Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Ver­zeich­nis der Verarbeitungstätigkeiten

Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten: Kön­nen Sie die­se 6 Fra­gen posi­tiv beantworten?

Ver­zeich­nis der Verarbeitungs­tätigkeiten: Der Überblick

Ein­lei­tung

Als Unter­neh­men müs­sen Sie zahl­rei­che Geset­ze befol­gen und Auf­la­gen umset­zen – das ist auch im Daten­schutz nicht anders. Ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten ist die Basis für nahe­zu alle ande­ren gesetz­li­chen Vor­ga­ben der DSGVO.

Das Geheim­nis der Umset­zung: Wer soll die Doku­men­te wie und wann erstel­len? Wem trau­en Sie die­se Auf­ga­be zu? Einer Per­son oder jedem Fach­be­reich selbst? Macht das viel­leicht die IT-Abtei­lung? die kennt sich doch sowie­so mit Daten aus. Aber die IT-Abtei­lung soll den ope­ra­ti­ven Betrieb sicher­stel­len. Die ande­ren Kol­le­gin­nen und Kol­le­gen müss­ten sich erst ein­ar­bei­ten

Was ist das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten eigent­lich genau, wie detail­liert und womit muss das doku­men­tiert wer­den? Auf die­ser Sei­te fin­den Sie Ant­wor­ten auf (fast) alle Fragen.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten: Das Fundament

Wenn das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten nicht oder nicht voll­stän­dig doku­men­tiert wird: Wie kön­nen Sie die dar­auf auf­bau­en­den Pflich­ten, wie zum Bei­spiel das Recht der betrof­fe­nen Per­so­nen auf Aus­kunft oder die Informations­pflichten Ihres Unter­neh­mens erfül­len? Wenn das Ver­zeich­nis wie­der­um zu detail­liert ist: Wer­den jetzt unnö­ti­ge Auf­wän­de erzeugt für die Erstel­lung und die lau­fen­de Pflege?

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn die Daten­ver­ar­bei­tung durch eine Auf­sichts­be­hör­de Ihre Geschäfts­pro­zes­se unter­sagt oder Geld­bu­ßen auf­er­legt werden?

Die Höhe vari­iert von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (2 % vom Vorjahres­umsatz oder 10.000.000 Euro, je nach­dem was höher ist). Aber so weit wird es hof­fent­lich nicht kommen.

Das Ver­zeich­nis der Verarbeitungs­tätigkeiten: Wofür soll das gut sein?

Der Gesetz­ge­ber hat vor­ge­se­hen, dass das jewei­li­ge Unter­neh­men das Ver­zeich­nis der Verarbeitungs­tätigkeiten zunächst für sich selbst erstel­len muss. Die Geschäfts­prozesse sind aus Daten­schutz­sicht zu beschrei­ben. Eine inten­si­ve Auseinander­setzung aus einer Datenschutz­sicht ist erfor­der­lich, um die nächs­ten Pflich­ten zu erfüllen.

Meist fal­len dann schon bei der Ist-Auf­nah­me Abläu­fe auf, die in der Ver­gan­gen­heit nicht kor­rekt gemacht wur­den. Man­che Unter­neh­men haben ihre Daten­flüs­se oder alle Emp­fän­ger selbst nicht dokumentiert.

Den­ken Sie an die Folgeaufgaben!

Die Umset­zung eines zum Bei­spiel Lösch­kon­zep­tes oder ein Aus­kunfts­be­geh­ren könn­ten so nicht fach­ge­recht umge­setzt werden.

Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­leitung: Machen wir im Bereich Ver­zeich­nis der Verarbeit­ungs­tätigkeiten alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Daten­schutz­beauftragten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­weise vorlegen. 
compliance-im-datenschutz

Sie ken­nen das The­ma bereits und wol­len mehr Details wis­sen? Hier erhal­ten Sie mehr Detail­wis­sen für die Erstellung.

Sie wol­len in 4 Schrit­ten ein Ver­zeich­nis der Verarbeitungs­­tätigkeiten erstel­len? Fin­den Sie hier wei­te­re Informationen.

Sie wün­schen eine direk­te Kon­takt­auf­nah­me und haben ein paar Fra­gen, die ggf. zeit­nah beant­wor­tet wer­den können?

In 4 Schrit­ten zum Verfahrensverzeichnis

Nach­fol­gend zei­ge ich Ihnen die 4 Schrit­te, wie Sie Ihr Ver­zeich­nis der Verarbeitungs­tätigkeiten erstel­len, aktu­ell hal­ten und der Auf­sichts­be­hör­de zukom­men lassen. 

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord – schnel­ler geht es nicht.

Zunächst holen Sie sich einen Spe­zia­lis­ten, der seit vie­len Jah­ren nichts ande­res macht. Mit einem gerin­gen Zeit­auf­wand bei Ihren inter­nen Fach­be­rei­chen wer­den die erfor­der­li­chen Infor­ma­tio­nen abge­fragt, um das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten im Ent­wurf zu erstellen. 

Beach­ten Sie das Risi­ko für die betrof­fe­nen Personen!

Die Anzahl der zu erstel­len­den Doku­men­te sind abhän­gig von der Kom­ple­xi­tät der Ver­ar­bei­tung und dem Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen. Das Wis­sen für die Erstel­lung einer fach­ge­recht erstell­ten Doku­men­ta­ti­on soll­ten Sie nicht durch inter­ne Beschäf­tig­te ohne Unter­stüt­zung auf­bau­en. Die­se Erfah­rung ist neben­be­ruf­lich nur schwer zu erlangen.

