Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
Verzeichnis der Verarbeitungstätigkeiten
Verzeichnis der Verarbeitungstätigkeiten: Können Sie diese 6 Fragen positiv beantworten?
Home » Datenschutz-Grundlagen » Verzeichnis der Verarbeitungstätigkeiten
Verzeichnis der Verarbeitungstätigkeiten: Der Überblick
Einleitung
Als Unternehmen müssen Sie zahlreiche Gesetze befolgen und Auflagen umsetzen – das ist auch im Datenschutz nicht anders. Ein Verzeichnis der Verarbeitungstätigkeiten ist die Basis für nahezu alle anderen gesetzlichen Vorgaben der DSGVO.
Das Geheimnis der Umsetzung: Wer soll die Dokumente wie und wann erstellen? Wem trauen Sie diese Aufgabe zu? Einer Person oder jedem Fachbereich selbst? Macht das vielleicht die IT-Abteilung? die kennt sich doch sowieso mit Daten aus. Aber die IT-Abteilung soll den operativen Betrieb sicherstellen. Die anderen Kolleginnen und Kollegen müssten sich erst einarbeiten.
Was ist das Verzeichnis der Verarbeitungstätigkeiten eigentlich genau, wie detailliert und womit muss das dokumentiert werden? Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen.
Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Verzeichnis der Verarbeitungstätigkeiten: Das Fundament
Wenn das Verzeichnis der Verarbeitungstätigkeiten nicht oder nicht vollständig dokumentiert wird: Wie können Sie die darauf aufbauenden Pflichten, wie zum Beispiel das Recht der betroffenen Personen auf Auskunft oder die Informationspflichten Ihres Unternehmens erfüllen? Wenn das Verzeichnis wiederum zu detailliert ist: Werden jetzt unnötige Aufwände erzeugt für die Erstellung und die laufende Pflege?
Beachten Sie mögliche Sanktionen!
Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?
Die Höhe variiert von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2 % vom Vorjahresumsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.
Das Verzeichnis der Verarbeitungstätigkeiten: Wofür soll das gut sein?
Der Gesetzgeber hat vorgesehen, dass das jeweilige Unternehmen das Verzeichnis der Verarbeitungstätigkeiten zunächst für sich selbst erstellen muss. Die Geschäftsprozesse sind aus Datenschutzsicht zu beschreiben. Eine intensive Auseinandersetzung aus einer Datenschutzsicht ist erforderlich, um die nächsten Pflichten zu erfüllen.
Meist fallen dann schon bei der Ist-Aufnahme Abläufe auf, die in der Vergangenheit nicht korrekt gemacht wurden. Manche Unternehmen haben ihre Datenflüsse oder alle Empfänger selbst nicht dokumentiert.
Denken Sie an die Folgeaufgaben!
Die Umsetzung eines zum Beispiel Löschkonzeptes oder ein Auskunftsbegehren könnten so nicht fachgerecht umgesetzt werden.
Prüffragen für die Geschäftsleitung
- Führt unser Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten mit den Inhalten nach Art. 30 Abs. 1 DSGVO?
- Verfügt unser Unternehmen auch ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 2 DSGVO für Tätigkeiten, die als Auftragsverarbeiter erbracht werden?
- Ist ein Prozess etabliert, der die fortlaufende und ordnungsgemäße Pflege des Verzeichnisses sowie die Erfassung aller relevanten Verarbeitungstätigkeiten sicherstellt?
- Werden Änderungen im Verzeichnis versioniert, so dass die Neuaufnahme, die inhaltliche Veränderung oder das Löschen einer Verarbeitungstätigkeit nachvollziehbar sind?
- Ist ein Prozess einschließlich klarer Verantwortlichkeit definiert, um das VVT auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen?
- Erfolgt eine regelmäßige Überprüfung der Vollständigkeit und Richtigkeit des Verzeichnisses (mindestens einmal jährlich) im Unternehmen und wird das Ergebnis dokumentiert?
Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Detailwissen für die Erstellung.
Sie wollen in 4 Schritten ein Verzeichnis der Verarbeitungstätigkeiten erstellen? Finden Sie hier weitere Informationen.
Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. zeitnah beantwortet werden können?
In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten
Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht.
Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen werden die erforderlichen Informationen abgefragt, um das Verzeichnis der Verarbeitungstätigkeiten im Entwurf zu erstellen.
Beachten Sie das Risiko für die betroffenen Personen!
Die Anzahl der zu erstellenden Dokumente sind abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Das Wissen für die Erstellung einer fachgerecht erstellten Dokumentation sollten Sie nicht durch interne Beschäftigte ohne Unterstützung aufbauen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.
Schritt 2. Festlegung des Formates des Verzeichnisses der Verarbeitungstätigkeiten
Dann legen Sie fest, in welcher Form die Dokumente in Ihrem Unternehmen abgelegt werden sollen. Auch Vorlagen kann man nutzen; Anpassungen sind jedoch immer notwendig. Die Erstellung des Grundgerüsts ist der Schlüssel für Übersicht und geringen Aufwand.
Sie haben ein internes Dokumentationssystem, zum Beispiel ein Wikipedia, ein Dokumentenmanagementsystem, Google Drive, eine NextCloud, ein Qualitätsmanagementsystem, Microsoft Teams / SharePoint oder den klassischen Aktenordner. Oder Sie bevorzugen doch lieber Word- oder Excel-Dokumente? Ich erstelle die Verzeichnisse der Verarbeitungstätigkeiten in Ihrer Umgebung.
Schritt 3: Passen Sie das Verzeichnis der Verarbeitungstätigkeiten an Ihre Organisation an.
Jetzt werden weitere Informationen zum Unternehmen genutzt, wie zum Beispiel das Organigramm oder eine Übersicht über die Fachbereiche und Ansprechpartner. Dann erfolgen kurze Interviews mit den Personen, die Ihre Geschäftsprozesse am besten kennen.
Bei einfachen Prozessen dauert das ca. 20 Minuten, bei komplexen kann es länger dauern. Ich entwerfe eine Übersicht aller Geschäftsprozesse sowie die Detaildokumente in Ihrem gewünschten Format und ggf. direkt in Ihrem IT-System.
Der Fachbereich erteilt dann die Freigabe für den Entwurf des Detaildokumentes. Restaktivitäten, wie zum Beispiel Angaben zu der Speicherdauer, werden ggf. nachgelagert erstellt.
Schritt 4: regelmäßige Aktualisierung vom Verfahrensverzeichnis
Sie müssen jetzt noch einen Prozess einrichten, um nachweisen zu können, dass das Verzeichnis der Verarbeitungstätigkeiten auch aktuell bleibt? Ergänzen Sie in der Übersicht der Verarbeitungstätigkeiten ein Datum für die Wiedervorlage.
Dokumentieren Sie die Änderungshäufigkeit!
Eine erneute Sichtung des Verzeichnisses in einem Jahr oder bei grundlegenden Änderungen sind der nächste Schritt, bei der die Version angepasst oder noch verfeinert wird. Idealerweise dokumentieren Sie sämtliche Anweisungen in einem Datenschutz-Handbuch oder in einer Datenschutzrichtlinie.
Verzeichnis der Verarbeitungstätigkeiten – Wie geht es weiter?
Setzen Sie mit diesen Informationen nun weitere Anforderungen um, wie zum Beispiel die Informationspflichten, die Prüfung der Auftragsverarbeiter, die Betroffenenrechte, die technischen und organisatorischen Maßnahmen (TOMs) oder das Löschkonzept.
Je umfangreicher die Geschäftsprozesse sind, desto wichtiger wird es, die Risikobewertung der Verarbeitungen aus Sicht der Betroffenen zu erstellen. Dies ist immer eine erforderliche Notwendigkeit. Aber nur, wenn Sie darlegen, wie das Risiko für Betroffene bewertet wurde, können Sie sich auf die wirklich erforderlichen Punkte fokussieren.
Setzen SIe jetzt mit dem Wissen weitere Schritte um.
