Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)
- Datenschutz-Managementsystem nach DSGVO in Word, Excel oder Online
- Verzeichnis von Verarbeitungstätigkeiten, TOM, Risikoanalyse uvm.
- Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche
Ein Verfahrensverzeichnis (jetzt: Verzeichnis von Verarbeitungstätigkeiten, kurz VVT) besteht aus bestimmten, im Gesetz geregelten Punkten. Diese sollten alle eingehalten werden, um das Verzeichnis von Verarbeitungstätigkeiten formal korrekt aufzustellen.
In diesem Artikel erfahren Sie:
- Was sind die Mindestinhalte für ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO?
- Wie fülle ich das Verfahrensverzeichnis in der Praxis aus?
- Was sind zusätzliche Bestandteile, die Sie gleich mit abarbeiten können?
- Die vier häufigsten Fragen zum Verarbeitungsverzeichnis nach DSGVO.
Inhalte
- Die Inhalte gemäß Art. 30 DSGVO und § 70 neues BDSG
- Die Inhalte des Verfahrensverzeichnisses in der Praxis
- Diese Bestandteile können Sie direkt bei der Erstellung mit abarbeiten
- Was sind die Folgen, wenn kein VVT erstellt wird?
- Die wichtigsten Fragen zum Muster Verzeichnis von Verarbeitungstätigkeiten
- Resümee: das Verzeichnis von Verarbeitungstätigkeiten nach Datenschutzrecht und neuem BDSG ist umfangreich, aber machbar.
- Quellen
Die Inhalte gemäß Art. 30 DSGVO und § 70 neues BDSG
Die DSGVO und das neue BDSG benennen sieben Pflichtbestandteile (Buchstaben a) – e) im Gesetz) eines Verzeichnises von Verarbeitungstätigkeiten, welche grundsätzlich alle aufzunehmen sind.
Das Vorwort oder Hauptblatt
den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
Art. 30 (1) a) DSGVO
Hier müssen die Kontaktdaten des Verantwortlichen angegeben werden, also die Adresse des Unternehmens und deren Vertreter, bzw. Niederlassung oder Zweigstelle. Sollte kein Hauptsitz in der EU bestehen, so muss ein Vertreter in der EU benannt werden. Dessen Adresse muss auch angegeben werden.
Darüber hinaus muss ein externer oder interner Datenschutzbeauftragter angegeben werden, insofern er bestellt ist. Sollte keiner bestellt worden sein (dies ist auch nicht immer nötig), so ist der Verantwortliche für die Einhaltung des Datenschutzes verantwortlich.
Das eigentliche Verarbeitungsverzeichnis
Ab hier beginnt das eigentliche Verzeichnis der Verarbeitungen.
Im Folgenden werden die einzelnen gesetzlichen Formulierungen zitiert, dies dient dem besseren Verständnis. Einen umfangreichen Artikel mit Beispielen von Verarbeitungstätigkeiten nach EU-Datenschutz-Grundverordnung finden Sie hier.
die Zwecke der Verarbeitung;
Art. 30 (1) b) DSGVO
Es muss der Zweck angegeben werden. Z.B. das Verfahren Reisekostenabrechnung hat den Zweck „Abrechnung und Verwaltung von Dienstreisen“. Hier soll geprüft werden, ob das Verfahren auch zweckmäßig und angemessen ist.
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
Art. 30 (1) c) DSGVO
Das Gesetz verlangt hier Kategorien von Betroffenen und Daten zu nennen, d.h. es muss keine Einzelaufstellung von Betroffenen und Daten durchgeführt werden. Für das Reisekosten-Beispiel wäre es also ausreichend als Betroffenenkategorie nur “Beschäftigte” anzugeben und als Datenkategorien “Reisedaten” und “Arbeitnehmerstammdaten“ aufzunehmen. In der Praxis wäre es allerdings angeraten, die personenbezogenen Daten genau zu benennen, dies erleichtert das Datenschutzmanagement erheblich.
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
Art. 30 (1) d) und e) DSGVO
Dieser Abschnitt des Gesetzes behandelt die Empfänger der personenbezogenen Daten, also die Frage, wem die Daten „geschickt“ werden. Empfänger können innerhalb der Organisation liegen (z.B. gewisse Abteilungen) oder außerhalb (z.B. E-Mail Dienstleister, Zweigstellen). Darüber hinaus müssen Transfers in Drittländer besonders dokumentiert werden, denn grundsätzlich wird angenommen, dass in Ländern außerhalb der EU kein angemessenes Schutzniveau vorherrscht und deswegen geeignete Garantien ausgehandelt werden müssen.