Schritt 2. Fest­le­gung des For­ma­tes des Ver­zeich­nis­ses der Verarbeitungstätigkeiten

Dann legen Sie fest, in wel­cher Form die Doku­men­te in Ihrem Unter­neh­men abge­legt wer­den sol­len. Auch Vor­la­gen kann man nut­zen; Anpas­sun­gen sind jedoch immer not­wen­dig. Die Erstel­lung des Grund­ge­rüsts ist der Schlüs­sel für Über­sicht und gerin­gen Aufwand.

Sie haben ein inter­nes Dokument­ations­system, zum Bei­spiel ein Wiki­pe­dia, ein Dokumenten­management­system, Goog­le Dri­ve, eine Next­Cloud, ein Qualitäts­management­system, Micro­soft Teams / Share­Point oder den klas­si­schen Akten­ord­ner. Oder Sie bevor­zu­gen doch lie­ber Word- oder Excel-Dokumente?

Oder sie möch­ten doch lie­ber ein exter­nes Daten­schutz­­management­system nut­zen, um das Ver­zeich­nis der Verarbeitungs­­tätigkeiten zu doku­men­tie­ren. Das hat diver­se Vor­tei­le. Über­le­gen Sie aber gut, ob Sie sich in eine Abhän­gig­keit bege­ben wollen. 

Ich bie­te eben­falls eine Platt­form an, um Unter­neh­men zu unter­stüt­zen. Die meis­ten Man­dan­ten bevor­zu­gen jedoch eige­ne IT-Sys­te­me im Haus, weil die Benut­zung bei den Beschäf­tig­ten bereits bekannt ist.

Schritt 3: Pas­sen Sie das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten an Ihre Orga­ni­sa­ti­on an.

Jetzt wer­den wei­te­re Infor­ma­tio­nen zum Unter­neh­men genutzt, wie zum Bei­spiel das Orga­ni­gramm oder eine Über­sicht über die Fach­be­rei­che und Ansprech­partner. Dann erfol­gen kur­ze Inter­views mit den Per­so­nen, die Ihre Geschäft­sprozesse am bes­ten kennen.

Bei ein­fa­chen Pro­zes­sen dau­ert das ca. 20 Minu­ten, bei kom­ple­xen kann es län­ger dau­ern. Ich ent­wer­fe eine Über­sicht aller Geschäfts­pro­zes­se sowie die Detail­do­ku­men­te in Ihrem gewünsch­ten For­mat und ggf. direkt in Ihrem IT-System.

Das VVT folgt dabei den Fach­bereichen bzw. Geschäfts­prozessen im Unter­neh­men. Erstel­len Sie kei­ne Ver­zeich­nis­se für Verarbeitungs­tätigkeiten für IT-Sys­te­me, ins­be­son­de­re nicht, wenn die­se für meh­re­re Geschäfts­prozesse ein­ge­setzt werden. 
Der Fokus bleibt auf dem Geschäfts­pro­zess. Kom­ple­xe und lan­ge Ver­ar­bei­tungs­ket­ten sind ggf. ent­spre­chend ihrem Umfang und der Zwe­cke auf­zu­tei­len – die Kunst der guten Balan­ce zwi­schen Trans­parenz und Detail­grad ist umso wich­ti­ger, je umfang­reicher der Geschäfts­prozess ist. 

Der Fach­be­reich erteilt dann die Frei­ga­be für den Ent­wurf des Detail­do­ku­men­tes. Rest­ak­ti­vi­tä­ten, wie zum Bei­spiel Anga­ben zu der Spei­cher­dau­er, wer­den ggf. nach­ge­la­gert erstellt.

Schritt 4: regel­mä­ßi­ge Aktua­li­sie­rung vom Verfahrensverzeichnis

Sie müs­sen jetzt noch einen Pro­zess ein­rich­ten, um nach­wei­sen zu kön­nen, dass das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten auch aktu­ell bleibt? Ergän­zen Sie in der Über­sicht der Ver­ar­bei­tungs­tä­tig­kei­ten ein Datum für die Wie­der­vor­la­ge.

Doku­men­tie­ren Sie die Änderungshäufigkeit!

Eine erneu­te Sich­tung des Verzeich­nisses in einem Jahr oder bei grund­legenden Ände­run­gen sind der nächs­te Schritt, bei der die Ver­si­on ange­passt oder noch ver­fei­nert wird. Idealer­weise doku­men­tie­ren Sie sämt­li­che Anwei­sun­gen in einem Daten­­­schutz-Han­d­­buch oder in einer Daten­schutz­richt­li­nie.

Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten – Wie geht es weiter?

Set­zen Sie mit die­sen Infor­ma­tio­nen nun wei­te­re Anfor­de­run­gen um, wie zum Bei­spiel die Infor­ma­ti­ons­pflich­ten, die Prü­fung der Auf­trags­ver­ar­bei­ter, die Betrof­fe­nen­rech­te, die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs) oder das Lösch­kon­zept.

Je umfang­rei­cher die Geschäfts­prozesse sind, des­to wich­ti­ger wird es, die Risiko­bewertung der Verarbeit­ungen aus Sicht der Betrof­fe­nen zu erstel­len. Dies ist immer eine erfor­der­li­che Notwendig­keit. Aber nur, wenn Sie dar­le­gen, wie das Risi­ko für Betrof­fe­ne bewer­tet wur­de, kön­nen Sie sich auf die wirk­lich erforder­lichen Punk­te fokussieren.

