PLANIT//LEGAL
Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs. 1
Das Verzeichnis von Verarbeitungstätigkeiten ist die datenschutzrechtliche Prozessdokumentation des Verantwortlichen. Es macht Sinn, sich bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten etwas Zeit zu nehmen und ein intelligentes System zu schaffen, das die Unternehmensprozesse in angemessener Detailtiefe abbildet, um über die Erfüllung von Dokumentationspflichten hinaus eine sinnvolle Grundlage für die weitere Datenschutz-Organisation und -Dokumentation zu schaffen. Ein gutes Verzeichnis von Verarbeitungstätigkeiten erfasst wie ein Netz alle Unternehmensprozesse und enthält Informationen, die so komprimiert sind, dass sich das Verzeichnis von Verarbeitungstätigkeiten mit vertretbarem Aufwand aktuell halten lässt.
Was ist eine Verarbeitungstätigkeit? Beispiele inklusive
Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten ist eine gesetzliche Pflicht, die sich aus Art. 30 Abs. 1 DSGVO ergibt. Das Verzeichnis von Verarbeitungstätigkeiten besteht aus der Dokumentation einzelner Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Prozesse, also eine Abfolge von einzelnen Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Wie viele Einzeltätigkeiten in einer Verarbeitungstätigkeit zusammengefasst werden, kann relativ frei definiert werden. Es ist also möglich, Prozesse zu einer großen Verarbeitungstätigkeit zusammen zu fassen oder getrennt abzubilden. Das klassische Beispiel einer Verarbeitungstätigkeit ist die Personaldatenverarbeitung – aber dazu unten mehr.
Wer braucht ein Verfahrensverzeichnis?
Grundsätzlich muss jeder Verantwortliche ein Verzeichnis der Verarbeitungstätigkeiten führen, also jedes Unternehmen und jede Behörde. Es gibt Ausnahmen von der Dokumentationspflicht für kleine Unternehmen mit weniger als 250 Beschäftigten, die aber mit Vorsicht zu genießen sind und im Ergebnis nur selten relevant werden. Denn es gibt Rückausnahmen, also Fälle, in denen auch diese kleinen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen müssen, nämlich wenn kleine Unternehmen
- regelmäßige Verarbeitungen durchführen, die ein Risiko für Rechte und Freiheiten der Betroffenen bedeuten (das ist öfter der Fall, als man es vermuten könnte);
- Verarbeitungen besonderer Datenkategorien (z.B. von Gesundheitsdaten) durchführen (auch das ist in den meisten Unternehmen der Fall);
- Verarbeitungen über strafrechtliche Verurteilungen und Straftaten durchführen (das dürfte selten der Fall sein).
Im Ergebnis sind also praktisch alle Unternehmen und Behörden verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Selbst wenn das einmal nicht der Fall sein sollte, sind sie zur Einhaltung des Datenschutzrechts verpflichtet und müssen das wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO auch dokumentieren. Jedenfalls dafür macht es Sinn, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, weil es die übliche Dokumentation ist, die eine Datenschutzbehörde kennt und erwartet.
Wer erstellt das Verfahrensverzeichnis?
Die Pflicht zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten liegt bei dem Verantwortlichen, also der natürlichen oder juristischen Person, die ein Unternehmen führt bzw. bei einer Behörde. Nach der internen Organisation muss das Management oder die Behördenleitung sicherstellen, dass ein Verzeichnis von Verarbeitungstätigkeiten erstellt wird. Diese Personen dürfen die Erstellung natürlich delegieren. Das macht Sinn und ist gängige Praxis. Management bzw. Behördenleitung müssen dann nur noch kontrollieren bzw. sich berichten lassen, dass ein Verzeichnis der Verarbeitungstätigkeiten erstellt ist und regelmäßig gepflegt wird.
In der Praxis wird die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten häufig an Datenschutzbeauftragte oder eine Datenschutzabteilung delegiert. Diese koordinieren die Erstellung, indem sie das entsprechende Dokument anlegen und die Informationsbeschaffung durch die Fachabteilungen anstoßen, indem diese zu Interviews eingeladen werden, in Fragebögen Informationen zuliefern oder direkt in das Dokument einpflegen. Für diesen Prozess macht Softwareunterstützung natürlich Sinn, um Informationen effizient zusammen zu tragen und zu konsolidieren.
Was gehört in ein Verfahrensverzeichnis?
Die Inhalte des Verzeichnisses der Verarbeitungstätigkeiten ergeben sich aus Art. 30 Abs. 1 DSGVO. Es sind:
- Name und die Kontaktdaten des Verantwortlichen;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
- Fristen für die Löschung;
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Je nachdem, wie man das Verzeichnis der Verarbeitungstätigkeiten für die Datenschutz-Organisation und -Dokumentation nutzt, ist es zweckmäßig, weitere Informationen dort zu sammeln, wie
- eingesetzte IT-Infrastruktur
- eingesetzte Software
- Ergebnis der Prüfung, ob eine Datenschutzfolgenabschätzung erfolgen muss
- etc.
Gibt es „Standardverfahren“?
Es gibt „Standardverfahren“, die für alle oder die meisten Verantwortlichen eine Rolle spielen. Das sind z.B. Verfahren zur Verarbeitung von Kundendaten, zur Buchhaltung oder zum Betrieb einer Webseite. DER Klassiker der Verarbeitungstätigkeiten ist natürlich die Personaldatenverarbeitung. Sie ist in praktisch jedem Unternehmen und in jeder Behörde zu finden. In kleineren Unternehmen mit wenig Personal und wenig Aktivität und Komplexität, kann es sinnvoll sein, eine Verarbeitungstätigkeit „Personaldatenverarbeitung“ zu definieren und im Verzeichnis der Verarbeitungstätigkeiten abzubilden. In größeren Unternehmen mit komplexeren Personalprozessen hingegen ist es sinnvoll, das Thema zu splitten und getrennt abzubilden, etwa in Verarbeitungstätigkeiten für „Recruiting“, „Payroll“, „Personalentwicklung“, etc.
In vielen Fällen lässt sich eine sinnvolle Dokumentation mit ca. 15 Verarbeitungstätigkeiten abbilden. Deutlich mehr oder deutlich weniger Verarbeitungstätigkeiten können ein Indiz für eine zu komplexe bzw. zu wenig detaillierte Dokumentation sein.
Sinnvolle Standardverfahren für euer Verzeichnis der Verarbeitungstätigkeiten findet ihr in unserer kostenlosen Vorlage.
Wie sieht ein Muster eines Verfahrensverzeichnisses aus?
Muster für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten enthalten die Pflichtangaben gemäß Art. 30 Abs. 1 DSGVO (siehe oben). Gute Muster enthalten darüber hinaus weitere Angaben, die für eine sinnvolle Datenschutz-Organisation und -Dokumentation benötigt werden.
Hier geht’s zum Download von unserem Muster.