Gehen Sie das Thema nun an. So können Sie begründen, warum die Wiedervorlage bei einigen Themen nur alle zwei Jahre durchgeführt werden muss, wie zum Beispiel die regelmäßige Prüfung Ihrer Auftragsverarbeiter.
Weitere Details zum Verzeichnis der Verarbeitungstätigkeiten
Der Begriff der Verarbeitungstätigkeit
Für den Datenschutz sind nur Verarbeitungstätigkeiten interessant, in denen personenbezogene Daten verarbeitet werden. Das ist in den Geschäftsprozessen der Unternehmen fast immer der Fall. Im Bewerbermanagement werden aber nicht nur personenbezogene Daten der Bewerber selbst, sondern auch Daten der eigenen Beschäftigten im Rahmen des Bewerbungsprozesses verarbeitet.
Diese Informationen werden im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. Ist das Unternehmen selbst als Auftragsverarbeiter aktiv, ist pro Dienstleistung ebenfalls ein Verzeichnis der Verarbeitungstätigkeiten für Auftragsverarbeiter zu erstellen.
PFLICHT ZUR DOKUMENTATION FÜR JEDES UNTERNEHMEN
Es gibt nur ein paar geringe Ausnahmen, die aber in den meisten Fällen nicht zutreffen. Hat ein Unternehmen weniger als 250 Beschäftigte, dann könnte eine Pflicht zum Verzeichnis der Verarbeitungstätigkeiten bestehen, wenn die Verarbeitung keine Risiken für Betroffene darstellen und die Verarbeitung nicht regelmäßig besteht. Bei besonders sensiblen Daten, wie zum Beispiel Gesundheitsdaten, entfällt die Freistellung.
Sorgen Sie für ein solides Fundament!
Sprache und Inhalte des Verzeichnisses der Verarbeitungstätigkeiten
Für jedes Unternehmen ist das Verzeichnis (früher auch Verfahrensverzeichnis) das Fundament der Datenschutz-Dokumentation. Damit kann der Verantwortliche nachweisen, dass er sich um die Umsetzung der gesetzlichen Pflichten gekümmert hat. Eine Formvorgabe, wie die Erstellung zu erfolgen hat, besteht jedoch nicht. Die Pflichtinhalte wurden jedoch festgelegt.
Als Verantwortlicher für die Datenverarbeitung
- Name und Kontaktdaten der Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
- ggf. Übermittlungen personenbezogener Daten an ein Drittland, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation inkl. geeigneter Garantien
- Fristen für die Löschung der verschiedenen Datenkategorien
- allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Als Auftragsverarbeiter der Datenverarbeitung
- Name und Kontaktdaten des Auftragsverarbeiters sowie eines etwaigen Datenschutzbeauftragten
- Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
- ggf. Übermittlungen personenbezogener Daten an ein Drittland, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation inkl. geeigneter Garantien
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Gerade IT-Dienstleister müssen regelmäßig ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 2 DSGVO erstellen. Sie benötigen kurzfristig Unterstützung zu dem Thema?
Verfahrensverzeichnis: Ergänzende Informationen
Wenn Sie schon dabei sind, sollte das Verfahrensverzeichnis um weitere Angaben angereichert werden. Sie gehören eng zu der Verarbeitungstätigkeiten und werden später benötigt bzw. fallen bei der Erstellung an.
Vermeiden Sie aber eine Doppeldokumentation!
Finden Sie anbei ein paar Ergänzungen als Anregungen, die ebenfalls häufig im Verfahrensverzeichnis aufgenommen werden — aus gutem Grund.
Ich habe Verzeichnisse von Verarbeitungstätigkeiten gesehen, die im Fließtext beschrieben worden sind. Der Text kann dann in den Informationspflichten den betroffenen Personen nahezu 1:1 zur Verfügung gestellt werden. Ich finde die Übersichtlichkeit nicht optimal, damit kann aber sicherlich zusätzlicher Aufwand eingespart werden.