Set­zen SIe jetzt mit dem Wis­sen wei­te­re Schrit­te um.

Gehen Sie das The­ma nun an. So kön­nen Sie auch begrün­den, war­um die Wie­der­vor­la­ge bei eini­gen The­men nur alle zwei Jah­re durch­ge­führt wer­den muss, wie zum Bei­spiel die regel­mä­ßi­ge Prü­fung Ihrer Auf­trags­ver­ar­bei­ter.

Weitere Vorgehensweise beim Datenschutz
Sie benö­ti­gen Unter­stüt­zung beim Ver­zeich­nis der Verarbeitungs­tätigkeiten? Mel­den Sie sich gerne. 

Wei­te­re Details zum Verfahrensverzeichnis

Der Begriff der Verarbeitungstätigkeit

Eine Verarbeitungs­tätigkeit ist aus Sicht des Daten­schutzes ein Geschäfts­prozess, in dem personen­bezogene Daten von natür­li­chen Per­so­nen ver­ar­bei­tet wer­den. Als Bei­spiel kann dies ein Bewerbungs­management sein. 
Der Begriff der Ver­ar­bei­tung in der DSGVO ist sehr umfang­reich und erstreckt sich von der Quel­le (personen­bezogene Daten wer­den erho­ben) über jeg­li­che Nut­zung der Daten bis hin zur Löschung. Der Begriff umfasst also den gesam­ten Lebens­zyklus der Daten.

Für den Daten­schutz sind nur Verarbeitungs­­tätigkeiten inter­es­sant, in denen personen­bezogene Daten ver­ar­bei­tet wer­den. Das ist in den Geschäfts­prozessen der Unter­nehmen fast immer der Fall. Im Bewerber­management wer­den aber nicht nur personen­­bezogene Daten der Bewer­ber selbst, son­dern auch Daten der eige­nen Beschäf­tig­ten im Rah­men des Bewerbungs­prozesses verarbeitet.

Die­se Infor­ma­tio­nen wer­den im Ver­zeich­nis der Verarbeitungs­­tätigkeiten doku­men­tiert. Ist das Unter­neh­men selbst als Auftrags­verarbeiter aktiv, ist pro Dienst­leis­tung eben­falls ein Ver­zeich­nis der Verarbeitungs­tätigkeiten für Auf­trags­ver­ar­bei­ter zu erstellen.

PFLICHT ZUR DOKU­MEN­TA­TI­ON FÜR JEDES UNTERNEHMEN

Es gibt nur ein paar gerin­ge Aus­nah­men, die aber in den meis­ten Fäl­len nicht zutref­fen. Hat ein Unter­neh­men weni­ger als 250 Beschäf­tig­te, dann könn­te eine Pflicht zum Ver­zeich­nis der Verarbeitungs­­tätigkeiten bestehen, wenn die Ver­ar­bei­tung kei­ne Risi­ken für Betrof­fe­ne dar­stel­len und die Ver­ar­bei­tung nicht regel­mä­ßig besteht. Bei beson­ders sen­si­blen Daten, wie zum Bei­spiel Gesundheits­­daten, ent­fällt die Freistellung.

Sor­gen Sie für ein soli­des Fundament!

details-verzeichnis-der-verarbeitungstaetigkeiten

Spra­che und Inhal­te des Ver­zeich­nis­ses der Verarbeitungstätigkeiten

Für jedes Unter­neh­men ist das Ver­zeich­nis (frü­her auch Verfahrens­verzeichnis) das Fun­da­ment der Daten­schutz-Doku­men­ta­ti­on. Damit kann der Ver­ant­wort­li­che nach­wei­sen, dass er sich um die Umset­zung der gesetz­li­chen Pflich­ten geküm­mert hat. Eine Form­vor­ga­be, wie die Erstel­lung zu erfol­gen hat, besteht jedoch nicht. Die Pflicht­in­hal­te wur­den jedoch festgelegt.

Als Ver­ant­wort­li­cher für die Datenverarbeitung

Als Auf­trags­ver­ar­bei­ter der Datenverarbeitung

Gera­de IT-Dienst­leis­ter müs­sen regel­mä­ßig ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten gem. Art. 30 Abs. 2 DSGVO erstel­len. Sie benö­ti­gen kurz­fris­tig Unter­stüt­zung zu dem Thema?

Ver­fah­rens­ver­zeich­nis: Ergän­zen­de Informationen

Wenn Sie schon dabei sind, soll­te das Ver­fah­rens­ver­zeich­nis um wei­te­re Anga­ben ange­rei­chert wer­den. Sie gehö­ren eng zu der Ver­ar­bei­tungs­tä­tig­kei­ten und wer­den spä­ter benö­tigt bzw. fal­len bei der Erstel­lung an.

Ver­mei­den Sie aber eine Doppeldokumentation!

Fin­den Sie anbei ein paar Ergän­zun­gen als Anre­gun­gen, die eben­falls häu­fig im Ver­fah­rens­ver­zeich­nis auf­ge­nom­men wer­den — aus gutem Grund.