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
Art. 30 (1) f) DSGVO
Das Löschen von Daten nimmt einen wichtigen Platz in der DSGVO ein. Das Recht auf Vergessenwerden, welches in der DSGVO verankert ist, kommt auch im Verfahrensverzeichnis zum Ausdruck. Es müssen also die üblichen Fristen für die Löschung der Daten festgehalten werden. Dies sollte für jedes Verfahren einzeln aufgeschlüsselt werden. So hat das Verfahren “Reisekostenabrechnung” (ggf. mehrere Jahre) andere Löschfristen als das Verfahren “Videoüberwachung” (meistens wenige Tage). Ein weiterer praktikabler Weg ist, auf ein umfangreiches Löschkonzept zu verweisen und im VVT direkt keine oder nur allgemeine Löschfristen aufzuführen.
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Art. 30 (1) g) DSGVO
Zur Wahrung der Sicherheit der Verarbeitung gem. Artikel 32 (1) DSGVO sollten sog. technische und organisatorische Maßnahmen (TOM) ergriffen und kodifiziert werden. Diese sollten für alle Verarbeitungen gelten und ggf. für einzelne Verfahren angepasst bzw. erweitert werden. Meinstens bietet es sich hier an, einfach auf die TOM zu verweisen, welche an anderer zentraler Stelle verwaltet werden.
Zusätzliche Bestandteile
Zusätzlich zu den oben genannten Angaben, muss gem. neuem BDSG auch die Rechtsgrundlage genannt werden, auf die sich die Verarbeitung bezieht.
Mit den rein gesetzlichen Inhalten ist es aber theoretisch nicht getan. Es muss außerdem ein Datenschutzsystem nachgewiesen werden, also es muss auch dokumentiert werden, wie allgemein die Prozesse strukturiert sind im Unternehmen. Werden Mitarbeiter geschult? Was sind die Ziele bzgl. Datenschutz im Unternehmen?
Die Inhalte des Verfahrensverzeichnisses in der Praxis
Die gesetzlichen Regelungen sind natürlich bindend, allerdings kann es in der Praxis effizienter sein, das Verfahrensverzeichnis in fünf logische Teile aufzuspalten:
- Hauptblatt
- Das eigentliche Verzeichnis
- Risikoanalyse
- Technische und organisatorische Maßnahmen
- Löschkonzept
Der Hauptblatt besteht demnach aus an sich unveränderlichen Informationen und sollte auf die erste Seite des Verzeichnisses von Verarbeitungstätigkeiten:
- Anschrift und Vertreter der verantwortlichen Stelle
- Ggf. Niederlassung in der EU
- Informationen zum Datenschutzbeauftragten
- Verweis auf die technischen und organisatorischen Maßnahmen
- Grundsätzliches Datenlöschungskonzept, welches für alle Verfahren gilt
- Grundsätzliches Vorgehen bei Übermittlungen in Drittstaaten
Danach kommt das eigentliche Verfahrensverzeichnis:
- Bezeichnung des Verfahrens
- Name der eingesetzten Tools oder Dienstleistung
- Datum des Beginns der Nutzung des Verfahrens
- Datum der letzten Überprüfung des Verfahrens
- Verantwortliche Abteilung innerhalb des Unternehmens
- Name und Kontaktdaten des Verantwortlichen innerhalb des Unternehmens
- Zwecke der Verarbeitungstätigkeit
- Betroffenengruppen
- Datenpunkte / -kategorien
- Empfänger / Kategorien von Empfängern
- Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage)
- Übermittlung Drittstaaten
- Spezielle Löschfristen
- Spezielle technische und organisatorische Maßnahmen
- Unterschrift des Verantwortlichen.
Im Anschluss wird jedes Verfahren einer Risikoanalyse unterzogen und einschätzt, ob eine Datenschutz-Folgenabschätzung nötig ist oder nicht.
Zum Schluss sollten die allgemeinen technischen und organisatorische Maßnahmen aufgeführt werden.
Auf das Löschkonzept wird ja bereits im Hauptteil hingewiesen.
Diese Vorgehensweise wirkt etwas über das gesetzliche Maß hinausgehend, erleichtert aber das Datenschutzmanagement ungemein.
Diese Bestandteile können Sie direkt bei der Erstellung mit abarbeiten
Wenn Sie Ihre Dokumente erstellen, bietet es sich an ein Paar zusätzlich Dokumente direkt mit zu erstellen.
