Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Verzeichnis der Verarbeitungs­tätigkeiten

Verzeichnis der Verarbeitungstätigkeiten: Können Sie diese 6 Fragen positiv beantworten?

Verzeichnis der Verarbeitungs­tätigkeiten: Der Überblick

Einleitung

Als Unternehmen müssen Sie zahlreiche Gesetze befolgen und Auflagen umsetzen – das ist auch im Datenschutz nicht anders. Ein Verzeichnis der Verarbeitungstätigkeiten ist die Basis für nahezu alle anderen gesetzlichen Vorgaben der DSGVO.

Das Geheimnis der Umsetzung: Wer soll die Dokumente wie und wann erstellen? Wem trauen Sie diese Aufgabe zu? Einer Person oder jedem Fachbereich selbst? Macht das vielleicht die IT-Abteilung? die kennt sich doch sowieso mit Daten aus. Aber die IT-Abteilung soll den operativen Betrieb sicherstellen. Die anderen Kolleginnen und Kollegen müssten sich erst einarbeiten

Was ist das Verzeichnis der Verarbeitungstätigkeiten eigentlich genau, wie detailliert und womit muss das dokumentiert werden? Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Verzeichnis der Verarbeitungstätigkeiten: Das Fundament

Wenn das Verzeichnis der Verarbeitungstätigkeiten nicht oder nicht vollständig dokumentiert wird: Wie können Sie die darauf aufbauenden Pflichten, wie zum Beispiel das Recht der betroffenen Personen auf Auskunft oder die Informations­pflichten Ihres Unternehmens erfüllen? Wenn das Verzeichnis wiederum zu detailliert ist: Werden jetzt unnötige Aufwände erzeugt für die Erstellung und die laufende Pflege?

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?

Die Höhe variiert von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2 % vom Vorjahres­umsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.

Das Verzeichnis der Verarbeitungs­tätigkeiten: Wofür soll das gut sein?

Der Gesetzgeber hat vorgesehen, dass das jeweilige Unternehmen das Verzeichnis der Verarbeitungs­tätigkeiten zunächst für sich selbst erstellen muss. Die Geschäfts­prozesse sind aus Datenschutzsicht zu beschreiben. Eine intensive Auseinander­setzung aus einer Datenschutz­sicht ist erforderlich, um die nächsten Pflichten zu erfüllen.

Meist fallen dann schon bei der Ist-Aufnahme Abläufe auf, die in der Vergangenheit nicht korrekt gemacht wurden. Manche Unternehmen haben ihre Datenflüsse oder alle Empfänger selbst nicht dokumentiert.

Denken Sie an die Folgeaufgaben!

Die Umsetzung eines zum Beispiel Löschkonzeptes oder ein Auskunftsbegehren könnten so nicht fachgerecht umgesetzt werden.

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäfts­leitung: Machen wir im Bereich Verzeichnis der Verarbeit­ungs­tätigkeiten alles richtig? Dann stellen Sie Ihrem Personal oder dem Daten­schutz­beauftragten die folgenden Fragen und lassen sich entsprechende Nach­weise vorlegen.
compliance-im-datenschutz

Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Detailwissen für die Erstellung.

Sie wollen in 4 Schritten ein Verzeichnis der Verarbeitungs­­tätigkeiten erstellen? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. zeitnah beantwortet werden können?

In 4 Schritten zum Verfahrensverzeichnis

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie Ihr Verzeichnis der Verarbeitungs­tätigkeiten erstellen, aktuell halten und der Aufsichtsbehörde zukommen lassen.

Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht.

Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen werden die erforderlichen Informationen abgefragt, um das Verzeichnis der Verarbeitungstätigkeiten im Entwurf zu erstellen. 

Beachten Sie das Risiko für die betroffenen Personen!

Die Anzahl der zu erstellenden Dokumente sind abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Das Wissen für die Erstellung einer fachgerecht erstellten Dokumentation sollten Sie nicht durch interne Beschäftigte ohne Unterstützung aufbauen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.

