DSGVO – Verzeichnis der Verarbeitungstätigkeiten
Die DSGVO verlangt von vielen Verantwortlichen, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Doch welche Angaben müssen Sie darin mit aufnehmen? Und wie detailliert muss die Darstellung Ihrer Geschäftsprozesse sein?
Benötigen Sie ein Verzeichnis der Verarbeitungstätigkeiten?
Als Verantwortlicher sollten Sie prüfen, ob Sie dazu verpflichtet sind, ein sog. „Verzeichnis der Verarbeitungstätigkeiten“ zu führen (Verarbeitungsverzeichnis Art. 30 Abs. 1 DSGVO). Grundsätzlich sind jeder Verantwortliche und neuerdings auch jeder Auftragsverarbeiter (sog. Kategorieverzeichnis nach Art. 30 Abs. 2 DSGVO) verpflichtet, ein solches Verzeichnis zu führen und auf Verlangen der Aufsichtsbehörde zu Verfügung zu stellen. Die Aufsichtsbehörde soll dadurch in die Lage versetzt werden, die Einhaltung der Vorschriften der DSGVO zu kontrollieren. Nach Art. 30 Abs. 5 DSGVO sind sowohl Verantwortliche als auch Auftragsverarbeiter von der Pflicht zur Führung eines Verzeichnisses der Vearbeitungstätigkeiten ausgenommen, wenn sie weniger als 250 Mitarbeiter beschäftigen. Zu beachten ist jedoch, dass Art. 30 Abs. 5 DSGVO von dieser Ausnahme drei Rückausnahmen vorsieht, sodass letztlich auch kleinere Unternehmen zum Führen eines Verarbeitungsverzeichnisses verpflichtet sind, wenn:
- die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt – wenn ein Verantwortlicher also nach Art. 35 Abs. 1 DSGVO verpflichtet ist, eine Datenschutz-Folgeabschätzung durchzuführen, muss er meist auch ein Verzeichnis der Verarbeitungstätigkeiten führen.
- die Verarbeitung nicht nur gelegentlich erfolgt – hiervon sind z.B. alle Unternehmen betroffen, die regelmäßig Kundendaten speichern
- eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 (z.B. Religions- oder Gesundheitsdaten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt.
Letztlich werden viele Unternehmen aufgrund dieser Voraussetzungen zum Führen eines solchen Verzeichnisses verpflichtet sein. Ein solches Verzeichnis ist im Hinblick auf die gesamte datenschutzkonforme Umstellung sehr sinnvoll. Denn so können Sie sich einen Überblick über alle Prozesse in Ihrem Unternehmen verschaffen und besser planen, was noch zu tun ist. Schließlich genügen Sie mit einem solchen Verzeichnis bereits einem Teil Ihrer Rechenschaftspflicht (s.u.).
Welche Prozesse gehören in ein Verzeichnis der Verarbeitungstätigkeiten?
Bei dem Verzeichnis der Verarbeitungstätigkeiten handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, ähnlich dem bisherigen Verfahrensverzeichnis des BDSG a.F.. Sollten Sie bereits über ein solches verfügen, können Sie dieses als Grundlage heranziehen und aktualisieren.
Beginnen sollten Sie, indem Sie alle Geschäftsprozesse auflisten, in denen personenbezogene Daten verarbeitet werden. Hierfür sollten Sie sich zunächst einen Überblick über alle Prozesse verschaffen, in denen personenbezogene Daten verarbeitet werden. Der Begriff des „Verarbeitens“ ist in Art. 4 Nr. 2 DSGVO sehr weit gefasst und bezeichnet kurzgefasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie
„das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Dabei ist nicht von Bedeutung, ob die Daten auf Papier oder elektronisch gespeichert werden.
Für das Verzeichnis ist eine feingliedrige Darstellung Ihrer Geschäftsprozesse empfehlenswert. Bei einem zu großzügigen Clustern der Geschäftsprozesse besteht die Gefahr, dass dies nicht den Anforderungen der Datenschutzbehörden genügt. Bei der Auswahl dieser Prozesse sollten Sie sich immer in die Lage eines Kontrolleurs der Datenschutzbehörde versetzen. Diesem muss es möglich sein, anhand des Verarbeitungsverzeichnisses einen vollständigen Einblick in die Prozesse Ihres Unternehmens zu erhalten. Neben offensichtlichen Prozessen wie etwa „Neue Kunden elektronisch erfassen“ und „Mitarbeiterdaten speichern“ können dies etwa sein: Daten der Bewerber speichern, Jahresgespräche, Reisekostenabrechnung, Besucherverwaltung, E-Mail-Marketing, Papier- und Aktenvernichtung, Telefonsupport, Videoüberwachung, etc. Letztlich werden in fast allen internen wie externen Prozessen Daten verarbeitet. Bilden Sie Ihr Geschäft daher möglichst umfangreich ab.
