Das Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis steht im Mittelpunkt Ihrer Organisation des Datenschutzes und ist eine Pflichtaufgabe für jeden Verantwortlichen.

Worum geht‘s?

Offiziell führt das Verarbeitungsverzeichnis gemäß Art. 30 DSGVO den Namen „Verzeichnis der Verarbeitungstätigkeiten“. Gern wird es kürzer als Verarbeitungsverzeichnis und noch knackiger als VVT abgekürzt. (Vor der DSGVO lief es unter dem Namen „Verfahrensverzeichnis“.)

Wie man es auch nennt, stets geht es darum, sich einen Überblick über die personenbezogenen Daten und deren Verarbeitung im Unternehmen zu verschaffen. Hierfür ist es ein geeignetes Werkzeug und Basis für den Aufbau des Datenschutzes in Ihrem Unternehmen. Beispielsweise können Sie im Fall eines Auskunftsverlangens eines Kunden im Verarbeitungsverzeichnis nachsehen, wo Kundendaten erhoben, verarbeitet und weitergegeben werden, und eine entsprechende Auskunft erstellen.

Muss das denn sein?

Auch auf die Gefahr hin, Ihnen jegliche Illusion zu rauben: Ja, es muss sein. Nach Art. 30 DSGVO besteht die grundsätzliche Pflicht hierzu. Nur in wenigen Ausnahmefällen kann von der Erstellung abgesehen werden und auch die im Gesetz genannte Grenze von 250 Mitarbeitenden, ab der erst eine Pflicht besteht, führt in der Praxis zu keiner Entlastung für Kleinunternehmen. Dies liegt daran, dass ein Verarbeitungsverzeichnis in jedem Unternehmen zu führen ist, wenn die Verarbeitung von personenbezogenen Daten regelmäßig erfolgt, was im heutigen digitalisierten Geschäftsalltag (z. B. bei Personalaktenführung, Nutzung von Kundendatenbanken, Versand des Newsletters) praktisch immer der Fall sein dürfte.

Die Pflicht trifft sowohl Sie selbst als Verantwortlicher hinsichtlich der eigenen Verarbeitungsprozesse als auch für den Fall, dass Sie im Auftrag als Dienstleister Daten für ein anderes Unternehmen verarbeiten und insoweit als sog. Auftragsverarbeiter tätig werden.

  • Art. 30 Abs. 1 S. 1, Art. 4 Nr. 7 DSGVO – Pflicht des Verantwortlichen, ein Verzeichnis zu führen
  • Art. 30 Abs. 2, Art. 7 Nr. 8 DSGVO – Pflicht des Auftragsverarbeiters, ein Verzeichnis zu führen
  • Art. 30 Abs. 3 DSGVO – Verzeichnis ist schriftlich zu führen, elektronisches Format möglich
  • Art. 30 Abs. 4 DSGVO – Verzeichnis ist jederzeit auf Anfrage den Aufsichtsbehörden zur Verfügung zu stellen
  • Art. 83 Abs. 4 a DSGVO – Bußgeld
  • Erwägungsgrund 82 – Form des Verzeichnisses

Kann das nicht Ihr Datenschutzbeauftragter erledigen?

Die Pflicht zur Führung des Verarbeitungsverzeichnisses obliegt der Unternehmensleitung. Eine Delegation an den Datenschutzbeauftragten erfolgt in der Praxis häufig, insbesondere bei internen Datenschutzbeauftragten. Schließlich wird beim Datenschutzbeauftragten eine entsprechende Kompetenz erwartet, sodass es für die Unternehmensleitung sinnvoll ist, diese zu nutzen. Die Delegierung an den Datenschutzbeauftragten wird jedoch zum Teil kritisch gesehen, da dieser in erster Linie nicht die ganze Arbeit der verantwortlichen Unternehmensleitung übernehmen soll, sondern für die Beratung und Prüfung zuständig ist.

For your Eyes only – oder wer wirft einen Blick darauf?

Das Verarbeitungsverzeichnis muss zwar Dritten nicht zur Einsicht vorgelegt werden, jedoch kann die Aufsichtsbehörde im Fall einer Kontrolle die Einsicht verlangen, um sich selbst einen Überblick über die Datenverarbeitung in Ihrem Betrieb zu verschaffen.

Auch wenn die Aufgabe auf den ersten Blick lästig erscheint, sollten Sie sie nicht auf die lange Bank schieben. Können Sie der Aufsichtsbehörde auf Verlagen kein oder nur ein unzureichendes Verarbeitungsverzeichnis vorlegen, droht Ihnen ein Bußgeld von bis zu 2 % des Jahresumsatzes.