Schritt 2. Festlegung des Formates des Verzeichnisses der Verarbeitungstätigkeiten

Dann legen Sie fest, in welcher Form die Dokumente in Ihrem Unternehmen abgelegt werden sollen. Auch Vorlagen kann man nutzen; Anpassungen sind jedoch immer notwendig. Die Erstellung des Grundgerüsts ist der Schlüssel für Übersicht und geringen Aufwand.

Sie haben ein internes Dokument­ations­system, zum Beispiel ein Wikipedia, ein Dokumenten­management­system, Google Drive, eine NextCloud, ein Qualitäts­management­system, Microsoft Teams / SharePoint oder den klassischen Aktenordner. Oder Sie bevorzugen doch lieber Word- oder Excel-Dokumente?

Oder sie möchten doch lieber ein externes Daten­schutz­­management­system nutzen, um das Verzeichnis der Verarbeitungs­­tätigkeiten zu dokumentieren. Das hat diverse Vorteile. Überlegen Sie aber gut, ob Sie sich in eine Abhängigkeit begeben wollen. 

Ich biete ebenfalls eine Plattform an, um Unternehmen zu unterstützen. Die meisten Mandanten bevorzugen jedoch eigene IT-Systeme im Haus, weil die Benutzung bei den Beschäftigten bereits bekannt ist.

Schritt 3: Passen Sie das Verzeichnis der Verarbeitungstätigkeiten an Ihre Organisation an.

Jetzt werden weitere Informationen zum Unternehmen genutzt, wie zum Beispiel das Organigramm oder eine Übersicht über die Fachbereiche und Ansprech­partner. Dann erfolgen kurze Interviews mit den Personen, die Ihre Geschäft­sprozesse am besten kennen.

Bei einfachen Prozessen dauert das ca. 20 Minuten, bei komplexen kann es länger dauern. Ich entwerfe eine Übersicht aller Geschäftsprozesse sowie die Detaildokumente in Ihrem gewünschten Format und ggf. direkt in Ihrem IT-System.

Das VVT folgt dabei den Fach­bereichen bzw. Geschäfts­prozessen im Unternehmen. Erstellen Sie keine Verzeichnisse für Verarbeitungs­tätigkeiten für IT-Systeme, insbesondere nicht, wenn diese für mehrere Geschäfts­prozesse eingesetzt werden.
Der Fokus bleibt auf dem Geschäftsprozess. Komplexe und lange Verarbeitungsketten sind ggf. entsprechend ihrem Umfang und der Zwecke aufzuteilen – die Kunst der guten Balance zwischen Trans­parenz und Detailgrad ist umso wichtiger, je umfang­reicher der Geschäfts­prozess ist.

Der Fachbereich erteilt dann die Freigabe für den Entwurf des Detaildokumentes. Restaktivitäten, wie zum Beispiel Angaben zu der Speicherdauer, werden ggf. nachgelagert erstellt.

Schritt 4: regelmäßige Aktualisierung vom Verfahrensverzeichnis

Sie müssen jetzt noch einen Prozess einrichten, um nachweisen zu können, dass das Verzeichnis der Verarbeitungstätigkeiten auch aktuell bleibt? Ergänzen Sie in der Übersicht der Verarbeitungstätigkeiten ein Datum für die Wiedervorlage.

Dokumentieren Sie die Änderungshäufigkeit!

Eine erneute Sichtung des Verzeich­nisses in einem Jahr oder bei grund­legenden Änderungen sind der nächste Schritt, bei der die Version angepasst oder noch verfeinert wird. Idealer­weise dokumentieren Sie sämtliche Anweisungen in einem Daten­schutz-Hand­buch oder in einer Datenschutzrichtlinie.

Verzeichnis der Verarbeitungstätigkeiten – Wie geht es weiter?