Ich habe Ver­zeich­nis­se von Verarbeitungs­­tätigkeiten gese­hen, die im Fließ­text beschrie­ben wor­den sind. Der Text kann dann in den Informations­pflichten den betrof­fe­nen Per­so­nen nahe­zu 1:1 zur Ver­fü­gung gestellt wer­den. Ich fin­de die Über­sicht­lich­keit nicht opti­mal, damit kann aber sicher­lich zusätz­li­cher Auf­wand ein­ge­spart werden.

Emp­fän­ger des Ver­zeich­nis­ses der Verarbeitungstätigkeiten

Mir fal­len spon­tan 4 Emp­fän­ger­krei­se für das Ver­zeich­nis der Verarbeitungs­tätigkeiten ein:

Wenn Auf­sichts­be­hör­den Hin­wei­se auf ein Fehl­ver­hal­ten bekom­men, ist ihre Auf­ga­be, dem Hin­weis nach­zu­ge­hen. Die­se Auf­ga­be wird meist wahr­ge­nom­men. Ein Anschrei­ben an das Unter­neh­men ist schnell erstellt. Dann erhält das Unter­neh­men eine Auf­for­de­rung zur Stel­lung­nah­me eines Sach­ver­hal­tes. Dies ist übli­cher­wei­se mit der Anfor­de­rung ver­bun­den, das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten und ggf. noch wei­te­re Infor­ma­tio­nen zur Ver­fü­gung zu stel­len. Dafür hat das Unter­neh­men in der Regel 1- bis 2 Wochen Zeit.

Auch Gerich­te kön­nen das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten bei einem Gerichts­ver­fah­ren anfordern.

Für den Daten­schutz­be­auf­trag­ten ist das VVT eine Basis sei­ner Prüftätigkeiten.

Sofern Sie ein Auf­trags­ver­ar­bei­ter sind, kön­nen die Ver­ant­wort­li­chen Unter­la­gen anfor­dern und zur Eig­nungs­prü­fung verwenden.

Was muss bei einem Anschrei­ben einer Auf­sichts­be­hör­de beach­tet werden?

In Abhän­gig­keit vom Sach­ver­halt kann dies zu hek­ti­scher Betrieb­sam­keit und Auf­wän­den füh­ren. In einer Urlaubs­pha­se oder Hoch­sai­son ist eine zeit­na­he Erstel­lung ohne Fach­kennt­nis­se nicht immer möglich. 

Mein Tipp: Buchen Sie eine fach­kun­di­ge exter­ne Daten­schutz­be­ra­tung mit aus­rei­chen­den Kapazitäten.

Das Anschrei­ben der Behör­de zu miss­ach­ten, ist kei­ne gute Idee. Ggf. steht dann eine Betriebs­prü­fung vor Ort an, in dem Sie alle Infor­ma­tio­nen zum Sach­ver­halt auf den Tisch legen müs­sen. Even­tu­ell kann noch Akten­ein­sicht oder Auf­schie­bung wegen einer Urlaubs­si­tua­ti­on for­dern, aber auch das soll­te gut über­legt sein — die Auf­sichts­be­hör­de schaut nun mög­li­cher­wei­se genau­er hin. 

Spä­tes­tens wenn die Auf­sichts­be­hör­de ein Buß­geld­ver­fah­ren ein­lei­tet, kann ich Ihnen fol­gen­des Buch emp­feh­len: Härting/Konrad DSGVO im Pra­xis­test. Das Buch hat mir und mei­nen Man­dan­ten schon sehr viel weitergeholfen.

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn die Daten­ver­ar­bei­tung durch eine Auf­sichts­be­hör­de Ihre Geschäfts­pro­zes­se unter­sagt oder Geld­bu­ßen auf­er­legt werden? 

Die Höhe vari­iert von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (2 % vom Vor­jah­res­um­satz oder 10.000.000 Euro, je nach­dem was höher ist). Aber so weit wird es hof­fent­lich nicht kommen.

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, ler­nen und anpas­sen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse. 

Auch beim Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten gibt es einen ste­ti­gen Ver­bes­se­rungs­pro­zess durch regel­mäßige Aktua­li­sie­run­gen und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäftsprozessen.

Blei­ben SIe aktuell!

Erstel­len auch Sie einen Regel­kreis, damit das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten kor­rekt erstellt wird, den rich­ti­gen Detail­grad hat, vom Fach­be­reich frei­ge­ge­ben und aktu­ell gehal­ten wird.

Sie benö­ti­gen Unter­stüt­zung bei dem „Fun­da­ment des Datenschutzes“ ?

Plan

Fest­le­gung von Art, Umfang und Form der Ver­fah­ren­be­schrei­bung pro Fachbereich

Do

Fest­le­gung Ansprech­part­ner, Inter­view, Ent­wurf und Freigabe

Act

Aktua­li­sie­rung und Anpas­sung des Ver­zeich­nis der Verarbeitungstätigkeiten

Check

Prü­fung der Aktua­li­tät und Rich­tig­keit des Ver­zeich­nis­ses der Verarbeitungstätigkeiten

Leis­tun­gen

Bei den meis­ten Geschäfts­pro­zes­sen wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Fin­den Sie hier mei­ne Dienst­leis­tun­gen, die ich Unter­neh­men auch in Buch­holz in der Nord­hei­de seit vie­len Jah­ren zur Ver­fü­gung stelle. 

Cle­ver sein – das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten effi­zi­ent und pra­xis­nah gestalten

Ich unter­stüt­ze Sie bei der Erstel­lung Ihrer Doku­men­ta­ti­on. Nut­zen Sie mei­ne mehr­jäh­ri­ge Exper­ti­se, um zügig ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu erstellen.