Tipp: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Mit dem Abmahnschutz unserer Datenschutzpakete bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind. Hier klicken & mehr erfahren.
Welche Inhalte gehören in ein Verzeichnis der Verarbeitungstätigkeiten?
Anschließend müssen die in Art. 30 DSGVO genannten Angaben in das Verzeichnis mit aufgenommen werden. So müssen Sie etwa identifizieren, woher die Daten in den jeweiligen Prozessen stammen, zu welchem Zweck sie verarbeitet werden, wer Zugriff hat und an wen sie weitergegeben werden. Zudem müssen Sie als Verantwortlicher hier folgende Punkte auflisten (Art. 30 Abs. 1 S. 2 DSGVO):
- Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO
Die Inhalte des Verzeichnisses für Auftragsverarbeiter ergeben sich aus Art. 30 Abs. 2 DSGVO.
Wir helfen Ihnen bei der Erstellung eines Verarbeitungsverzeichnisses
Sie möchten wissen, ob Sie ein Verarbeitungsverzeichnis brauchen oder benötigen Hilfe bei der Erstellung? Oder Sie haben Fragen zu anderen datenschutzrechtlichen Aspekten? Wir helfen Ihnen gerne! Das Expertenteam aus dem Datenschutzrecht steht Ihnen gerne Rede und Antwort für Ihre Fragen.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Mit Hilfe Künstlicher Intelligenz und einfachen Apps können Nutzer kinderleicht Bilder und Videos bearbeiten und dabei die Gesichter etwa von Pornodarstellern gegen andere austauschen. Auch Stimmen können so leicht „geklaut“ werden. Dies verleiht nicht nur enttäuschten Ex-Partnern oder Mobbing-Tätern neue Möglichkeiten, sondern wirft auch einige rechtliche Fragen auf.
Inhalt Der Streit um den gläsernen Mobilfunkkunden Lübecker Gericht hat grundlegende Zweifel an der DSGVO-Auslegung durch Vodafone Handeln Sie jetzt bei unzulässiger Datenweitergabe Das Landgericht Lübeck hat dem Europäischen Gerichtshof einen Fall vorgelegt, bei dem es um die Weitergabe von Kundendaten durch Telekommunikationsanbietern geht. Geklärt werden soll, ob sogenannte […]
Inhalt Unzulässige Videoüberwachung auf dem Firmengelände Diebstahlprävention kein berechtigtes Interesse zur Videobewachung Psychischer Druck durch Dauerüberwachung Ungewöhnlich hohe Entschädigungssumme WBS.LEGAL: Ihre Experten im Datenschutzrecht Ein Stahlverarbeitungsbetrieb überwachte einen seiner Mitarbeiter trotz ausdrücklichen Widerspruchs insgesamt fast zwei Jahre lang an seinem Arbeitsplatz. Das LAG Hamm sieht darin einen schwerwiegenden Verstoß […]
Inhalt Streit um beliebte LIDL-App Daten gegen Rabatt – Grundsatzfrage kommt wohl vor BGH Bedeutung über den Einzelfall hinaus WBS.LEGAL – Ihr Partner im Wettbewerbs- und Datenschutzrecht Rabatt gegen Daten: Darf Lidl seine Rabatt-App „Lidl Plus“ als kostenlos bezeichnen, obwohl Nutzer ihre Daten preisgeben müssen? Der vzbv sah darin […]
Inhalt Weitergabe von Stellungnahmen nach Bankenabwicklung Kriterien für personenbezogene Daten und Reichweite der Informationspflicht Unterstützung durch WBS.LEGAL im Datenschutzrecht Der EuGH hat die Bedeutung des Begriffs der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte präzisiert. Pseudonymisierte oder geschwärzte Dokumente dürfen zwar erhoben werden, ihre Weitergabe […]
Inhalt Neuer Datenschutzrahmen nach Schrems I und Schrems II Datenschutzrahmen bleibt – vorerst Keine endgültige Klarheit Der neue Datenschutzrahmen zwischen der EU und den USA bleibt vorerst bestehen. Das hat das EuG entschieden. Ein französischer Abgeordneter scheiterte mit seiner Klage gegen den Angemessenheitsbeschluss der EU-Kommission. Das Gericht sah weder […]