Setzen Sie mit diesen Informationen nun weitere Anforderungen um, wie zum Beispiel die Informationspflichten, die Prüfung der Auftragsverarbeiter, die Betroffenenrechte, die technischen und organisatorischen Maßnahmen (TOMs) oder das Löschkonzept.

Je umfangreicher die Geschäfts­prozesse sind, desto wichtiger wird es, die Risiko­bewertung der Verarbeit­ungen aus Sicht der Betroffenen zu erstellen. Dies ist immer eine erforderliche Notwendig­keit. Aber nur, wenn Sie darlegen, wie das Risiko für Betroffene bewertet wurde, können Sie sich auf die wirklich erforder­lichen Punkte fokussieren.

Setzen SIe jetzt mit dem Wissen weitere Schritte um.

Gehen Sie das Thema nun an. So können Sie auch begründen, warum die Wiedervorlage bei einigen Themen nur alle zwei Jahre durchgeführt werden muss, wie zum Beispiel die regelmäßige Prüfung Ihrer Auftragsverarbeiter.

Weitere Vorgehensweise beim Datenschutz
Sie benötigen Unterstützung beim Verzeichnis der Verarbeitungs­tätigkeiten? Melden Sie sich gerne.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Weitere Details zum Verfahrens­verzeichnis

Der Begriff der Verarbeitungstätigkeit

Eine Verarbeitungs­tätigkeit ist aus Sicht des Daten­schutzes ein Geschäfts­prozess, in dem personen­bezogene Daten von natürlichen Personen verarbeitet werden. Als Beispiel kann dies ein Bewerbungs­management sein.
Der Begriff der Verarbeitung in der DSGVO ist sehr umfang­reich und erstreckt sich von der Quelle (personen­bezogene Daten werden erhoben) über jegliche Nutzung der Daten bis hin zur Löschung. Der Begriff umfasst also den gesamten Lebens­zyklus der Daten.

Für den Datenschutz sind nur Verarbeitungs­­tätigkeiten interessant, in denen personen­bezogene Daten verarbeitet werden. Das ist in den Geschäfts­prozessen der Unter­nehmen fast immer der Fall. Im Bewerber­management werden aber nicht nur personen­­bezogene Daten der Bewerber selbst, sondern auch Daten der eigenen Beschäftigten im Rahmen des Bewerbungs­prozesses verarbeitet.

Diese Informationen werden im Verzeichnis der Verarbeitungs­­tätigkeiten dokumentiert. Ist das Unternehmen selbst als Auftrags­verarbeiter aktiv, ist pro Dienstleistung ebenfalls ein Verzeichnis der Verarbeitungs­tätigkeiten für Auftragsverarbeiter zu erstellen.

PFLICHT ZUR DOKUMENTATION FÜR JEDES UNTERNEHMEN

Es gibt nur ein paar geringe Ausnahmen, die aber in den meisten Fällen nicht zutreffen. Hat ein Unternehmen weniger als 250 Beschäftigte, dann könnte eine Pflicht zum Verzeichnis der Verarbeitungs­­tätigkeiten bestehen, wenn die Verarbeitung keine Risiken für Betroffene darstellen und die Verarbeitung nicht regelmäßig besteht. Bei besonders sensiblen Daten, wie zum Beispiel Gesundheits­­daten, entfällt die Freistellung.

Sorgen Sie für ein solides Fundament!

details-verzeichnis-der-verarbeitungstaetigkeiten

Sprache und Inhalte des Verzeichnisses der Verarbeitungstätigkeiten

Für jedes Unternehmen ist das Verzeichnis (früher auch Verfahrens­verzeichnis) das Fundament der Datenschutz-Dokumentation. Damit kann der Verantwortliche nachweisen, dass er sich um die Umsetzung der gesetzlichen Pflichten gekümmert hat. Eine Formvorgabe, wie die Erstellung zu erfolgen hat, besteht jedoch nicht. Die Pflichtinhalte wurden jedoch festgelegt.