Buchen Sie ein ent­spre­chen­des Modul oder mei­ne punk­tu­el­le Unter­stüt­zung. Ich bie­te Ihnen die Doku­men­ta­ti­on in Ihrem Ziel­sys­tem. Nach mei­ner Erfah­rung ist die Inter­view­tech­nik die effi­zi­en­tes­te Metho­de, um zügig zu der ers­ten Ver­si­on zu kom­men.  Die Bera­tung kann bei Ihnen vor Ort oder per Video­kon­fe­renz erfol­gen. 

Als Daten­schutz­be­auf­trag­ter ist die Unter­stüt­zung bei der Erstel­lung des Ver­fah­rens­ver­zeich­nis­ses fes­ter Bestandteil.

10 Fra­gen zum Ver­zeich­nis der Verarbeitungstätigkeiten

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, hat die gesetz­li­che Pflicht, ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu erstel­len. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Eine kon­kre­te Begriffs­de­fi­ni­ti­on „Ver­ar­bei­tungs­tä­tig­keit“ gibt es im Geset­zes­text nicht. Ledig­lich der Begriff der Ver­ar­bei­tung wird näher beschrieben.

Der Lan­des­be­auf­trag­te aus Baden-Würt­tem­berg (LfDI BaWü) schrieb in ihrem Tätig­keits­be­richt 2018 dazu: „Als Ver­ar­bei­tungs­tä­tig­keit wird im All­ge­mei­nen ein spe­zi­el­ler, eigen­stän­di­ger Geschäfts­pro­zess verstanden. 

Es ist ein stren­ger Maß­stab anzu­le­gen, sodass jeder neue Zweck der Ver­ar­bei­tung eine eige­ne Ver­ar­bei­tungs­tä­tig­keit dar­stellt. Was kon­kret eine Ver­ar­bei­tungs­tä­tig­keit ist, hängt vom jewei­li­gen Unter­neh­men ab. In einem klei­nen Unter­neh­men mit weni­gen Mit­ar­bei­tern kann zum Bei­spiel die gesam­te Per­so­nal­ver­wal­tung (inklu­si­ve Bewer­bungs­ver­fah­ren und Lohn­ab­rech­nung) als eine ein­zi­ge Ver­ar­bei­tungs­tä­tig­keit gese­hen wer­den. Bei einem mitt­le­ren Unter­neh­men soll­te eine stär­ke­re Unter­glie­de­rung statt­fin­den, zum Bei­spiel in Per­so­nal­ge­win­nung, Per­so­nal­ein­stel­lung, Ver­wal­tung des aktu­el­len Per­so­nals, Been­di­gung der Arbeits­ver­hält­nis­se und ähn­li­che Ver­ar­bei­tungs­tä­tig­kei­ten. In einem gro­ßen Unter­neh­men kön­nen allein in der Per­so­nal­ab­tei­lung dut­zen­de Ver­ar­bei­tungs­tä­tig­kei­ten vor­lie­gen, wenn zum Bei­spiel unter­schied­li­che Bewer­bungs­ver­fah­ren für Aus­hil­fen, Werk­stu­die­ren­de, Aus­zu­bil­den­de, mitt­le­re Ange­stell­te, Füh­rungs­kräf­te und Top-Mana­ger bestehen.

Als Ver­ar­bei­tungs­tä­tig­keit wird im All­ge­mei­nen ein spe­zi­el­ler, eigen­stän­di­ger Geschäfts­pro­zess ver­stan­den. Auch der Detail­grad, wie das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten beschrie­ben wer­den muss, wird nicht näher definiert.

Grund­sätz­lich kann man sagen: Je höher das Risi­ko der Ver­ar­bei­tung ist, des­to sorg­fäl­ti­ger und inten­si­ver ist das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu erstellen.

Typi­sche Ver­ar­bei­tungs­tä­tig­kei­ten sind zum Bei­spiel Per­so­nal­ma­nage­ment, Arbeits­zeit­er­fas­sung, E‑Mail-News­let­ter, Web­site, Video­über­wa­chung, Nut­zung spe­zi­el­ler Soft­ware oder Gerä­te, mit denen Mit­ar­bei­ter­da­ten erfasst, gespei­chert oder aus­ge­wer­tet wer­den (zum Bei­spiel Zeit­er­fas­sungs­sys­tem, digi­ta­le Per­so­nal­ak­ten, elek­tro­ni­sche Zugangs­kar­ten­sys­tem, betrieb­li­ches Ein­glie­de­rungs­ma­nage­ment, GPS-Ortung, Video­über­wa­chung, Rei­se­kos­ten­ab­rech­nung, Video­kon­fe­renz­sys­te­me, tele­fo­ni­sche Kom­mu­ni­ka­ti­on, WLAN oder Auftragsmanagement).