Sie wollen mehr wissen?

 

Wo fangen Sie an?

Zunächst ist es wichtig, die unterschiedlichen datenrelevanten Prozesse im Unternehmen zu identifizieren und diese dann im Verarbeitungsverzeichnis abzubilden. Sie müssen also klären, welche Daten woher zu Ihnen kommen, warum Sie diese Daten verarbeiten und wie sie weiterverarbeitet werden, wohin die Daten fließen und insbesondere, ob sie zu Dritten abwandern. Um das Verzeichnis zu erstellen, ist also eine Zusammenarbeit mit den einzelnen Bearbeitern der Daten notwendig. Und nicht vergessen: Entscheidend ist die Verarbeitung personenbezogener Daten.

Bringen Sie Ihr Verarbeitungsverzeichnis in Form

Die Form dieses Verzeichnisses ist frei wählbar, das Gesetz macht hierzu keine formellen Vorgaben. Es kann herkömmlich auf Papier oder zeitgemäß in digitaler Form geführt werden. Viele Aufsichtsbehörden oder auch beratende Ausschüsse haben in den letzten Jahren verschiedene Vorlagen und Muster dazu veröffentlicht. Mögliche Formen sind:

  • elektronisch im Rahmen eines Managementsystems
  • in Tabellenform (XLSX)
  • als Einzelblattsammlung
  • Kombinationen aus Tabelle und Einzelblatt

Für Selbstständige und kleine Unternehmen empfiehlt sich eine einfache und übersichtliche Erstellung in Tabellenform, da die Datenverarbeitungsvorgänge sich erfahrungsgemäß in Grenzen halten.

Wenn Sie ein digitales Format wählen, achten Sie darauf, dass es in ein Standardformat (z. B. PDF) exportiert werden kann. Andernfalls könnten Probleme bestehen, bei Anforderung seitens der Aufsichtsbehörde das Verzeichnis auch lesbar vorlegen zu können.

Das Verzeichnis muss die Verarbeitungstätigkeiten detailliert, systematisiert und geordnet darstellen und eine zeitliche Zuordnung ermöglichen. Sind Sie ein international ausgerichtetes Unternehmen und kommunizieren im Unternehmen gern auf Englisch oder einer anderen europäischen Sprache, so können Sie das Verzeichnis auch in Ihrer Arbeitssprache erstellen. (Ggf. müsste es dann bei Prüfung durch die Aufsichtsbehörde übersetzt werden.)

Die Stiftung Datenschutz bietet eine entsprechende Vorlage an. Sie können auch gern den Schritt 02 unserer Datenschutz-Grundausstattung abarbeiten, um ihr Verarbeitungsverzeichnis zu erstellen.

 

Schritt für Schritt
Überblicken

Was kommt rein? Der Inhalt des Verarbeitungsverzeichnisses

Pflicht und Kür

Die Mindestinhalte des Verzeichnisses sind gesetzlich festgelegt. Wir setzen Sie nachfolgend kurz ins Bild. Wie Sie im Detail das Verzeichnis erstellen, können Sie unter Schritt 02 unseres Fahrplans erfahren.

Pflicht

  • Verarbeitungstätigkeit und ihr Zweck
  • Kategorien der personenbezogenen Daten
  • Kategorien der betroffenen Personen, über die Daten verarbeitet werden
  • Kategorien der Empfänger
  • Angaben zu Übermittlungen in Länder außerhalb der EU / des EWR (Drittland)
  • Löschfristen
  • Datensicherheitsmaßnahmen (TOM)

Kür

  • intern verantwortliche Abteilung und Person
  • Rechtsgrundlage(n) für die Verarbeitung
  • Bezeichnung der eingesetzten IT-Systeme
  • nähere Angaben zur Datenverarbeitung (z. B. erstmalige Aufnahme der Verarbeitung)
  • Angaben zur Erfüllung der Informationspflichten bezüglich der Verarbeitungstätigkeiten

Verantwortlicher und Datenschutzbeauftragter
  • Zunächst müssen Sie am besten auf dem Deckblatt des Verzeichnisses Ihr Unternehmen als Verantwortlichen samt Kontaktdaten aufführen.
  • Ist für Sie ein Datenschutzbeauftragter aktiv, ist dieser ebenfalls mit Kontaktdaten anzugeben.
  • Sofern eine gemeinsame Verantwortlichkeit​​​​​​​​​​​​​​ besteht, ist diese zu erfassen. Besteht diese nur für ausgewählte Verarbeitungen, ist dies zu kennzeichnen.