Als Verantwortlicher für die Datenverarbeitung

Als Auftragsverarbeiter der Datenverarbeitung

Gerade IT-Dienstleister müssen regelmäßig ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 2 DSGVO erstellen. Sie benötigen kurzfristig Unterstützung zu dem Thema?

Verfahrensverzeichnis: Ergänzende Informationen

Wenn Sie schon dabei sind, sollte das Verfahrensverzeichnis um weitere Angaben angereichert werden. Sie gehören eng zu der Verarbeitungstätigkeiten und werden später benötigt bzw. fallen bei der Erstellung an.

Vermeiden Sie aber eine Doppeldokumentation!

Finden Sie anbei ein paar Ergänzungen als Anregungen, die ebenfalls häufig im Verfahrensverzeichnis aufgenommen werden – aus gutem Grund.

Ich habe Verzeichnisse von Verarbeitungs­­tätigkeiten gesehen, die im Fließtext beschrieben worden sind. Der Text kann dann in den Informations­pflichten den betroffenen Personen nahezu 1:1 zur Verfügung gestellt werden. Ich finde die Übersichtlichkeit nicht optimal, damit kann aber sicherlich zusätzlicher Aufwand eingespart werden.

Empfänger des Verzeichnisses der Verarbeitungstätigkeiten

Mir fallen spontan 4 Empfängerkreise für das Verzeichnis der Verarbeitungs­tätigkeiten ein:

Wenn Aufsichtsbehörden Hinweise auf ein Fehlverhalten bekommen, ist ihre Aufgabe, dem Hinweis nachzugehen. Diese Aufgabe wird meist wahrgenommen. Ein Anschreiben an das Unternehmen ist schnell erstellt. Dann erhält das Unternehmen eine Aufforderung zur Stellungnahme eines Sachverhaltes. Dies ist üblicherweise mit der Anforderung verbunden, das Verzeichnis der Verarbeitungstätigkeiten und ggf. noch weitere Informationen zur Verfügung zu stellen. Dafür hat das Unternehmen in der Regel 1- bis 2 Wochen Zeit.

Auch Gerichte können das Verzeichnis der Verarbeitungstätigkeiten bei einem Gerichtsverfahren anfordern.

Für den Datenschutzbeauftragten ist das VVT eine Basis seiner Prüftätigkeiten.

Sofern Sie ein Auftragsverarbeiter sind, können die Verantwortlichen Unterlagen anfordern und zur Eignungsprüfung verwenden.

Was muss bei einem Anschreiben einer Aufsichtsbehörde beachtet werden?

In Abhängigkeit vom Sachverhalt kann dies zu hektischer Betriebsamkeit und Aufwänden führen. In einer Urlaubsphase oder Hochsaison ist eine zeitnahe Erstellung ohne Fachkenntnisse nicht immer möglich. 

Mein Tipp: Buchen Sie eine fachkundige externe Datenschutzberatung mit ausreichenden Kapazitäten.

Das Anschreiben der Behörde zu missachten, ist keine gute Idee. Ggf. steht dann eine Betriebsprüfung vor Ort an, in dem Sie alle Informationen zum Sachverhalt auf den Tisch legen müssen. Eventuell kann noch Akteneinsicht oder Aufschiebung wegen einer Urlaubssituation fordern, aber auch das sollte gut überlegt sein – die Aufsichtsbehörde schaut nun möglicherweise genauer hin. 

Spätestens wenn die Aufsichtsbehörde ein Bußgeldverfahren einleitet, kann ich Ihnen folgendes Buch empfehlen: Härting/Konrad DSGVO im Praxistest. Das Buch hat mir und meinen Mandanten schon sehr viel weitergeholfen.

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?

Die Höhe variiert von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2 % vom Vorjahresumsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, lernen und anpassen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Auch beim Verzeichnis der Verarbeitungstätigkeiten gibt es einen stetigen Verbesserungsprozess durch regel­mäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.