Auf dem Markt gibt es vie­le ver­schie­de­ne Anbie­ter von Vor­la­gen und Soft­ware­pro­duk­ten. In den meis­ten Fäl­len rei­chen aber ein­fa­che Excel-Tabel­len oder Word­do­ku­men­te aus. Anre­gun­gen sind sicher­lich sinn­voll, aber die Vor­la­gen sind aus mei­ner Sicht nicht erfor­der­lich und schnell selbst erstellt.
Ich unter­stüt­ze Sie bei allen Ver­ar­bei­tungs­tä­tig­kei­ten – nut­zen Sie mein Daten­schutz­por­tal zur Unter­stüt­zung und wenn Sie Fra­gen haben, lei­te ich Sie zum rich­ti­gen Ergeb­nis.
Eine Ver­ar­bei­tungs­tä­tig­keit ist ein Vor­gang, bei dem per­so­nen­be­zo­ge­ne Daten für einen oder meh­re­re Zwe­cke ver­ar­bei­tet wer­den. Unter einer Ver­ar­bei­tung ver­steht man jeden mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren durch­ge­führ­ten Vor­gang im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten.

  1. Sie doku­men­tie­ren Ver­ar­bei­tungs­tä­tig­kei­ten, die nicht doku­men­tiert wer­den müs­sen: Kon­zen­trie­ren sich auf Ver­ar­bei­tun­gen mit per­so­nen­be­zo­ge­nen Daten, also zum Bei­spiel kei­ne Bilan­zen oder rein sta­tis­ti­sche bzw. anony­me Daten.
  2. Sie doku­men­tie­ren zu ober­fläch­lich. Ein Außen­ste­hen­der kann dann kei­ne Prü­fung durch­füh­ren: Blei­ben Sie konkret.
  3. Sie doku­men­tie­ren zu detail­liert: Ver­zet­teln Sie sich nicht und hal­ten Sie den Auf­wand angemessen.
  4. Sie ori­en­tie­ren sich nicht am Unter­neh­men selbst und ver­wen­den unter­neh­mens­frem­de Begriff­lich­kei­ten aus Vor­la­gen. Ihre Fach­ab­tei­lun­gen und ggf. damit betrau­te Beschäf­tig­te fin­den sich nicht zurecht: Ver­wen­den Sie Ihre Begrifflichkeiten.
  5. Sie doku­men­tie­ren IT-Sys­te­me, statt die eigent­li­chen Ver­ar­bei­tungs­tä­tig­kei­ten: Kon­zen­trie­ren Sie sich auf Ihre Geschäfts­pro­zes­se. Also anstatt Micro­soft Teams doku­men­tie­ren Sie die Ver­ar­bei­tung „Video­kon­fe­ren­zen“, „Doku­men­ten­ab­la­ge“, „Auf­ga­ben­pla­nung“, „Tele­fo­nie / Tele­fon­kon­fe­ren­zen“, „Schu­lun­gen“ oder „Zusam­men­ar­beit und Kom­mu­ni­ka­ti­on“, je nach­dem wofür Sie das IT-Sys­tem ein­set­zen. Ggf. gibt es auch ande­re IT-Sys­te­me, die für die oben genann­ten Ver­ar­bei­tun­gen ver­wen­det werden.

Zeit­punkt der Erstel­lung
Das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten oder auch Ver­fah­rens­ver­zeich­nis ist dann erfor­der­lich, wenn per­so­nen­be­zo­ge­ne Daten von natür­lich leben­den Per­so­nen von EU-Bür­gern ver­ar­bei­tet werden.

Aus­nah­men gibt es zwar für Unter­neh­men bis weni­ger als 250 Beschäf­tig­ten, aber nur wenn die per­so­nen­be­zo­ge­nen Daten nicht sen­si­bel und die Daten­ver­ar­bei­tung nicht regel­mä­ßig durch­ge­führt wird. Füh­ren Sie einen neu­en Geschäfts­pro­zess – ver­ges­sen Sie nicht, par­al­lel gleich das VVT zu erstellen.

Emp­fän­ger­grup­pen für das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten
Grund­sätz­lich wird das VVT für das Unter­neh­men selbst erstellt. Mit der Erstel­lung zeigt der Ver­ant­wort­li­che, dass er sich mit der Erfül­lung der gesetz­li­chen Vor­ga­ben aus­ein­an­der­ge­setzt hat. Dies kann bei Ver­feh­lun­gen buß­geld­min­dernd ange­rech­net wer­den. Auch für Beschäf­tig­te, die sich in neue Pro­zes­se ein­ar­bei­ten müs­sen oder die Ver­ant­wor­tung für den Fach­be­reich über­neh­men, ist das Ver­fah­rens­ver­zeich­nis – je nach Erstel­lung – eine Hil­fe­stel­lung bei der Ein­ar­bei­tung in den Prozess.

Emp­fän­ger sind die Auf­sichts­be­hör­den oder Gerich­te
Das Ver­zeich­nis ist der Auf­sichts­be­hör­de auf Anfra­ge zur Ver­fü­gung zu stel­len, wenn die­se ihren Prüf­auf­trag wahr­neh­men will. Ein mög­li­cher Emp­fän­ger ist auch ein Gericht, wenn zur Bewer­tung einer Ord­nungs­wid­rig­keit ent­spre­chen­de Infor­ma­tio­nen vorliegen.

Her­aus­ga­be an den Daten­schutz­be­auf­trag­ten
Der Daten­schutz­be­auf­trag­te hat die Auf­ga­be, die Ein­hal­tung des Daten­schut­zes zu prü­fen. Neben den Pro­zess­be­schrei­bun­gen, ver­wen­de­ten IT-Sys­te­men, Auf­trags­ver­ein­ba­run­gen, münd­li­chen Aus­sa­gen, Pro­to­kol­len oder Kon­zep­ten ist das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten das zen­tra­le Doku­ment zur Prü­fung. Liegt das Ver­zeich­nis nicht vor, ist die Daten­schutz­kon­for­mi­tät nicht gegeben.

