Ver­zeich­nis der Verarbeitungstätigkeiten

Eine kon­kre­te Begriffs­de­fi­ni­ti­on „Ver­ar­bei­tungs­tä­tig­keit“ gibt es im Geset­zes­text nicht. Ledig­lich der Begriff der Ver­ar­bei­tung wird näher beschrieben.

Der Lan­des­be­auf­trag­te aus Baden-Würt­tem­berg (LfDI BaWü) schrieb in ihrem Tätig­keits­be­richt 2018 dazu: „Als Ver­ar­bei­tungs­tä­tig­keit wird im All­ge­mei­nen ein spe­zi­el­ler, eigen­stän­di­ger Geschäfts­pro­zess ver­stan­den. Es ist ein stren­ger Maß­stab anzu­le­gen, sodass jeder neue Zweck der Ver­ar­bei­tung eine eige­ne Ver­ar­bei­tungs­tä­tig­keit darstellt.”

Was kon­kret eine Ver­ar­bei­tungs­tä­tig­keit ist, hängt vom jewei­li­gen Unter­neh­men ab. In einem klei­nen Unter­neh­men mit weni­gen Mit­ar­bei­tern kann zum Bei­spiel die gesam­te Per­so­nal­ver­wal­tung (inklu­si­ve Bewer­bungs­ver­fah­ren und Lohn­ab­rech­nung) als eine ein­zi­ge Ver­ar­bei­tungs­tä­tig­keit gese­hen werden.

Bei einem mit­tel­stän­di­schen Unter­neh­men wird eine stär­ke­re Unter­glie­de­rung not­wen­dig sein, wie z. B.

• - Per­so­nal­ge­win­nung
• - Per­so­nal­ein­stel­lung
• - Ver­wal­tung des aktu­el­len Personals
• - Been­di­gung der Arbeits­ver­hält­nis­se und ähn­li­che Verarbeitungstätigkeiten.

In einem gro­ßen Unter­neh­men kön­nen allein in der Per­so­nal­ab­tei­lung dut­zen­de Ver­ar­bei­tungs­tä­tig­kei­ten vor­lie­gen, wenn zum Bei­spiel unter­schied­li­che Bewer­bungs­ver­fah­ren für Aus­hil­fen, Werk­stu­die­ren­de, Aus­zu­bil­den­de, mitt­le­re Ange­stell­te, Füh­rungs­kräf­te und Top-Mana­ger bestehen.

Als Ver­ar­bei­tungs­tä­tig­keit wird im All­ge­mei­nen ein spe­zi­el­ler, eigen­stän­di­ger Geschäfts­pro­zess ver­stan­den. Auch der Detail­grad, wie das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten beschrie­ben wer­den muss, wird nicht näher definiert.

Grund­sätz­lich kann man sagen: Je höher das Risi­ko der Ver­ar­bei­tung ist, des­to sorg­fäl­ti­ger und inten­si­ver ist das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu erstellen.

Typi­sche Ver­ar­bei­tungs­tä­tig­kei­ten sind zum Bei­spiel Per­so­nal­ma­nage­ment, Arbeits­zeit­er­fas­sung, E‑Mail-News­let­ter, Web­site, Video­über­wa­chung, Nut­zung spe­zi­el­ler Soft­ware oder Gerä­te, mit denen Mit­ar­bei­ter­da­ten erfasst, gespei­chert oder aus­ge­wer­tet wer­den (zum Bei­spiel Zeit­er­fas­sungs­sys­tem, digi­ta­le Per­so­nal­ak­ten, elek­tro­ni­sche Zugangs­kar­ten­sys­tem, betrieb­li­ches Ein­glie­de­rungs­ma­nage­ment, GPS-Ortung, Video­über­wa­chung, Rei­se­kos­ten­ab­rech­nung, Video­kon­fe­renz­sys­te­me, tele­fo­ni­sche Kom­mu­ni­ka­ti­on, WLAN oder Auftragsmanagement).