Bleiben SIe aktuell!

Erstellen auch Sie einen Regelkreis, damit das Verzeichnis der Verarbeitungstätigkeiten korrekt erstellt wird, den richtigen Detailgrad hat, vom Fachbereich freigegeben und aktuell gehalten wird.

Sie benötigen Unterstützung bei dem „Fundament des Datenschutzes“ ?

Plan

Festlegung von Art, Umfang und Form der Verfahrenbeschreibung pro Fachbereich

Do

Festlegung Ansprechpartner, Interview, Entwurf und Freigabe

Act

Aktualisierung und Anpassung des Verzeichnis der Verarbeitungstätigkeiten

Check

Prüfung der Aktualität und Richtigkeit des Verzeichnisses der Verarbeitungstätigkeiten

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen auch in Buchholz in der Nordheide seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – das Verzeichnis der Verarbeitungstätigkeiten effizient und praxisnah gestalten

Ich unterstütze Sie bei der Erstellung Ihrer Dokumentation. Nutzen Sie meine mehrjährige Expertise, um zügig ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen.

Buchen Sie ein entsprechendes Modul oder meine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen.  Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung des Verfahrensverzeichnisses fester Bestandteil.

10 Fragen zum Verzeichnis der Verarbeitungs­tätigkeiten

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Eine konkrete Begriffsdefinition „Verarbeitungstätigkeit“ gibt es im Gesetzestext nicht. Lediglich der Begriff der Verarbeitung wird näher beschrieben.

Der Landesbeauftragte aus Baden-Württemberg (LfDI BaWü) schrieb in ihrem Tätigkeitsbericht 2018 dazu: „Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. 

Es ist ein strenger Maßstab anzulegen, sodass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab. In einem kleinen Unternehmen mit wenigen Mitarbeitern kann zum Beispiel die gesamte Personalverwaltung (inklusive Bewerbungsverfahren und Lohnabrechnung) als eine einzige Verarbeitungstätigkeit gesehen werden. Bei einem mittleren Unternehmen sollte eine stärkere Untergliederung stattfinden, zum Beispiel in Personalgewinnung, Personaleinstellung, Verwaltung des aktuellen Personals, Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten. In einem großen Unternehmen können allein in der Personalabteilung dutzende Verarbeitungstätigkeiten vorliegen, wenn zum Beispiel unterschiedliche Bewerbungsverfahren für Aushilfen, Werkstudierende, Auszubildende, mittlere Angestellte, Führungskräfte und Top-Manager bestehen.

Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Auch der Detailgrad, wie das Verzeichnis der Verarbeitungstätigkeiten beschrieben werden muss, wird nicht näher definiert.

Grundsätzlich kann man sagen: Je höher das Risiko der Verarbeitung ist, desto sorgfältiger und intensiver ist das Verzeichnis der Verarbeitungstätigkeiten zu erstellen.

Typische Verarbeitungstätigkeiten sind zum Beispiel Personalmanagement, Arbeitszeiterfassung, E-Mail-Newsletter, Website, Videoüberwachung, Nutzung spezieller Software oder Geräte, mit denen Mitarbeiterdaten erfasst, gespeichert oder ausgewertet werden (zum Beispiel Zeiterfassungssystem, digitale Personalakten, elektronische Zugangskartensystem, betriebliches Eingliederungsmanagement, GPS-Ortung, Videoüberwachung, Reisekostenabrechnung, Videokonferenzsysteme, telefonische Kommunikation, WLAN oder Auftragsmanagement).