- Erfassung Ihrer Auftragsverarbeiter
- Eigene Verarbeitungen im Auftrag
- Eingegangene Betroffenenanfragen
- Meldepflichtige und nicht-meldepflichtige Datenpannen
- Datenschutzkonzept
- Datenschutzrelevante Mitarbeiter, Standorte, DV-Anlagen, Software
- Einwilligungsdatenbank
- Schulungsnachweise
Was sind die Folgen, wenn kein VVT erstellt wird?
Die Folgen, wenn kein korrektes Verfahrensverzeichnis nach Anfrage der Behörde vorgelegt werden kann, sind verheerend. So können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Dies ist umso ärgerlicher, wenn man bedenkt, wie leicht ein Verfahrensverzeichnis erstellt werden kann.
Die wichtigsten Fragen zum Muster Verzeichnis von Verarbeitungstätigkeiten
Es müssen tatsächlich alle Verarbeitungstätigkeiten aufgeführt werden, welche in Ihrem Unternehmen vorkommen. Dies können bei kleinen Unternehmen wenige sein, bei großen bis zu 100.
Gehen Sie hier ruhig ins Detail, dies macht sich bei einer Prüfung positiv bemerkbar.
Grundsätzlich nicht. Das Gesetz schreibt dies nicht vor. Sie können Ihr Verzeichnis von Verarbeitungstätigkeiten z.B. komplett in Excel oder Word führen.
Es bietet sich aber an, dass die Verantwortlichen durch Ihre Unterschrift noch einmal auf die Wichtigkeit des Themas eingeschworen werden.
Eigentlich nicht. Sie haben umfangreiche Rechenschaftspflichten lt. DSGVO, diese können Sie am besten einhalten, wenn Sie ausführlich dokumentieren, was Sie für den Datenschutz tun.
Das hängt maßgeblich von der Größe Ihres Unternehmens ab. Mit Recherche, Abstimmung mit anderen Abteilungen und Freigabeprozess kann dies monate dauern. Mit vorausgefüllten Vorlagen nur wenige Stunden.
Wenn Sie z.B. ein Kleinstbetrieb ohne Mitarbeiter sind, dauert es wahrscheinlich nur wenige Stunden.
Ein Verzeichnis von Verarbeitungstätigkeiten ist das Verzeichnis aller datenschutzrechtlich relevanten Verarbeitungstätigkeiten, welches der Verantwortliche nach DSGVO zu führen hat. Das Verzeichnis von Verarbeitungstätigkeiten wird in Art 30 DSGVO definiert.
Ein Verarbeitungsverzeichnis ist lediglich ein anderes Wort für das in Art 30 DSGVO definierte Verzeichnis von Verarbeitungstätigkeiten.
Als Verfahrensverzeichnis wird das Verzeichnis aller DSGVO-relevanten Verarbeitungstätigkeiten (kurz: Verfahren) bezeichnet. Es ist lediglich eine andere Bezeichnung für das Verzeichnis von Verarbeitungstätigkeiten.
Arten von Daten werden gemäß DS-GVO in sog. Datenkategorien geordnet. Es gibt sehr viele Arten von Daten, wie z.B. Kundendaten, Metadaten, Nutzungsdaten, Textdaten, Sprachdaten, Leistungsdaten, Geburtsdaten.
Der Verantwortliche ist für das Führen des Verfahrensverzeichnisses zuständig. Er steht auch für die Korrektheit ein und muss es auf Verlangen der Datenschutzbehörde aushändigen können. Ein Irrglaube ist, der Datenschutzbeauftragte sei für die Erstellung und die Aktualisierung verantwortlich.
Resümee: das Verzeichnis von Verarbeitungstätigkeiten nach Datenschutzrecht und neuem BDSG ist umfangreich, aber machbar.
Wenn Sie sich an die im Gesetz geschaffenen Vorgaben halten und einige praktische Tipps befolgen, sind Sie auf einem guten Weg, Ihre Dokumentation nach DSGVO und damit auch Ihr Verzeichnis von Verarbeitungstätigkeiten gut zu erstellen.
Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)
- Datenschutz-Managementsystem nach DSGVO in Word, Excel oder Online
- Verzeichnis von Verarbeitungstätigkeiten, TOM, Risikoanalyse uvm.
- Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche
Quellen
https://dsgvo-gesetz.de/art-30-dsgvo/