Auf dem Markt gibt es vie­le ver­schie­de­ne Anbie­ter von Vor­la­gen und Soft­ware­pro­duk­ten. In den meis­ten Fäl­len rei­chen aber ein­fa­che Excel-Tabel­len oder Word­do­ku­men­te aus. Anre­gun­gen sind sicher­lich sinn­voll, aber die Vor­la­gen sind aus mei­ner Sicht nicht erfor­der­lich und schnell selbst erstellt.
Ich unter­stüt­ze Sie bei allen Ver­ar­bei­tungs­tä­tig­kei­ten – nut­zen Sie mein Daten­schutz­por­tal zur Unter­stüt­zung und wenn Sie Fra­gen haben, lei­te ich Sie zum rich­ti­gen Ergeb­nis.
Eine Ver­ar­bei­tungs­tä­tig­keit ist ein Vor­gang, bei dem per­so­nen­be­zo­ge­ne Daten für einen oder meh­re­re Zwe­cke ver­ar­bei­tet wer­den. Unter einer Ver­ar­bei­tung ver­steht man jeden mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren durch­ge­führ­ten Vor­gang im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten.

1. Sie doku­men­tie­ren Ver­ar­bei­tungs­tä­tig­kei­ten, die nicht doku­men­tiert wer­den müs­sen: Kon­zen­trie­ren sich auf Ver­ar­bei­tun­gen mit per­so­nen­be­zo­ge­nen Daten, also zum Bei­spiel kei­ne Bilan­zen oder rein sta­tis­ti­sche bzw. anony­me Daten.
2. Sie doku­men­tie­ren zu ober­fläch­lich. Ein Außen­ste­hen­der kann dann kei­ne Prü­fung durch­füh­ren: Blei­ben Sie konkret.
   
   
3. Sie doku­men­tie­ren zu detail­liert: Ver­zet­teln Sie sich nicht und hal­ten Sie den Auf­wand angemessen.
   
   
4. Sie ori­en­tie­ren sich nicht am Unter­neh­men selbst und ver­wen­den unter­neh­mens­frem­de Begriff­lich­kei­ten aus Vor­la­gen. Ihre Fach­ab­tei­lun­gen und ggf. damit betrau­te Beschäf­tig­te fin­den sich nicht zurecht: Ver­wen­den Sie Ihre Begrifflichkeiten.
   
   
5. Sie doku­men­tie­ren IT-Sys­te­me, statt die eigent­li­chen Ver­ar­bei­tungs­tä­tig­kei­ten: Kon­zen­trie­ren Sie sich auf Ihre Geschäfts­pro­zes­se. Also anstatt Micro­soft Teams doku­men­tie­ren Sie die Ver­ar­bei­tung „Video­kon­fe­ren­zen“, „Doku­men­ten­ab­la­ge“, „Auf­ga­ben­pla­nung“, „Tele­fo­nie / Tele­fon­kon­fe­ren­zen“, „Schu­lun­gen“ oder „Zusam­men­ar­beit und Kom­mu­ni­ka­ti­on“, je nach­dem wofür Sie das IT-Sys­tem ein­set­zen. Ggf. gibt es auch ande­re IT-Sys­te­me, die für die oben genann­ten Ver­ar­bei­tun­gen ver­wen­det werden.

Zeit­punkt der Erstel­lung
Das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten oder auch Ver­fah­rens­ver­zeich­nis ist dann erfor­der­lich, wenn per­so­nen­be­zo­ge­ne Daten von natür­lich leben­den Per­so­nen von EU-Bür­gern ver­ar­bei­tet werden.

Aus­nah­men gibt es zwar für Unter­neh­men bis weni­ger als 250 Beschäf­tig­ten, aber nur wenn die per­so­nen­be­zo­ge­nen Daten nicht sen­si­bel und die Daten­ver­ar­bei­tung nicht regel­mä­ßig durch­ge­führt wird. Füh­ren Sie einen neu­en Geschäfts­pro­zess – ver­ges­sen Sie nicht, par­al­lel gleich das VVT zu erstellen.