Auf dem Markt gibt es viele verschiedene Anbieter von Vorlagen und Softwareprodukten. In den meisten Fällen reichen aber einfache Excel-Tabellen oder Worddokumente aus. Anregungen sind sicherlich sinnvoll, aber die Vorlagen sind aus meiner Sicht nicht erforderlich und schnell selbst erstellt.
Ich unterstütze Sie bei allen Verarbeitungstätigkeiten – nutzen Sie mein Datenschutzportal zur Unterstützung und wenn Sie Fragen haben, leite ich Sie zum richtigen Ergebnis.
Eine Verarbeitungstätigkeit ist ein Vorgang, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Unter einer Verarbeitung versteht man jeden mit oder ohne Hilfe automatisierter Verfahren durchgeführten Vorgang im Zusammenhang mit personenbezogenen Daten.

  1. Sie dokumentieren Verarbeitungstätigkeiten, die nicht dokumentiert werden müssen: Konzentrieren sich auf Verarbeitungen mit personenbezogenen Daten, also zum Beispiel keine Bilanzen oder rein statistische bzw. anonyme Daten.
  2. Sie dokumentieren zu oberflächlich. Ein Außenstehender kann dann keine Prüfung durchführen: Bleiben Sie konkret.
  3. Sie dokumentieren zu detailliert: Verzetteln Sie sich nicht und halten Sie den Aufwand angemessen.
  4. Sie orientieren sich nicht am Unternehmen selbst und verwenden unternehmensfremde Begrifflichkeiten aus Vorlagen. Ihre Fachabteilungen und ggf. damit betraute Beschäftigte finden sich nicht zurecht: Verwenden Sie Ihre Begrifflichkeiten.
  5. Sie dokumentieren IT-Systeme, statt die eigentlichen Verarbeitungstätigkeiten: Konzentrieren Sie sich auf Ihre Geschäftsprozesse. Also anstatt Microsoft Teams dokumentieren Sie die Verarbeitung „Videokonferenzen“, „Dokumentenablage“, „Aufgabenplanung“, „Telefonie / Telefonkonferenzen“, „Schulungen“ oder „Zusammenarbeit und Kommunikation“, je nachdem wofür Sie das IT-System einsetzen. Ggf. gibt es auch andere IT-Systeme, die für die oben genannten Verarbeitungen verwendet werden.

Zeitpunkt der Erstellung
Das Verzeichnis von Verarbeitungstätigkeiten oder auch Verfahrensverzeichnis ist dann erforderlich, wenn personenbezogene Daten von natürlich lebenden Personen von EU-Bürgern verarbeitet werden.

Ausnahmen gibt es zwar für Unternehmen bis weniger als 250 Beschäftigten, aber nur wenn die personenbezogenen Daten nicht sensibel und die Datenverarbeitung nicht regelmäßig durchgeführt wird. Führen Sie einen neuen Geschäftsprozess – vergessen Sie nicht, parallel gleich das VVT zu erstellen.

Empfängergruppen für das Verzeichnis der Verarbeitungstätigkeiten
Grundsätzlich wird das VVT für das Unternehmen selbst erstellt. Mit der Erstellung zeigt der Verantwortliche, dass er sich mit der Erfüllung der gesetzlichen Vorgaben auseinandergesetzt hat. Dies kann bei Verfehlungen bußgeldmindernd angerechnet werden. Auch für Beschäftigte, die sich in neue Prozesse einarbeiten müssen oder die Verantwortung für den Fachbereich übernehmen, ist das Verfahrensverzeichnis – je nach Erstellung – eine Hilfestellung bei der Einarbeitung in den Prozess.

Empfänger sind die Aufsichtsbehörden oder Gerichte
Das Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen, wenn diese ihren Prüfauftrag wahrnehmen will. Ein möglicher Empfänger ist auch ein Gericht, wenn zur Bewertung einer Ordnungswidrigkeit entsprechende Informationen vorliegen.

Herausgabe an den Datenschutzbeauftragten
Der Datenschutzbeauftragte hat die Aufgabe, die Einhaltung des Datenschutzes zu prüfen. Neben den Prozessbeschreibungen, verwendeten IT-Systemen, Auftragsvereinbarungen, mündlichen Aussagen, Protokollen oder Konzepten ist das Verzeichnis der Verarbeitungstätigkeiten das zentrale Dokument zur Prüfung. Liegt das Verzeichnis nicht vor, ist die Datenschutzkonformität nicht gegeben.

