahmen zur IT-Sicherheit oder für die Einführung eines IT-Sicherheitssystems im Unternehmen können die Grundschutzkataloge des Bundesamt für Sicherheit in der Informationstechnik (BSI) herangezogen werden.

Organisatorische Maßnahmen:

1. Mitarbeiterschulungen zum Datenschutz  (regelmäßige Sensibilisierung der Mitarbeiter zur Datensicherheit von personenbezogenen Daten)

2. Arbeitsanweisungen  (Regeln zum Datenschutz in der Praxis, Passwortrichtlinien)

3. Verpflichtungserklärungen (Mitarbeiter auf das Datengeheimnis verpflichten)

4. Einwilligungserklärungen (Einwilligungserklärungen von Mitarbeitern unterschreiben lassen und dokumentieren)

5. Betroffenenmanagement (Richtlinie für den Umgang mit Betroffenenanfragen erstellen, Email für den Datenschutz einrichten)

6. Auftragskontrolle (ADV-Verträge schließen, Datenschutz-Zertifizierungen der Auftragsdatenverarbeiter dokumentieren)

Neben der Auflistung von konkreten Maßnahmen zur Datensicherheit ist an dieser Stelle des Verzeichnisses auch über das Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit dieser Maßnahmen Auskunft zu erteilen. Hierzu zählen insbesondere: externe Audits oder Revisionen durch IT-Sicherheitsfirmen, regelmäßige Stellungnahme des Datenschutzbeauftragten, Erstellung eines IT-Sicherheitskonzeptes oder Zertifizierungen durch anerkannte Stellen)

Fazit

Mit Blick auf die erforderlichen Angaben und vorzunehmenden Maßnahmen zur Datensicherheit scheint das Verzeichnis von Verarbeitungstätigkeiten ein aufwendig zu erstellendes Dokument zu sein. Unternehmen sollten sich aber davon nicht abschrecken lassen, denn ein gut geführtes und den gesetzlichen Anforderungen entsprechendes Verzeichnis kann die erweiterten Rechenschafts- und Dokumentationspflichten der DS-GVO erfüllen. Unternehmen die bereits über ein gut strukturiertes Datenschutzmanagement verfügen oder sogar schon ein Verfahrensverzeichnis nach BDSG-Standard erstellt haben, wird die Umstellung zum Verzeichnis von Verarbeitungstätigkeiten relativ leicht fallen. Es ist in jedem Fall unerlässlich ein solches Verzeichnis zu führen, wenn hierzu die gesetzliche Pflicht besteht. Andernfalls riskieren Unternehmen hohe Bußgelder von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes, je nach dem, welcher von den Beträgen höher ist.

Sollten Sie hierzu Fragen haben oder Unterstützung bei der Erstellung Ihres Verzeichnisses von Verarbeitungstätigkeiten benötigen, können Sie uns gerne kontaktieren.

030 / 23 57 14 70