Verarbeitungstätigkeit und ihr Zweck

Jede Verarbeitung ist einzeln zu erfassen. Der Begriff der Verarbeitungstätigkeit orientiert sich am Zweck der Datenverarbeitung und meint einen je nach verfolgtem Zweck vorgenommenen Geschäftsprozess, der meist auch mehrere einzelne Verarbeitungsvorgänge sowie mehrere verbundene Zwecke umfasst. Beispiele sind Kundenverwaltung, Buchhaltung, Webseitenbetrieb, Einstellungsprozess, Videoüberwachung des Firmengeländes. Mehrere Softwareapplikationen, die zu demselben Zweck – z. B. Lohn-​/Gehaltsabrechnung – verwendet werden, können also zum selben Verfahren gehören.

Die zu erfassende Verarbeitungstätigkeit ist unabhängig davon, ob sie automatisch oder nur manuell (z. B. Karteikartensystem) erfolgt. Probleme ergeben sich in der Frage, wie detailliert die Prozesse abzubilden sind. Am Anfang der Erstellung empfiehlt es sich, dabei einen gröberen Maßstab anzusetzen, um sich nicht in Details zu verlieren. Schließlich soll das Verarbeitungsverzeichnis als Übersicht dienen. Eine zu große Detailtiefe kann insoweit hinderlich sein. In jedem Fall müssen die Angaben so detailliert sein, dass die betreffenden Verarbeitungsvorgänge allein anhand des Verzeichnisses kontrolliert werden können. Die Bezeichnung der Verarbeitungstätigkeit sollte daher auch eindeutig und selbsterklärend sein. Zulässig ist die Zusammenfassung von Arbeitsabläufen oder Prozessen in einem Verfahren, beispielsweise zum Prozess der Bewerberverwaltung oder Kundenbetreuung.

Kategorie der betroffenen Personen

Es ist anzugeben, wessen Daten verarbeitet werden. Hierbei sind jedoch nicht die konkreten Personen anzugeben, sondern eine Gruppe der Personen anhand gleicher Merkmale zu bilden und zu bezeichnen (= Kategorie), wie z. B. Beschäftigte, Kunden, Interessenten u. ä.

Kategorie der zu verarbeitenden Daten

Die verarbeiteten Daten müssen Sie nicht einzeln benennen, sondern auch hier Kategorien bilden. Es ist daher aus Daten mit gemeinsamen Merkmalen eine Kategorie zu bilden und diese im Verzeichnis anzugeben. Hierbei sollten jedoch nicht zu grobe Bezeichnungen wie „Kundendaten“ verwendet werden, da sonst unklar bleibt, was darunter im Konkreten zu verstehen ist. Beispiele sind: Kontaktdaten (Name, Anschrift, Telefon, E-Mail), Beschäftigtenstammdaten (Kontaktdaten, Geburtsdatum, Bank, Sozialversicherung), Lieferantendaten. Auch Kategorien technischer Daten, wie Metadaten, Protokolldaten sind anzugeben, sofern Sie Personenbezug aufweisen.

Kategorie von Empfängern

Auch etwaige Empfänger der Daten sind nicht im Einzelnen namentlich zu benennen, sondern wiederum in Kategorien nach gemeinsamen Merkmalen zu gruppieren.

  • Als Empfänger sind sowohl Dritte als auch Auftragsverarbeiter zu verstehen. (Oft werden auch interne Abteilungen angegeben.)
  • Nicht nur sind Stellen anzugeben, denen aktiv personenbezogene Daten übermittelt werden, sondern auch Stellen, die Zugriffsmöglichkeiten auf die Daten erhalten.
  • Als Empfänger sind alle Stellen zu erfassen, denen gegenüber die Daten bereits offengelegt wurden und auch solche, denen die Daten noch planmäßig offengelegt werden. 
  • Beispiele sind: Lieferanten, Subdienstleister, Rechenzentrum, Kunden, Versicherung.

Vorliegen einer besonderen Erlaubnis der Übermittlung in Drittländer nach Art. 49 DSGVO

Sofern Sie Daten in sog. Drittländer, das heißt in Länder außerhalb der EU / des EWR, oder an eine internationale Organisation übermitteln, ist prinzipiell Vorsicht geboten. Sie sollten eine aufmerksame Prüfung vornehmen. Nur unter speziellen Voraussetzungen ist eine grenzüberschreitende Übermittlung erlaubt.