- Rechtsgrundlage pro Zweck
- Risikobewertung und Prüfung auf Notwendigkeit einer Datenschutz-Folgenabschätzung
- Eingesetzte IT-Systeme
- Ansprechpartner und Kontaktdaten für den Fachbereich
- Datumangaben der letzten Änderung, geplante Änderungen und nächste Überarbeitung
- Ergänzende Angaben oder Links zu Beschreibungen der Geschäftsprozesse, Screenshots, rechtliche Grundlagen außerhalb der DSGVO und dem BDSG, wie z.B. SGB, TKG, TTDSB, TMG, UWG, AGG, Arbeitszeitgesetz, Infektionsschutzgesetz oder Betriebs- oder Dienstvereinbarungen sowie Links zu den erstellten Informationspflichten.
Empfänger des Verzeichnisses der Verarbeitungstätigkeiten
Mir fallen spontan 4 Empfängerkreise für das Verzeichnis der Verarbeitungstätigkeiten ein:
Wenn Aufsichtsbehörden Hinweise auf ein Fehlverhalten bekommen, ist ihre Aufgabe, dem Hinweis nachzugehen. Diese Aufgabe wird meist wahrgenommen. Ein Anschreiben an das Unternehmen ist schnell erstellt. Dann erhält das Unternehmen eine Aufforderung zur Stellungnahme eines Sachverhaltes. Dies ist üblicherweise mit der Anforderung verbunden, das Verzeichnis der Verarbeitungstätigkeiten und ggf. noch weitere Informationen zur Verfügung zu stellen. Dafür hat das Unternehmen in der Regel 1- bis 2 Wochen Zeit.
Auch Gerichte können das Verzeichnis der Verarbeitungstätigkeiten bei einem Gerichtsverfahren anfordern.
Für den Datenschutzbeauftragten ist das VVT eine Basis seiner Prüftätigkeiten.
Sofern Sie ein Auftragsverarbeiter sind, können die Verantwortlichen Unterlagen anfordern und zur Eignungsprüfung verwenden.
Was muss bei einem Anschreiben einer Aufsichtsbehörde beachtet werden?
Wenn die Aufsichtsbehörde anlassbezogen Ihr Verzeichnis der Verarbeitungstätigkeiten sehen möchte, kann die zu hektischer Betriebsamkeit und Aufwänden führen. In einer Urlaubsphase oder Hochsaison ist eine zeitnahe Erstellung ohne Fachkenntnisse nicht immer möglich.
Mein Tipp: Buchen Sie eine fachkundige externe Datenschutzberatung mit ausreichenden Kapazitäten.
Das Anschreiben der Behörde zu missachten, ist keine gute Idee. Ggf. steht dann eine Betriebsprüfung vor Ort an, in dem Sie alle Informationen zum Sachverhalt auf den Tisch legen müssen. Eventuell kann noch Akteneinsicht oder Aufschiebung wegen einer Urlaubssituation fordern, aber auch das sollte gut überlegt sein — die Aufsichtsbehörde schaut nun möglicherweise genauer hin.
Spätestens wenn die Aufsichtsbehörde ein Bußgeldverfahren einleitet, kann ich Ihnen folgendes Buch empfehlen: Härting/Konrad DSGVO im Praxistest. Das Buch hat mir und meinen Mandanten schon sehr viel weitergeholfen.
Beachten Sie mögliche Sanktionen!
Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?
Dann sollten Sie sich Unterstützung holen. Die Höhe variiert von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2 % vom Vorjahresumsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.
Kontinuierliche Verbesserung
Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, lernen und anpassen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unternehmens permanent infrage und startet im Unternehmen einen wiederkehrenden Regelkreis zur Verbesserung der Abläufe und Prozesse.
Auch beim Verzeichnis der Verarbeitungstätigkeiten gibt es einen stetigen Verbesserungsprozess durch regelmäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.
Bleiben SIe aktuell!
Erstellen auch Sie einen Regelkreis, damit das Verzeichnis der Verarbeitungstätigkeiten korrekt erstellt wird, den richtigen Detailgrad hat, vom Fachbereich freigegeben und aktuell gehalten wird.
Sie benötigen Unterstützung bei dem „Fundament des Datenschutzes“ ?
