Das Verzeichnis von Verarbeitungstätigkeiten hat unter der Datenschutz-Grundverordnung (DSGVO) eine herausragende Bedeutung. In unserer Einführung beantworten wir Ihnen alle Fragen rund um Erstellung und Führung des Verzeichnisses von Verarbeitungstätigkeiten.
Was ist der Unterschied zwischen einem Verfahrensverzeichnis und einem Verzeichnis von Verarbeitungstätigkeiten?
Das Bundesdatenschutzgesetz alter Fassung (BDSG a. F.) schrieb in § 4g Abs. 2 und 2a vor, ein detailliertes internes Verfahrensverzeichnis zu führen. Darüber hinaus war eine allgemeine öffentliche Übersicht (Jedermannsverzeichnis) bereitzuhalten. Damit wurde eine Vorgabe der Art. 18 und 19 der damals geltenden EU-Datenschutz-Richtlinie (95/46/EG) umgesetzt. Zusätzlich regelten §§ 4d und 4e BDSG a. F. Meldepflichten von manchen Unternehmen an die Aufsichtsbehörde.
Mittlerweile ergibt sich die Verpflichtung zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten direkt aus der DSGVO. Die Unterscheidung zwischen internem und öffentlichem Verzeichnis ist dabei weggefallen. Vor dem Hintergrund der neu hinzugekommenen Informationspflichten nach Art. 13 f. DSGVO muss das Verzeichnis Betroffenen nicht mehr zugänglich gemacht werden. Betroffene sind stattdessen proaktiv über die Verarbeitung ihrer personenbezogenen Daten aufzuklären (siehe unsere Generatoren für Kundeninformationsschreiben und Mitarbeiterinformationsschreiben).
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?
Die DSGVO weitet die Nachweispflichten bei der Verarbeitung personenbezogener Daten gegenüber den bisherigen Anforderungen nach deutschem Recht deutlich aus. Nach Erwägungsgrund 82 DSGVO soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten führen.
Verantwortlich für das Erstellen und Führen eines Verarbeitungsverzeichnisses ist
- der Verantwortliche ( 30 Abs. 1 DSGVO) sowie
- jeder Auftragsverarbeiter für die von der Auftragsverarbeitung umfassten Verfahren (Art. 30 Abs. 2 DSGVO).
Gibt es Ausnahmen von der Pflicht, das Verzeichnis zu führen?
Eine gewisse Erleichterung gibt es (zumindest im Gesetzestext) für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern. Diese könnten laut Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit sein, sofern die Verarbeitungen von personenbezogenen Daten
- kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen,
- nur gelegentlich erfolgen oder
- keine besonderen Datenkategorien gemäß 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten) oder strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO betreffen.
Da nur eine dieser Fallgruppen für eine Pflicht zur Verzeichnisführung erfüllt sein muss, werden nur wenige Unternehmen und Einrichtungen von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten entbunden sein. Vor allem die Ausnahme, dass die Verarbeitung nur gelegentlich erfolgen darf, wird dazu führen, dass ein Verzeichnis praktisch doch immer geführt werden muss. So erfolgen z.B. Lohn- und Gehaltsabrechnungen regelmäßig und nicht nur gelegentlich und da dabei auch Religions- und Gesundheitsdaten (Krankheitstage) betroffen sind, wird in praktisch allen Unternehmen und Einrichtungen ein Verzeichnis für Verarbeitungstätigkeiten erforderlich sein.
Wozu dient das Verzeichnis von Verarbeitungstätigkeiten?
Allgemein dient das Verzeichnis der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens. Konkret werden damit zwei Zwecke verfolgt:
Einerseits ermöglicht das Verzeichnis von Verarbeitungstätigkeiten, dass die zuständige Aufsichtsbehörde sich jederzeit über alle Verarbeitungen personenbezogener Daten informieren kann. Deshalb ist das Verzeichnis auf Anfrage der Behörde unmittelbar bereitzustellen (Art. 30 Abs. 4 DSGVO und Erwägungsgrund 82 DSGVO).
Andererseits stellt das Verzeichnis von Verarbeitungstätigkeiten die zentrale Unternehmensdokumentation dar, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen. Da eine allgemeine Nachweis- und Dokumentationspflicht für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten in den Vordergrund rückt, wird das Verzeichnis von Verarbeitungstätigkeiten in Zukunft eine große Rolle spielen, um diese Anforderungen zu erfüllen.
Was muss ein Verzeichnis von Verarbeitungstätigkeiten enthalten?
Ein Verzeichnis von Verarbeitungstätigkeiten umfasst alle Verarbeitungstätigkeiten personenbezogener Daten. Es enthält also beliebig viele Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Aus der Dokumentation muss hervorgehen, welche personenbezogene Daten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten dabei getroffen wurden.
Hierzu empfiehlt sich eine Übersicht aller im Unternehmen eingesetzten Anwendungen und Tools (IT-Verfahren und Dateien), in denen personenbezogene Daten verarbeitet werden, zu erstellen. Typische Beispiele sind Zeiterfassungssysteme, E-Mailverarbeitungen, CRM-Systeme, Personalverwaltung und Websitebesucheranalysen.
Unsere kostenlose Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten zeigt Ihnen, wie Sie das Dokument konkret aufbauen sollten.
Wie ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen?
Die Beschreibung der Datenverarbeitungen sollte so konkret erfolgen, dass die Aufsichtsbehörde sich einen guten Überblick über die Arten von Daten, angewendete Sicherheitsmaßnahmen und Restrisiken machen kann.
Das Verzeichnis der Verarbeitungstätigkeiten ist gemäß Art. 30 Abs. 3 schriftlich oder in elektronischer Form (Textform) zu führen. Da nach deutschem Verwaltungsverfahrensrecht die Amtssprache Deutsch ist, sollte das Verzeichnis in deutscher Sprache geführt werden. Internationale Unternehmen mit Englisch als Unternehmenssprache müssen demnach gegebenenfalls Übersetzungen anfertigen, sofern die Aufsichtsbehörde die Einsicht anfragt und auf eine deutsche Version besteht.
Welche Sanktionen drohen bei fehlendem Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis kann durch die zuständige Aufsichtsbehörde jederzeit angefordert werden. Es drohen empfindliche Bußgelder, falls das Verzeichnis von Verarbeitungstätigkeiten nicht oder unvollständig vorliegt. Entsprechende Strafen dürften sich im Rahmen von bis zu 10 Mio. Euro oder bis zu 2 % des Jahresumsatzes bewegen (Art. 83 Abs. 4a DSGVO). Wird ein Verstoß gegen die Rechenschaftspflicht gem. Art. 5 Abs. 2 angenommen, können die Bußgelder noch deutlich höher ausfallen.
Weitere Tipps und kostenlose Vorlagen finden Sie in unserem Special zum Thema.