Herausgabe des VVTs des Aufragsverarbeiters an den Verantwortlichen
Auch bei Prüfungen von Auftragsverarbeitern kann es sein, dass der Verantwortliche den Auftragsverarbeiter um das VVT bittet, damit er seine Pflichten wahrnehmen kann. Eine Pflicht zur Herausgabe findet sich im Gesetz nicht direkt.

Das Führen des Verzeichnisses könnte jedoch zur Bestimmung der Eignung des Dienstleisters als Kriterium hinzugezogen werden.

Häufig enthalten Vereinbarungen zu Auftragsverarbeitungen Pflichten zur Führung eines Verzeichnisses von Auftragsverarbeitungstätigkeiten. Angaben zu Drittlandübermittlungen und weitere Empfänger sowie technische und organisatorische Schutzmaßnahmen sind notwendig, um die Datenverarbeitung insgesamt beurteilen zu können.

Der Verantwortliche, also das Unternehmen selbst, muss das Verzeichnis der Verarbeitungstätigkeiten erstellen. Üblicherweise wird die Aufgabe an die Vertreter der jeweiligen Fachbereiche delegiert. Der Datenschutzbeauftragte unterstützt meist, um den Prozess möglichst schlank und effizient zu gestalten.

In der Dokumentation werden folgende Angaben zur Datenverarbeitung aufgelistet, die in Art. 30 DSGVO aufgeführt werden, wie zum Beispiel

  • - Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
  • - Art der Daten (Datenkategorien, also zum Beispiel Personenstammdaten)
  • - Kategorien der Betroffenen (Personenkategorien, also zum Beispiel Bewerber:innen, Beschäftigte, Kunden und Geschäftspartner)
  • - Zwecke der Verarbeitung (also zum Beispiel Bewerbermanagement oder Auftragsmanagement)
  • - Kategorien der Empfänger (also zum Beispiel interne Beschäftigte, Auftragsverarbeiter, Banken, Rechtsberater, Versicherer, Handwerker oder Behörden)
  • - Übermittlungen an Drittländer bei zum Beispiel Microsoft Corporation, USA, mit Angabe von Garantie, wie zum Beispiel EU-Standardvertragsklauseln (Controller – Prozessor)
  • - Löschfristen, wie zum Beispiel 10 Jahre gem. § 257 Handelsgesetzbuch oder das berechtigte Interesse (ggf. mit einem Link zu dem separaten Löschkonzept)
  • - Allgemeine technische und organisatorische Maßnahmen, die zum Schutz der personenbezogenen Daten wesentlich und wirksam etabliert worden sind.

Weitere Informationen sollten Sie im Verzeichnis der Verarbeitungstätigkeiten mit aufnehmen:

  • - Name und Kontaktdaten des Fachbereichsverantwortlichen
  • - Datum des Eintrags/der letzten Änderungen
  • - Mögliche Änderungen der Verarbeitungstätigkeit mit Datum
  • - Rechtsgrundlage pro Zweck
  • - Sofern als Rechtsgrundlage ein berechtigtes Interesse des Verantwortlichen gewählt wurde, sollte die Angabe der konkreten Interessen mit erfolgen. Bei intensiven Datenverarbeitungen ist eine dreistufige Interessenabwägung zu erstellen. Diese Information wird nämlich bei den Informationspflichten wieder benötigt.

Zusätzlich sind auch folgende Angaben sinnvoll, weil diese ein Gesamtbild der Datenverarbeitung ermöglichen:

  • - Nennung der eingesetzten IT-Systeme
  • - Vor- und nachgelagerte Datenverarbeitungen
  • - Nennung der eingesetzten Auftragsverarbeiter
  • - Separate Nennung besonderen Arten personenbezogener Daten nach Art. 9 und 10 DSGVO
  • - Weitere Informationen zur Datenverarbeitung, wie zum Beispiel Prozessbeschreibungen, Screenshots, Hinweise zu verwendeten Einwilligungen, Verträge oder Formulare oder Dienst- oder Betriebsvereinbarungen.