Festlegung von Art, Umfang und Form der Verfahrensbeschreibung pro Fachbereich
Festlegung Ansprechpartner, Interview, Entwurf und Freigabe
Aktualisierung und Anpassung des Verzeichnis der Verarbeitungstätigkeiten
Prüfung der Aktualität und Richtigkeit des Verzeichnisses der Verarbeitungstätigkeiten
Häufig gestellte Fragen zur Verzeichnis der Verarbeitungstätigkeiten
Jedes Unternehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:
Eine konkrete Begriffsdefinition „Verarbeitungstätigkeit“ gibt es im Gesetzestext nicht. Lediglich der Begriff der Verarbeitung wird näher beschrieben.
Der Landesbeauftragte aus Baden-Württemberg (LfDI BaWü) schrieb in ihrem Tätigkeitsbericht 2018 dazu: „Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, sodass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.”
Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab. In einem kleinen Unternehmen mit wenigen Mitarbeitern kann zum Beispiel die gesamte Personalverwaltung (inklusive Bewerbungsverfahren und Lohnabrechnung) als eine einzige Verarbeitungstätigkeit gesehen werden.
Bei einem mittelständischen Unternehmen wird eine stärkere Untergliederung notwendig sein, wie z. B.
- - Personalgewinnung
- - Personaleinstellung
- - Verwaltung des aktuellen Personals
- - Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten.
In einem großen Unternehmen können allein in der Personalabteilung dutzende Verarbeitungstätigkeiten vorliegen, wenn zum Beispiel unterschiedliche Bewerbungsverfahren für Aushilfen, Werkstudierende, Auszubildende, mittlere Angestellte, Führungskräfte und Top-Manager bestehen.
Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Auch der Detailgrad, wie das Verzeichnis der Verarbeitungstätigkeiten beschrieben werden muss, wird nicht näher definiert.
Grundsätzlich kann man sagen: Je höher das Risiko der Verarbeitung ist, desto sorgfältiger und intensiver ist das Verzeichnis der Verarbeitungstätigkeiten zu erstellen.
Typische Verarbeitungstätigkeiten sind zum Beispiel Personalmanagement, Arbeitszeiterfassung, E‑Mail-Newsletter, Website, Videoüberwachung, Nutzung spezieller Software oder Geräte, mit denen Mitarbeiterdaten erfasst, gespeichert oder ausgewertet werden (zum Beispiel Zeiterfassungssystem, digitale Personalakten, elektronische Zugangskartensystem, betriebliches Eingliederungsmanagement, GPS-Ortung, Videoüberwachung, Reisekostenabrechnung, Videokonferenzsysteme, telefonische Kommunikation, WLAN oder Auftragsmanagement).
Auf dem Markt gibt es viele verschiedene Anbieter von Vorlagen und Softwareprodukten. In den meisten Fällen reichen aber einfache Excel-Tabellen oder Worddokumente aus. Anregungen sind sicherlich sinnvoll, aber die Vorlagen sind aus meiner Sicht nicht erforderlich und schnell selbst erstellt.
Ich unterstütze Sie bei allen Verarbeitungstätigkeiten – nutzen Sie mein Datenschutzportal zur Unterstützung und wenn Sie Fragen haben, leite ich Sie zum richtigen Ergebnis.
Eine Verarbeitungstätigkeit ist ein Vorgang, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Unter einer Verarbeitung versteht man jeden mit oder ohne Hilfe automatisierter Verfahren durchgeführten Vorgang im Zusammenhang mit personenbezogenen Daten.
- Sie dokumentieren Verarbeitungstätigkeiten, die nicht dokumentiert werden müssen: Konzentrieren sich auf Verarbeitungen mit personenbezogenen Daten, also zum Beispiel keine Bilanzen oder rein statistische bzw. anonyme Daten.
- Sie dokumentieren zu oberflächlich. Ein Außenstehender kann dann keine Prüfung durchführen: Bleiben Sie konkret.
- Sie dokumentieren zu detailliert: Verzetteln Sie sich nicht und halten Sie den Aufwand angemessen.