Her­aus­ga­be des VVTs des Auf­rags­ver­ar­bei­ters an den Ver­ant­wort­li­chen
Auch bei Prü­fun­gen von Auf­trags­ver­ar­bei­tern kann es sein, dass der Ver­ant­wort­li­che den Auf­trags­ver­ar­bei­ter um das VVT bit­tet, damit er sei­ne Pflich­ten wahr­neh­men kann. Eine Pflicht zur Her­aus­ga­be fin­det sich im Gesetz nicht direkt.

Das Füh­ren des Ver­zeich­nis­ses könn­te jedoch zur Bestim­mung der Eig­nung des Dienst­leis­ters als Kri­te­ri­um hin­zu­ge­zo­gen werden.

Häu­fig ent­hal­ten Ver­ein­ba­run­gen zu Auf­trags­ver­ar­bei­tun­gen Pflich­ten zur Füh­rung eines Ver­zeich­nis­ses von Auf­trags­ver­ar­bei­tungs­tä­tig­kei­ten. Anga­ben zu Dritt­land­über­mitt­lun­gen und wei­te­re Emp­fän­ger sowie tech­ni­sche und orga­ni­sa­to­ri­sche Schutz­maß­nah­men sind not­wen­dig, um die Daten­ver­ar­bei­tung ins­ge­samt beur­tei­len zu können.

Der Ver­ant­wort­li­che, also das Unter­neh­men selbst, muss das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten erstel­len. Übli­cher­wei­se wird die Auf­ga­be an die Ver­tre­ter der jewei­li­gen Fach­be­rei­che dele­giert. Der Daten­schutz­be­auf­trag­te unter­stützt meist, um den Pro­zess mög­lichst schlank und effi­zi­ent zu gestalten.

In der Doku­men­ta­ti­on wer­den fol­gen­de Anga­ben zur Daten­ver­ar­bei­tung auf­ge­lis­tet, die in Art. 30 DSGVO auf­ge­führt wer­den, wie zum Beispiel

  • - Name und Kon­takt­da­ten des Ver­ant­wort­li­chen und des Datenschutzbeauftragten
  • - Art der Daten (Daten­ka­te­go­rien, also zum Bei­spiel Personenstammdaten)
  • - Kate­go­rien der Betrof­fe­nen (Per­so­nen­ka­te­go­rien, also zum Bei­spiel Bewerber:innen, Beschäf­tig­te, Kun­den und Geschäftspartner)
  • - Zwe­cke der Ver­ar­bei­tung (also zum Bei­spiel Bewer­ber­ma­nage­ment oder Auftragsmanagement)
  • - Kate­go­rien der Emp­fän­ger (also zum Bei­spiel inter­ne Beschäf­tig­te, Auf­trags­ver­ar­bei­ter, Ban­ken, Rechts­be­ra­ter, Ver­si­che­rer, Hand­wer­ker oder Behörden)
  • - Über­mitt­lun­gen an Dritt­län­der bei zum Bei­spiel Micro­soft Cor­po­ra­ti­on, USA, mit Anga­be von Garan­tie, wie zum Bei­spiel EU-Stan­dard­ver­trags­klau­seln (Con­trol­ler – Prozessor)
  • - Lösch­fris­ten, wie zum Bei­spiel 10 Jah­re gem. § 257 Han­dels­ge­setz­buch oder das berech­tig­te Inter­es­se (ggf. mit einem Link zu dem sepa­ra­ten Löschkonzept)
  • - All­ge­mei­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die zum Schutz der per­so­nen­be­zo­ge­nen Daten wesent­lich und wirk­sam eta­bliert wor­den sind.

Wei­te­re Infor­ma­tio­nen soll­ten Sie im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten mit aufnehmen:

  • - Name und Kon­takt­da­ten des Fachbereichsverantwortlichen
  • - Datum des Eintrags/der letz­ten Änderungen
  • - Mög­li­che Ände­run­gen der Ver­ar­bei­tungs­tä­tig­keit mit Datum
  • - Rechts­grund­la­ge pro Zweck
  • - Sofern als Rechts­grund­la­ge ein berech­tig­tes Inter­es­se des Ver­ant­wort­li­chen gewählt wur­de, soll­te die Anga­be der kon­kre­ten Inter­es­sen mit erfol­gen. Bei inten­si­ven Daten­ver­ar­bei­tun­gen ist eine drei­stu­fi­ge Inter­es­sen­ab­wä­gung zu erstel­len. Die­se Infor­ma­ti­on wird näm­lich bei den Infor­ma­ti­ons­pflich­ten wie­der benötigt.

Zusätz­lich sind auch fol­gen­de Anga­ben sinn­voll, weil die­se ein Gesamt­bild der Daten­ver­ar­bei­tung ermöglichen:

  • - Nen­nung der ein­ge­setz­ten IT-Systeme
  • - Vor- und nach­ge­la­ger­te Datenverarbeitungen
  • - Nen­nung der ein­ge­setz­ten Auftragsverarbeiter
  • - Sepa­ra­te Nen­nung beson­de­ren Arten per­so­nen­be­zo­ge­ner Daten nach Art. 9 und 10 DSGVO
  • - Wei­te­re Infor­ma­tio­nen zur Daten­ver­ar­bei­tung, wie zum Bei­spiel Pro­zess­be­schrei­bun­gen, Screen­shots, Hin­wei­se zu ver­wen­de­ten Ein­wil­li­gun­gen, Ver­trä­ge oder For­mu­la­re oder Dienst- oder Betriebsvereinbarungen.

