Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO

Mit dem Verzeichnis der Verarbeitungstätigkeiten löst die Datenschutzgrundverordnung DSGVO das Verfahrensverzeichnis des Bundesdatenschutzgesetzes ab.

 

Das Datenschutzverzeichnis nach der DSGVO

Schon lange herrscht in Deutschland die Pflicht zum Führen eines Verfahrensverzeichnisses. Dies schreibt das Bundesdatenschutzgesetz (BDSG) vor. Darin wird besonders beschrieben, wie und warum personenbezogene Daten in einem Unternehmen erhoben, verarbeitet und weitergegeben werden.

Die aktuelle Europäische Datenschutzgrundverordnung (DSGVO) löst diese Verzeichnisse ab und ersetzt sie durch ein Verzeichnis von Verarbeitungstätigkeiten. Ab dem 25. Mai 2018 müssen alle Auftragsverarbeiter ein solches Verzeichnis führen (§ 4 Nr. 8 DSGVO). Dies gilt für jedes Unternehmen (und sogar Privatpersonen), die in irgendeiner Form personenbezogene Daten erheben. Damit dürfte eigentlich jedes Unternehmen betroffen sein.

Typische Verarbeitungstätigkeiten

Je nach Tätigkeitsbereich fallen unterschiedliche Verarbeitungstätigkeiten an. Bei den folgenden Verarbeitungstätigkeiten ist der Bereich jeweils vorangestellt:

  • Marketing: Durchführung eines Gewinnspiels, Rückrufservice, Webtracking.
  • Personalwesen: Arbeitssicherheit, elektronische Zeiterfassung, Urlaubsplanung, Verbandbuch.
  • IT-Management: VOIP (Voice over IP), IT-Administration, Home-Office, elektronisches Adressbuch, E-Mail-Archivierung, Backups.

Auskunft über gespeicherte Daten

Das Verzeichnis betrifft alle personenbezogenen Daten, die in einem Dateisystem gespeichert sind. Solch ein Dateisystem ist eine strukturierte Sammlung von Daten, also entweder eine digitale Datei auf einem Speichermedium wie einer Festplatte oder eine Sammlung von Akten mit abgehefteten Blättern. Als Verzeichnis gelten sie dabei unabhängig davon, ob die Daten automatisiert, teilautomatisiert oder händisch gespeichert werden.

Die Aufsichtsbehörde kann alle Verzeichnisse dieser Art anfordern. Sie müssen dann in angemessener Zeit auf Deutsch zur Verfügung gestellt werden. Es gilt die Schriftform. Eine digitale Bereitstellung, etwa als PDF-Dokument, ist zulässig. Allerdings kann die Aufsichtsbehörde festlegen, in welcher Form – ausgedruckt oder digital – sie die Daten erhalten möchte.

Pflicht für Webseitenbetreiber

Änderungen sind zu dokumentieren und ein Jahr lang vorzuhalten. Diese Rechenschaftspflicht ergibt sich auch aus § 5 Abs. 2 DSGVO. Jedes Unternehmen mit einer Webseite ist dadurch quasi zum Führen eines DSGVO-Verzeichnisses verpflichtet, weil die Verarbeitung personenbezogener Daten auf Websites zwangsläufig für jeden Besucher erfolgt. Weitere Infos hierzu stehen im Artikel zu IP-Adressen als personenbezogenes Datum.

Inhalt des Verzeichnisses

Das Verzeichnis der Verarbeitungstätigkeiten muss alle Informationen zu Tätigkeiten der Verarbeitung personenbezogener Daten enthalten. Dabei ist es egal, ob diese Verarbeitung automatisch, manuell oder in einer Mischform betrieben wird.

Je nach Umfang der Dokumentation kann es sinnvoll sein, die Verzeichnisse entsprechend zu gliedern. Den genauen Inhalt regelt § 30 Abs. 1 S. 2 a-g DSGVO. Alle Angaben im Verzeichnis müssen dieser Vorgabe folgen. Die folgenden Informationen müssen dokumentiert werden:

Namen und Kontaktdaten

Aufgeführt werden müssen postalische und elektronische Adressdaten sowie die telefonische Erreichbarkeit von Verantwortlichen, von Vertretern für Drittstaaten und eines Datenschutzbeauftragten, sofern einer vorhanden ist.

Zwecke der Datenverarbeitung

Verarbeitete Daten liegen meist in unterschiedlichen Einzelverzeichnissen vor. Dies sind zum Beispiel

  • Personalakten,
  • Abwesenheitslisten,
  • Vertreterlisten,
  • Gehaltsabrechnungen oder
  • Zuständigkeiten und Tätigkeitsfelder.