- Sie orientieren sich nicht am Unternehmen selbst und verwenden unternehmensfremde Begrifflichkeiten aus Vorlagen. Ihre Fachabteilungen und ggf. damit betraute Beschäftigte finden sich nicht zurecht: Verwenden Sie Ihre Begrifflichkeiten.
- Sie dokumentieren IT-Systeme, statt die eigentlichen Verarbeitungstätigkeiten: Konzentrieren Sie sich auf Ihre Geschäftsprozesse. Also anstatt Microsoft Teams dokumentieren Sie die Verarbeitung „Videokonferenzen“, „Dokumentenablage“, „Aufgabenplanung“, „Telefonie / Telefonkonferenzen“, „Schulungen“ oder „Zusammenarbeit und Kommunikation“, je nachdem wofür Sie das IT-System einsetzen. Ggf. gibt es auch andere IT-Systeme, die für die oben genannten Verarbeitungen verwendet werden.
Zeitpunkt der Erstellung
Das Verzeichnis von Verarbeitungstätigkeiten oder auch Verfahrensverzeichnis ist dann erforderlich, wenn personenbezogene Daten von natürlich lebenden Personen von EU-Bürgern verarbeitet werden.
Ausnahmen gibt es zwar für Unternehmen bis weniger als 250 Beschäftigten, aber nur wenn die personenbezogenen Daten nicht sensibel und die Datenverarbeitung nicht regelmäßig durchgeführt wird. Führen Sie einen neuen Geschäftsprozess – vergessen Sie nicht, parallel gleich das VVT zu erstellen.
Empfängergruppen für das Verzeichnis der Verarbeitungstätigkeiten
Grundsätzlich wird das VVT für das Unternehmen selbst erstellt. Mit der Erstellung zeigt der Verantwortliche, dass er sich mit der Erfüllung der gesetzlichen Vorgaben auseinandergesetzt hat. Dies kann bei Verfehlungen bußgeldmindernd angerechnet werden. Auch für Beschäftigte, die sich in neue Prozesse einarbeiten müssen oder die Verantwortung für den Fachbereich übernehmen, ist das Verfahrensverzeichnis – je nach Erstellung – eine Hilfestellung bei der Einarbeitung in den Prozess.
Empfänger sind die Aufsichtsbehörden oder Gerichte
Das Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen, wenn diese ihren Prüfauftrag wahrnehmen will. Ein möglicher Empfänger ist auch ein Gericht, wenn zur Bewertung einer Ordnungswidrigkeit entsprechende Informationen vorliegen.
Herausgabe an den Datenschutzbeauftragten
Der Datenschutzbeauftragte hat die Aufgabe, die Einhaltung des Datenschutzes zu prüfen. Neben den Prozessbeschreibungen, verwendeten IT-Systemen, Auftragsvereinbarungen, mündlichen Aussagen, Protokollen oder Konzepten ist das Verzeichnis der Verarbeitungstätigkeiten das zentrale Dokument zur Prüfung. Liegt das Verzeichnis nicht vor, ist die Datenschutzkonformität nicht gegeben.
Herausgabe des VVTs des Auftragsverarbeiters an den Verantwortlichen
Auch bei Prüfungen von Auftragsverarbeitern kann es sein, dass der Verantwortliche den Auftragsverarbeiter um das VVT bittet, damit er seine Pflichten wahrnehmen kann. Eine Pflicht zur Herausgabe findet sich im Gesetz nicht direkt.
Das Führen des Verzeichnisses könnte jedoch zur Bestimmung der Eignung des Dienstleisters als Kriterium hinzugezogen werden.
Häufig enthalten Vereinbarungen zu Auftragsverarbeitungen Pflichten zur Führung eines Verzeichnisses von Auftragsverarbeitungstätigkeiten. Angaben zu Drittlandübermittlungen und weitere Empfänger sowie technische und organisatorische Schutzmaßnahmen sind notwendig, um die Datenverarbeitung insgesamt beurteilen zu können.