Übli­cher­wei­se erfolgt die Erstel­lung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten ver­ein­facht, muss aber für Außen­ste­hen­de ver­ständ­lich und stim­mig sein. Je grö­ßer das Risi­ko der Ver­ar­bei­tung für die betrof­fe­nen Per­so­nen ist, des­to gewis­sen­haf­ter muss die Beschrei­bung sein. Dabei spielt die Sen­si­bi­li­tät der Daten, der Umfang der Daten, die Zahl der Betrof­fe­nen, die Erwart­bar­keit der Daten­ver­ar­bei­tung, Anzahl und Typen der Emp­fän­ger, die Über­mitt­lun­gen in Dritt­län­der und die Art der Ver­ar­bei­tung eine wich­ti­ge Rol­le. Die Zusatz­do­ku­men­ta­ti­on kann aber natür­lich auch sepa­rat erfolgen.

Soll­te die Auf­sichts­be­hör­de das Ver­zeich­nis anfor­dern, über­le­gen Sie, ob Sie zunächst nur die Pflicht­do­ku­men­ta­ti­on zur Ver­fü­gung stellen.

Typi­sche Ver­ar­bei­tungs­tä­tig­kei­ten als Ver­ant­wort­li­cher sind zum Beispiel

  • - Bewer­bungs­ma­nage­ment bzw. Recruiting
  • - On- und Offboarding
  • - Per­so­nal­ak­ten­füh­rung
  • - Unfall­ma­nage­ment
  • - Betrieb­li­ches Eingliederungsmanagement
  • - Durch­füh­rung von Weiterentwicklungsgesprächen
  • - Lohn- und Gehaltsabrechnung
  • - Zeit­er­fas­sung (Kom­men-/Ge­hen-Zei­ten)
  • - Fuhr­park­ver­wal­tung
  • - Rei­se­kos­ten­ab­rech­nung
  • - Kom­mu­ni­ka­ti­on und Schriftverkehr
  • - Inter­net­zu­gang für Mitarbeiter
  • - Intra­net / Mitarbeiterverzeichnis
  • - Gäs­te-WLAN
  • - Schu­lungs­maß­nah­men
  • - Betrieb Web­sei­te inkl. sämt­li­cher daten­schutz­re­le­van­ter Ele­men­te, wie zum Bei­spiel Track­ing / Reich­wei­ten­mes­sung, Block­kom­men­ta­re, geschütz­te Berei­che, Online-Shop­ping oder Dar­stel­lung Kar­ten- und Video, Face­book und Insta­gram Fan­page, E‑Mail-News­let­ter
  • - Abon­ne­men­ten-Ver­wal­tung
  • - Auf­trags- und Ver­trags­ab­wick­lung / Ver­kauf / Vertrieb
  • - CRM (Kun­den­da­ten­bank)
  • - Mar­ke­ting (zum Bei­spiel News­let­ter-Sub­scri­ber Lis­ten, Opt-Out-Listen)
  • - Kre­di­to­ren- und Debitorenbuchhaltung
  • - Pro­jekt­ma­nage­ment
  • - Schicht­plan-Manage­ment
  • - Com­pli­ance, Arbeits­si­cher­heit, Daten­schutz oder Rechtsberatung
  • - Video­über­wa­chung
  • - usw.

Hin­wei­se und Mus­ter für ein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten fin­den Sie unter fol­gen­den Webseiten:

  1. Daten­schutz­auf­sichts­be­hör­den (Daten­schutz­kon­fe­renz – DSK)
  2. Pra­xis­hil­fe der Gesell­schaft für Daten­schutz und Daten­si­cher­heit e.V. (GDD) zum Ver­zeich­nis der Verarbeitungstätigkeiten
  3. Mus­ter für ein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten für klei­ne Unter­neh­men von der Baye­ri­schen Daten­schutz­be­hör­de (Ver­ei­ne, Kfz-Werk­statt, Hand­werks­be­trieb, Arzt­pra­xis, WEG-Ver­wal­tung, Online-Shop oder Beherbergungsbetriebe)
  4. Bit­kom e.V.
  5. Bei der Nie­hoff-Sys­tem­be­ra­tung: Neh­men Sie ger­ne Kon­takt auf, ich hel­fe hier ger­ne weiter.

Der Auf­wand für die erst­ma­li­ge Erstel­lung eines Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten kann je nach Kom­ple­xi­tät, Umfang und Sen­si­bi­li­tät der Daten­ver­ar­bei­tung und Grö­ße des Unter­neh­mens stark schwan­ken. Je häu­fi­ger die Daten­ver­ar­bei­tun­gen ange­passt wer­den, des­to häu­fi­ger wer­den auch Anpas­sun­gen am Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten erfor­der­lich sein.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Ihr Pro­jekt sprechen.

kontakt-niehoff-systemberatung

Aktu­el­le News zum The­ma Daten­schutz und Informationssicherheit

In die­sem Bereich fin­den Sie Nach­rich­ten und Hin­ter­grund­in­for­ma­tio­nen zum The­ma Daten­schutz und Infor­ma­ti­ons­si­cher­heit. Sie haben ein The­ma, was einen Bei­trag wert wäre? Mel­den Sie sich gerne.