Für jedes einzelne Verzeichnis müssen die Zwecke eindeutig und transparent festgelegt werden, damit eine Aufsichtsbehörde prüfen kann, ob diese zulässig sind. Auch getroffene Schutzmaßnahmen wie abschließbare Büros oder Ausweiskontrollen an der Eingangstür müssen daraus hervorgehen.

Kategorien von Personen und Daten

Alle Kategorienbetroffener Personen und personenbezogener Daten müssen genannt werden. Für Personenkategorien sind dies zum Beispiel:

  • Mitarbeiter
  • Auftragsverarbeiter
  • Kunden
  • Lieferanten
  • Besucher der Website
  • Newsletter-Abonnenten

 

Für Datenkategorien sind dies unter anderem:

  • Adressdaten
  • Bankverbindungen
  • Kontaktdaten
  • Umsatz
  • Bonität
  • Lieferkonditionen
  • Zahlungskonditionen

Kategorien von Empfängern

Auch die Empfänger personenbezogener Daten sind in Kategorien zu gliedern und zu nennen. Solche Empfängerkategorien sind zum Beispiel:

  • Steuerberater
  • Banken
  • Mitarbeiter
  • Kunden
  • Lieferanten
  • Vertriebsmitarbeiter
  • Webmaster / Webagentur
  • Finanzamt

Ein Empfänger kann auch Teil des Unternehmens sein, etwa eine Abteilung oder eine Zweigstelle. Neben diesen Empfängerangaben müssen besonders Zugriffsberechtigte eindeutig in ihrer Rolle genannt werden. Wenn keine Empfänger in Drittländern existieren, sollte dies ausdrücklich erwähnt werden. Eventuell vorhandene Empfänger müssen genannt werden. Auch ein Server im Drittland kann solch ein Empfänger sein, wenn dort Daten gelagert werden. Insbesondere sind hier Webhosting oder Cloud-Lösungen zu nennen. Dabei sind nicht nur aktuelle und zukünftige, sondern auch frühere Empfänger zu benennen.

Datenübermittlung in Drittländern

In diesem Bereich gibt es keine unterschiedlichen Empfängerkategorien. Für alle Empfänger müssen geeignete Garantien dokumentiert werden, dass sie sich an die Datenschutzrichtlinien der EU halten. Dies ist einer der Gründe, weshalb wir empfehlen, auf den Gebrauch von Google Analytics zu verzichten. Daraus entstehend Pflichten und Gefahren im Rahmen der DSGVO, die weit höher sind als der Nutzen gegenüber Tools wie Piwik.

Speicherdauer / Löschfristen

Für jede Datenkategorie sind die Löschfristen anzugeben, also der Zeitraum, nachdem die Daten nicht weiter gespeichert werden. Hier müssen sowohl gesetzliche Aufbewahrungs- und Löschfristen genannt werden wie auch selbst festgelegte Fristen. Allgemeine Angaben reichen nicht aus, die Zeiträume müssen konkret benannt werden.

Technische und Organisatorische Maßnahmen

Technische und Organisatorische Maßnahmen, oft mit TOM abgekürzt, enthalten Verweise auf vorhandene Dokumente und Konzepte, die eine adäquate Datenverarbeitung sicherstellen. Dazu muss ein Sicherheitskonzept vorliegen. Standarddatenschutzmodelle sind anzugeben. Typische Bestandteile der TOM sind:

  • Verschlüsselung von Daten
  • Backup-Mechanismen
  • Pseudonymisierung und Anonymisierung von personenbezogenen Daten
  • Fail-Over-Mechanismen (etwa zur Vermeidung von Unverfügbarkeiten)
  • Verfahren zur Sicherstellung der TOMs

Auftragsverarbeiter

Jeder Auftragsverarbeiter muss ein eigenes Verzeichnis führen. Allerdings sind dort wesentlich weniger Informationen nötig. Es besteht aus Namen und Kontaktdaten, Beschreibungen zur Verarbeitung von Daten, Übermittlung an Drittländer und TOMs.

Empfehlungen

Schauen Sie sich zunächst die wichtigsten Prozesse in Ihrem Unternehmen an und gestalten Sie diese so, dass möglichst keine Konflikte mit der DSGVO entstehen können.

Anschließend kümmern Sie sich um die weniger wichtigen Prozesse. In jedem Fall sind die erwähnte Vereinbarung zur Auftragsverarbeitung mit Dritten (AV-Vertrag) und ein Datenschutz-Management-System nötig. Für Ihre Arbeitserleichterung gibt es ein paar gute Systeme auf dem Markt. Diese erklären Schritt für Schritt, was genau zu tun ist. Sehr gute Hilfestellung gibt das Datenschutz-Management-Handbuch mit zahlreichen Vorlagen (Excel, Word), Hintergrundinfos und Entscheidungshilfen.

2019-09-17T16:08:15+02:00