Der Verantwortliche, also das Unternehmen selbst, muss das Verzeichnis der Verarbeitungstätigkeiten erstellen. Üblicherweise wird die Aufgabe an die Vertreter der jeweiligen Fachbereiche delegiert. Der Datenschutzbeauftragte unterstützt meist, um den Prozess möglichst schlank und effizient zu gestalten.
In der Dokumentation werden folgende Angaben zur Datenverarbeitung aufgelistet, die in Art. 30 DSGVO aufgeführt werden, wie zum Beispiel
- - Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
- - Art der Daten (Datenkategorien, also zum Beispiel Personenstammdaten)
- - Kategorien der Betroffenen (Personenkategorien, also zum Beispiel Bewerber:innen, Beschäftigte, Kunden und Geschäftspartner)
- - Zwecke der Verarbeitung (also zum Beispiel Bewerbermanagement oder Auftragsmanagement)
- - Kategorien der Empfänger (also zum Beispiel interne Beschäftigte, Auftragsverarbeiter, Banken, Rechtsberater, Versicherer, Handwerker oder Behörden)
- - Übermittlungen an Drittländer bei zum Beispiel Microsoft Corporation, USA, mit Angabe von Garantie, wie zum Beispiel EU-Standardvertragsklauseln (Controller – Prozessor)
- - Löschfristen, wie zum Beispiel 10 Jahre gem. § 257 Handelsgesetzbuch oder das berechtigte Interesse (ggf. mit einem Link zu dem separaten Löschkonzept)
- - Allgemeine technische und organisatorische Maßnahmen, die zum Schutz der personenbezogenen Daten wesentlich und wirksam etabliert worden sind.
Weitere Informationen sollten Sie im Verzeichnis der Verarbeitungstätigkeiten mit aufnehmen:
- - Name und Kontaktdaten des Fachbereichsverantwortlichen
- - Datum des Eintrags/der letzten Änderungen
- - Mögliche Änderungen der Verarbeitungstätigkeit mit Datum
- - Rechtsgrundlage pro Zweck
- - Sofern als Rechtsgrundlage ein berechtigtes Interesse des Verantwortlichen gewählt wurde, sollte die Angabe der konkreten Interessen mit erfolgen. Bei intensiven Datenverarbeitungen ist eine dreistufige Interessenabwägung zu erstellen. Diese Information wird nämlich bei den Informationspflichten wieder benötigt.
Zusätzlich sind auch folgende Angaben sinnvoll, weil diese ein Gesamtbild der Datenverarbeitung ermöglichen:
- - Nennung der eingesetzten IT-Systeme
- - Vor- und nachgelagerte Datenverarbeitungen
- - Nennung der eingesetzten Auftragsverarbeiter
- - Separate Nennung besonderen Arten personenbezogener Daten nach Art. 9 und 10 DSGVO
- - Weitere Informationen zur Datenverarbeitung, wie zum Beispiel Prozessbeschreibungen, Screenshots, Hinweise zu verwendeten Einwilligungen, Verträge oder Formulare oder Dienst- oder Betriebsvereinbarungen.
Üblicherweise erfolgt die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten vereinfacht, muss aber für Außenstehende verständlich und stimmig sein. Je größer das Risiko der Verarbeitung für die betroffenen Personen ist, desto gewissenhafter muss die Beschreibung sein. Dabei spielt die Sensibilität der Daten, der Umfang der Daten, die Zahl der Betroffenen, die Erwartbarkeit der Datenverarbeitung, Anzahl und Typen der Empfänger, die Übermittlungen in Drittländer und die Art der Verarbeitung eine wichtige Rolle. Die Zusatzdokumentation kann aber natürlich auch separat erfolgen.
Sollte die Aufsichtsbehörde das Verzeichnis anfordern, überlegen Sie, ob Sie zunächst nur die Pflichtdokumentation zur Verfügung stellen.