Emp­fän­ger­grup­pen für das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten
Grund­sätz­lich wird das VVT für das Unter­neh­men selbst erstellt. Mit der Erstel­lung zeigt der Ver­ant­wort­li­che, dass er sich mit der Erfül­lung der gesetz­li­chen Vor­ga­ben aus­ein­an­der­ge­setzt hat. Dies kann bei Ver­feh­lun­gen buß­geld­min­dernd ange­rech­net wer­den. Auch für Beschäf­tig­te, die sich in neue Pro­zes­se ein­ar­bei­ten müs­sen oder die Ver­ant­wor­tung für den Fach­be­reich über­neh­men, ist das Ver­fah­rens­ver­zeich­nis – je nach Erstel­lung – eine Hil­fe­stel­lung bei der Ein­ar­bei­tung in den Prozess.

Emp­fän­ger sind die Auf­sichts­be­hör­den oder Gerich­te
Das Ver­zeich­nis ist der Auf­sichts­be­hör­de auf Anfra­ge zur Ver­fü­gung zu stel­len, wenn die­se ihren Prüf­auf­trag wahr­neh­men will. Ein mög­li­cher Emp­fän­ger ist auch ein Gericht, wenn zur Bewer­tung einer Ord­nungs­wid­rig­keit ent­spre­chen­de Infor­ma­tio­nen vorliegen.

Her­aus­ga­be an den Daten­schutz­be­auf­trag­ten
Der Daten­schutz­be­auf­trag­te hat die Auf­ga­be, die Ein­hal­tung des Daten­schut­zes zu prü­fen. Neben den Pro­zess­be­schrei­bun­gen, ver­wen­de­ten IT-Sys­te­men, Auf­trags­ver­ein­ba­run­gen, münd­li­chen Aus­sa­gen, Pro­to­kol­len oder Kon­zep­ten ist das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten das zen­tra­le Doku­ment zur Prü­fung. Liegt das Ver­zeich­nis nicht vor, ist die Daten­schutz­kon­for­mi­tät nicht gegeben.

Her­aus­ga­be des VVTs des Auf­trags­ver­ar­bei­ters an den Ver­ant­wort­li­chen
Auch bei Prü­fun­gen von Auf­trags­ver­ar­bei­tern kann es sein, dass der Ver­ant­wort­li­che den Auf­trags­ver­ar­bei­ter um das VVT bit­tet, damit er sei­ne Pflich­ten wahr­neh­men kann. Eine Pflicht zur Her­aus­ga­be fin­det sich im Gesetz nicht direkt.

Das Füh­ren des Ver­zeich­nis­ses könn­te jedoch zur Bestim­mung der Eig­nung des Dienst­leis­ters als Kri­te­ri­um hin­zu­ge­zo­gen werden.

Häu­fig ent­hal­ten Ver­ein­ba­run­gen zu Auf­trags­ver­ar­bei­tun­gen Pflich­ten zur Füh­rung eines Ver­zeich­nis­ses von Auf­trags­ver­ar­bei­tungs­tä­tig­kei­ten. Anga­ben zu Dritt­land­über­mitt­lun­gen und wei­te­re Emp­fän­ger sowie tech­ni­sche und orga­ni­sa­to­ri­sche Schutz­maß­nah­men sind not­wen­dig, um die Daten­ver­ar­bei­tung ins­ge­samt beur­tei­len zu können.

Der Ver­ant­wort­li­che, also das Unter­neh­men selbst, muss das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten erstel­len. Übli­cher­wei­se wird die Auf­ga­be an die Ver­tre­ter der jewei­li­gen Fach­be­rei­che dele­giert. Der Daten­schutz­be­auf­trag­te unter­stützt meist, um den Pro­zess mög­lichst schlank und effi­zi­ent zu gestalten.