20.05.2019

▷ Datenschutzgerechtes Verfahrens­verzeichnis: So geht’s nach DSGVO

Das frühere Verfahrensverzeichnis heißt nun Verzeichnis der Verarbeitungstätigkeiten. Was verlangt die Datenschutz-Grundverordnung (DSGVO) von einem Verzeichnis der Verarbeitungstätigkeiten? Welche Inhalte muss es haben, damit Verantwortliche ihren Dokumentationspflichten gerecht werden?

Verfahrensverzeichnis DSGVO

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Artikel 30 der Datenschutz-Grundverordnung (DSGVO / GDPR) nennt die Anforderungen an ein Verzeichnis von Verarbeitungstätigkeiten, früher „Verfahrensverzeichnis“ genannt.

Der Name ist aber nicht die einzige Änderung im Vergleich zum Verfahrensverzeichnis, wie es aus dem früheren Bundesdatenschutzgesetz (BDSG-alt) bekannt ist.

Mit der Datenschutz-Grundverordnung (DSGVO) entfällt die Pflicht, jedermann das (öffentliche) Verfahrensverzeichnis auf Antrag in geeigneter Weise verfügbar zu machen. Es gibt in der DSGVO kein öffentliches Verfahrensverzeichnis mehr.

Ein internes Verzeichnis von Verarbeitungstätigkeiten nach DSGVO müssen sowohl Verantwortliche für den Datenschutz als auch Auftragsverarbeiter führen.

Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Es gibt einige Ausnahmen von der Pflicht, das Verzeichnis zu führen (Art. 30 Abs. 5 DSGVO). Doch für die meisten Unternehmen greifen diese Ausnahmen nicht.

Das Verzeichnis ist in erster Linie dafür gedacht, es auf Anfrage der zuständigen Datenschutz-Aufsichtsbehörde vorzulegen.

Und Achtung: Es ist nicht der Datenschutzbeauftragte, der das Verzeichnis führen muss, sondern der Verantwortliche. Sonst besteht die Gefahr, dass sich der Datenschutzbeauftragte selbst kontrolliert.

Was muss im Verzeichnis von Verarbeitungstätigkeiten stehen?

Das gehört in die Verarbeitungsübersicht bei Verantwortlichen

Als Bestandteile für ein Verzeichnis von Verarbeitungstätigkeiten, das der Verantwortliche führt, nennt die DSGVO in Art. 30 Abs. 1:

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien für den Datenschutz
  • wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Das gehört in die Verarbeitungsübersicht bei Auftragsverarbeitern

Auftragsverarbeiter führen ebenfalls ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.

Als Bestandteile dieses Verfahrensverzeichnisses nennt die DSGVO in Art. 30 Abs. 2 insbesondere:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).

Welche Bedeutung hat das Verzeichnis von Verarbeitungstätigkeiten?

Arbeitsunterstützung statt Mehrarbeit

Das Verzeichnis ist nicht nur eine gesetzliche Verpflichtung.Und es dient nicht nur dazu, es im Ernstfall einer Prüfung der Datenschutz-Aufsicht vorzulegen.

Ein Verzeichnis von Verarbeitungstätigkeiten ist auch ein wichtiges Werkzeug für interne Datenschutz-Kontrollen und die Information von Dritten, also von betroffenen Personen, Stichwort „Informationspflichten„.

So gibt eine Verarbeitungsübersicht insbesondere darüber Auskunft,

  • welche personenbezogenen Daten
  • unter Verwendung welcher automatisierten Verfahren
  • auf welche Weise verarbeitet werden und
  • welche Datenschutzmaßnahmen die Prozesse schützen.

Damit hilft das Verzeichnis der Verarbeitungstätigkeiten auch dabei, die Betroffenenrechte umzusetzen, etwa das Recht auf Auskunft.

Denn nur so bekommt ein Verantwortlicher wirklich einen Überblick, an welcher Stelle er welche Daten wie verarbeitet.

Welche Schritte führen zur Verarbeitungsübersicht?

Um ein wirklich brauchbares Verzeichnis der Verarbeitungstätigkeiten zu erstellen, sind folgende Schritte nötig:

  • Zuerst geht es um einen Überblick über alle Zwecke, zu denen ein Verantwortlicher Daten verarbeitet. Denn die Datenverarbeitungszwecke führen zu den jeweiligen automatisierten Verfahren.
  • Dann geht es darum, eine Liste aller Fachverfahren und Software-Anwendungen aufzustellen, die personenbezogene Daten verarbeiten.
  • Im dritten Schritt erfolgt eine Verknüpfung zwischen Fachverfahren, Softwareapplikation und Datenverarbeitungszwecken.
  • Sodann geht es darum, die jeweils betroffenen Personengruppen und Datenkategorien feststellen,
  • mögliche Datenempfänger zu ermitteln,
  • die Löschfristen zu definieren
  • und geplante Datenübermittlungen an Drittstaaten festzuhalten.

Pflege des Verzeichnisses nicht vergessen!

Es darf nicht in Vergessenheit geraten, das Verzeichnis regelmäßig zu pflegen. Die verantwortliche Stelle muss aktiv bleiben, um das Verzeichnis aktuell zu halten.

Genauso wie Unternehmen die Prozesse im Qualitätsmanagement oder Sicherheitsmanagement regelmäßig überprüfen und aktualisieren müssen, ist dies auch mit den Verfahren im Datenschutz.

Was ist jetzt zu tun?

Prüfen Sie, wie die verantwortliche Stelle im Unternehmen das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO umgesetzt hat.

Sie finden Unterstützung zum Beispiel bei dieser Checkliste: Bestandteile des Verfahrensverzeichnisses nach DSGVO

Lesen Sie zum Verzeichnis der Verarbeitungstätigkeiten auch folgende Beiträge:

Anzeige
EU-konformes Verfahrensverzeichnis

Ihr EU-konformes Verfahrensverzeichnis – erstellen Sie mit einer modernen Software eine lückenlose, rechtssichere Dokumentation über alle Datenverarbeitungen in Ihrem Unternehmen, die Sie jederzeit den Aufsichtsbehörden vorlegen können.

Jetzt testen!

 

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)