Üblicherweise erfolgt die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten vereinfacht, muss aber für Außenstehende verständlich und stimmig sein. Je größer das Risiko der Verarbeitung für die betroffenen Personen ist, desto gewissenhafter muss die Beschreibung sein. Dabei spielt die Sensibilität der Daten, der Umfang der Daten, die Zahl der Betroffenen, die Erwartbarkeit der Datenverarbeitung, Anzahl und Typen der Empfänger, die Übermittlungen in Drittländer und die Art der Verarbeitung eine wichtige Rolle. Die Zusatzdokumentation kann aber natürlich auch separat erfolgen.

Sollte die Aufsichtsbehörde das Verzeichnis anfordern, überlegen Sie, ob Sie zunächst nur die Pflichtdokumentation zur Verfügung stellen.

Typische Verarbeitungstätigkeiten als Verantwortlicher sind zum Beispiel

  • - Bewerbungsmanagement bzw. Recruiting
  • - On- und Offboarding
  • - Personalaktenführung
  • - Unfallmanagement
  • - Betriebliches Eingliederungsmanagement
  • - Durchführung von Weiterentwicklungsgesprächen
  • - Lohn- und Gehaltsabrechnung
  • - Zeiterfassung (Kommen-/Gehen-Zeiten)
  • - Fuhrparkverwaltung
  • - Reisekostenabrechnung
  • - Kommunikation und Schriftverkehr
  • - Internetzugang für Mitarbeiter
  • - Intranet / Mitarbeiterverzeichnis
  • - Gäste-WLAN
  • - Schulungsmaßnahmen
  • - Betrieb Webseite inkl. sämtlicher datenschutzrelevanter Elemente, wie zum Beispiel Tracking / Reichweitenmessung, Blockkommentare, geschützte Bereiche, Online-Shopping oder Darstellung Karten- und Video, Facebook und Instagram Fanpage, E-Mail-Newsletter
  • - Abonnementen-Verwaltung
  • - Auftrags- und Vertragsabwicklung / Verkauf / Vertrieb
  • - CRM (Kundendatenbank)
  • - Marketing (zum Beispiel Newsletter-Subscriber Listen, Opt-Out-Listen)
  • - Kreditoren- und Debitorenbuchhaltung
  • - Projektmanagement
  • - Schichtplan-Management
  • - Compliance, Arbeitssicherheit, Datenschutz oder Rechtsberatung
  • - Videoüberwachung
  • - usw.

Hinweise und Muster für ein Verzeichnis von Verarbeitungstätigkeiten finden Sie unter folgenden Webseiten:

  1. Datenschutzaufsichtsbehörden (Datenschutzkonferenz – DSK)
  2. Praxishilfe der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) zum Verzeichnis der Verarbeitungstätigkeiten
  3. Muster für ein Verzeichnis von Verarbeitungstätigkeiten für kleine Unternehmen von der Bayerischen Datenschutzbehörde (Vereine, Kfz-Werkstatt, Handwerksbetrieb, Arztpraxis, WEG-Verwaltung, Online-Shop oder Beherbergungsbetriebe)
  4. Bitkom e.V.
  5. Bei der Niehoff-Systemberatung: Nehmen Sie gerne Kontakt auf, ich helfe hier gerne weiter.

Der Aufwand für die erstmalige Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten kann je nach Komplexität, Umfang und Sensibilität der Datenverarbeitung und Größe des Unternehmens stark schwanken. Je häufiger die Datenverarbeitungen angepasst werden, desto häufiger werden auch Anpassungen am Verzeichnis der Verarbeitungstätigkeiten erforderlich sein.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.