Tiefergehende Infos zur Problematik erhalten Sie in unserer Handreichung Internationaler Datentransfer der Stiftung Datenschutz.

Werden Daten in ein Drittland übermittelt, müssen Sie den Empfänger und das Empfängerland angeben und ggf. Angaben zu geeigneten Garantien machen.

Löschfristen der verschiedenen Datenkategorien

Im Verzeichnis sind Angaben zu den vorgesehen Aufbewahrungs- bzw. Löschfristen zu machen. Diese Angaben beziehen sich auf die jeweiligen im Verarbeitungsverzeichnis abgebildeten Verarbeitungstätigkeiten. Um sich die Arbeit zu erleichtern, können Sie in Ihrem aufzustellenden Löschkonzept die entsprechenden Fristen erfassen und im Verarbeitungsverzeichnis auf das Löschkonzept verweisen.

Technische und Organisatorische Maßnahmen (TOM)

Die Verarbeitung von personenbezogenen Daten muss abgesichert erfolgen. Hierzu sind im Unternehmen sog. „technische und organisatorische Maßnahmen“ (Abk. TOM) zu erstellen. Sie können dann im Verarbeitungsverzeichnis auf die dort konkret niedergelegten Maßnahmen verweisen. Nur wenn für eine einzelne Verarbeitungstätigkeit eine spezielle oder abweichende Sicherheitsmaßnahme besteht, die nicht in den TOM abgebildet ist, müssen Sie diese im Verzeichnis benennen.

Inspiration anhand von Beispielen

Beispielverzeichnisse oder veröffentlichte Verzeichnisse von Firmen und Institutionen können Ihnen ein Gefühl für die Erfassung von Verarbeitungstätigkeiten vermitteln. Wir empfehlen den Blick in Beispielverzeichnisse zu werfen, welche die Aufsichtsbehörden veröffentlichen. Ein gutes Beispiel bietet der Europäische Datenschutzbeauftragte (European Data Protection Supervisor – EDPS) mit seinem online einsehbaren Verzeichnis.

EDPS-Verzeichnis

Des Weiteren finden Sie typische Verarbeitungstätigkeiten in unserer Vorlage unter Arbeitshilfen, die Sie bei der Erstellung des Verzeichnisses übernehmen und ggf. anpassen können.

Ein Beispiel für eine regelmäßige Verarbeitungstätigkeit ist die Kundenverwaltung. Zwecke hierfür können z. B. Auftragsabwicklung, Inkasso, Buchhaltung sein. Folgende beispielhaften Verarbeitungstätigkeiten dürften in den meisten Firmen anfallen und wären im Verzeichnis zu erfassen:

  • Kundenverwaltung
  • Buchhaltung und Kasse
  • Newsletter-Management
  • Pflege des Social-Media-Auftritts
  • Webseitenbetrieb
  • Videokonferenz
  • Personalverwaltung

Für Ihre interne Übersicht können Sie das Verarbeitungsverzeichnis neben den Pflichtangaben mit zusätzlichen Informationen für den internen Gebrauch ergänzen, z. B. konkreten Sicherheitsmaßnahmen. Im Fall einer Prüfung legen Sie jedoch nur das Verarbeitungsverzeichnis mit den Pflichtangaben ohne diese zusätzlichen Informationen vor.

Basiswissen
Löschen
Basiswissen
Datensicherheit

Halten Sie das Verzeichnis aktuell

Haben Sie einmal das Verzeichnis erstellt, ist die Hauptarbeit hierzu erledigt. Es darf jedoch nicht in Vergessenheit geraten. Das erstellte Verzeichnis sollte mindestens jährlich überprüft und wenn notwendig aktualisiert werden. Die Verarbeitungsprozesse und die Betroffenen ändern sich regelmäßig – sei es, weil Sie die Daten, statt sie wie bisher auf Ihrem Server zu speichern, nun in eine Cloud auslagern wollen, oder weil Sie neue Kundenkreise mit geänderter Datenerfassung erschließen wollen. Das einmal erstellte Verzeichnis ist stets aktuell zu halten und turnusmäßig zu überprüfen. Neue Prozesse müssen in das Verzeichnis eingepflegt werden und alte, eingestellte Verarbeitungen herausgenommen werden. Behalten Sie das Verzeichnis also stets im Auge.

Wie geht‘s weiter?

Schritt 02
Überblicken: Verarbeitungsverzeichnis anpacken