Typische Verarbeitungstätigkeiten als Verantwortlicher sind zum Beispiel
- - Bewerbungsmanagement bzw. Recruiting
- - On- und Offboarding
- - Personalaktenführung
- - Unfallmanagement
- - Betriebliches Eingliederungsmanagement
- - Durchführung von Weiterentwicklungsgesprächen
- - Lohn- und Gehaltsabrechnung
- - Zeiterfassung (Kommen-/Gehen-Zeiten)
- - Fuhrparkverwaltung
- - Reisekostenabrechnung
- - Kommunikation und Schriftverkehr
- - Internetzugang für Mitarbeiter
- - Intranet / Mitarbeiterverzeichnis
- - Gäste-WLAN
- - Schulungsmaßnahmen
- - Betrieb Webseite inkl. sämtlicher datenschutzrelevanter Elemente, wie zum Beispiel Tracking / Reichweitenmessung, Blockkommentare, geschützte Bereiche, Online-Shopping oder Darstellung Karten- und Video, Facebook und Instagram Fanpage, E‑Mail-Newsletter
- - Abonnementen-Verwaltung
- - Auftrags- und Vertragsabwicklung / Verkauf / Vertrieb
- - CRM (Kundendatenbank)
- - Marketing (zum Beispiel Newsletter-Subscriber Listen, Opt-Out-Listen)
- - Kreditoren- und Debitorenbuchhaltung
- - Projektmanagement
- - Schichtplan-Management
- - Compliance, Arbeitssicherheit, Datenschutz oder Rechtsberatung
- - Videoüberwachung
- - usw.
Hinweise und Muster für ein Verzeichnis von Verarbeitungstätigkeiten finden Sie unter folgenden Webseiten:
- Datenschutzaufsichtsbehörden (Datenschutzkonferenz – DSK)
- Praxishilfe der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) zum Verzeichnis der Verarbeitungstätigkeiten
- Muster für ein Verzeichnis von Verarbeitungstätigkeiten für kleine Unternehmen von der Bayerischen Datenschutzbehörde (Vereine, Kfz-Werkstatt, Handwerksbetrieb, Arztpraxis, WEG-Verwaltung, Online-Shop oder Beherbergungsbetriebe)
- Bitkom e.V.
- Bei der Niehoff-Systemberatung: Nehmen Sie gerne Kontakt auf, ich helfe hier gerne weiter.
Der Aufwand für die erstmalige Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten kann je nach Komplexität, Umfang und Sensibilität der Datenverarbeitung und Größe des Unternehmens stark schwanken. Je häufiger die Datenverarbeitungen angepasst werden, desto häufiger werden auch Anpassungen am Verzeichnis der Verarbeitungstätigkeiten erforderlich sein.
Clever sein – das Verzeichnis der Verarbeitungstätigkeiten effizient und praxisnah gestalten
Ich unterstütze Sie bei der Erstellung Ihrer Dokumentation. Nutzen Sie meine mehrjährige Expertise, um zügig ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen.
Buchen Sie ein entsprechendes Modul oder meine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen.
Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung des Verfahrensverzeichnisses fester Bestandteil.
- Praxisnahe Erstellung
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, vor Ort und digital
Wenn Sie eine professionelle Unterstützung im Auftragsverarbeitung suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen. Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
“Ich biete maßgeschneiderte Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gerne nehme ich mir Zeit für eine persönliche Beratung und erstelle Ihnen unverbindlich und kostenlos ein auf Sie zugeschnittenes Angebot.
Ich bevorzuge Unternehmen, die Datenschutz und Informationssicherheit umsetzen wollen. Wenn Sie eine kostengünstige Beratung von der Stange bevorzugen, passen wir nicht zusammen”.
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Ich setze regelmäßig digitale Projekte mit anspruchsvollen Kunden um. Datenschutz ist ein notwendiges Muss. Ich benötige daher einen aktiven DSB, der da ist, wenn ich ihn benötige und mit Praxiswissen zeitnah zuarbeitet. Ich will ein festes Kontingent und nicht für jeden Handschlag zusätzlich bezahlen. Am Ende wird so etwas meist teurer und aufwändiger in der Abrechnung. Herr Niehoff bringt aufgrund seiner Flexibilität mein Business voran.
Kontakt
- Direkte Betreuung
- Zeitnahe Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch uns lassen Sie über Ihre Unternehmen sprechen.