DSGVO – Verzeichnis der Verarbeitungstätigkeiten
Die DSGVO verlangt von vielen Verantwortlichen, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Doch welche Angaben müssen Sie darin mit aufnehmen? Und wie detailliert muss die Darstellung Ihrer Geschäftsprozesse sein?
Benötigen Sie ein Verzeichnis der Verarbeitungstätigkeiten?
Als Verantwortlicher sollten Sie prüfen, ob Sie dazu verpflichtet sind, ein sog. „Verzeichnis der Verarbeitungstätigkeiten“ zu führen (Verarbeitungsverzeichnis Art. 30 Abs. 1 DSGVO). Grundsätzlich sind jeder Verantwortliche und neuerdings auch jeder Auftragsverarbeiter (sog. Kategorieverzeichnis nach Art. 30 Abs. 2 DSGVO) verpflichtet, ein solches Verzeichnis zu führen und auf Verlangen der Aufsichtsbehörde zu Verfügung zu stellen. Die Aufsichtsbehörde soll dadurch in die Lage versetzt werden, die Einhaltung der Vorschriften der DSGVO zu kontrollieren. Nach Art. 30 Abs. 5 DSGVO sind sowohl Verantwortliche als auch Auftragsverarbeiter von der Pflicht zur Führung eines Verzeichnisses der Vearbeitungstätigkeiten ausgenommen, wenn sie weniger als 250 Mitarbeiter beschäftigen. Zu beachten ist jedoch, dass Art. 30 Abs. 5 DSGVO von dieser Ausnahme drei Rückausnahmen vorsieht, sodass letztlich auch kleinere Unternehmen zum Führen eines Verarbeitungsverzeichnisses verpflichtet sind, wenn:
- die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt – wenn ein Verantwortlicher also nach Art. 35 Abs. 1 DSGVO verpflichtet ist, eine Datenschutz-Folgeabschätzung durchzuführen, muss er meist auch ein Verzeichnis der Verarbeitungstätigkeiten führen.
- die Verarbeitung nicht nur gelegentlich erfolgt – hiervon sind z.B. alle Unternehmen betroffen, die regelmäßig Kundendaten speichern
- eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 (z.B. Religions- oder Gesundheitsdaten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt.
Letztlich werden viele Unternehmen aufgrund dieser Voraussetzungen zum Führen eines solchen Verzeichnisses verpflichtet sein. Ein solches Verzeichnis ist im Hinblick auf die gesamte datenschutzkonforme Umstellung sehr sinnvoll. Denn so können Sie sich einen Überblick über alle Prozesse in Ihrem Unternehmen verschaffen und besser planen, was noch zu tun ist. Schließlich genügen Sie mit einem solchen Verzeichnis bereits einem Teil Ihrer Rechenschaftspflicht (s.u.).
Welche Prozesse gehören in ein Verzeichnis der Verarbeitungstätigkeiten?
Bei dem Verzeichnis der Verarbeitungstätigkeiten handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, ähnlich dem bisherigen Verfahrensverzeichnis des BDSG a.F.. Sollten Sie bereits über ein solches verfügen, können Sie dieses als Grundlage heranziehen und aktualisieren.
Beginnen sollten Sie, indem Sie alle Geschäftsprozesse auflisten, in denen personenbezogene Daten verarbeitet werden. Hierfür sollten Sie sich zunächst einen Überblick über alle Prozesse verschaffen, in denen personenbezogene Daten verarbeitet werden. Der Begriff des „Verarbeitens“ ist in Art. 4 Nr. 2 DSGVO sehr weit gefasst und bezeichnet kurzgefasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie
„das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Dabei ist nicht von Bedeutung, ob die Daten auf Papier oder elektronisch gespeichert werden.
Für das Verzeichnis ist eine feingliedrige Darstellung Ihrer Geschäftsprozesse empfehlenswert. Bei einem zu großzügigen Clustern der Geschäftsprozesse besteht die Gefahr, dass dies nicht den Anforderungen der Datenschutzbehörden genügt. Bei der Auswahl dieser Prozesse sollten Sie sich immer in die Lage eines Kontrolleurs der Datenschutzbehörde versetzen. Diesem muss es möglich sein, anhand des Verarbeitungsverzeichnisses einen vollständigen Einblick in die Prozesse Ihres Unternehmens zu erhalten. Neben offensichtlichen Prozessen wie etwa „Neue Kunden elektronisch erfassen“ und „Mitarbeiterdaten speichern“ können dies etwa sein: Daten der Bewerber speichern, Jahresgespräche, Reisekostenabrechnung, Besucherverwaltung, E-Mail-Marketing, Papier- und Aktenvernichtung, Telefonsupport, Videoüberwachung, etc. Letztlich werden in fast allen internen wie externen Prozessen Daten verarbeitet. Bilden Sie Ihr Geschäft daher möglichst umfangreich ab.
Tipp: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Mit dem Abmahnschutz unserer Datenschutzpakete bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind. Hier klicken & mehr erfahren.
Welche Inhalte gehören in ein Verzeichnis der Verarbeitungstätigkeiten?
Anschließend müssen die in Art. 30 DSGVO genannten Angaben in das Verzeichnis mit aufgenommen werden. So müssen Sie etwa identifizieren, woher die Daten in den jeweiligen Prozessen stammen, zu welchem Zweck sie verarbeitet werden, wer Zugriff hat und an wen sie weitergegeben werden. Zudem müssen Sie als Verantwortlicher hier folgende Punkte auflisten (Art. 30 Abs. 1 S. 2 DSGVO):
- Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO
Die Inhalte des Verzeichnisses für Auftragsverarbeiter ergeben sich aus Art. 30 Abs. 2 DSGVO.
Wir helfen Ihnen bei der Erstellung eines Verarbeitungsverzeichnisses
Sie möchten wissen, ob Sie ein Verarbeitungsverzeichnis brauchen oder benötigen Hilfe bei der Erstellung? Oder Sie haben Fragen zu anderen datenschutzrechtlichen Aspekten? Wir helfen Ihnen gerne! Das Expertenteam aus dem Datenschutzrecht steht Ihnen gerne Rede und Antwort für Ihre Fragen.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Inhalt Stiller Abschied von einer wichtigen Sicherheitsfunktion Zwischen Jugendschutz und staatlichem Ermittlungsdruck Was Nutzer jetzt tun sollten Ihre Privatsphäre im digitalen Raum Bisher konnten Nutzer ihre privaten Unterhaltungen auf Instagram durch eine optionale Verschlüsselung schützen, doch damit ist nun Schluss. Meta hat die Ende-zu-Ende-Verschlüsselung für Direktnachrichten offiziell eingestellt und […]
Inhalt Ein Vertrauensbruch mit existenzbedrohenden Folgen Die Reichweite der DSGVO und die Grenzen der Haushaltsausnahme Schwere der Persönlichkeitsrechtsverletzung im digitalen Zeitalter Rechtliche Unterstützung bei Datenschutzverletzungen und Kündigungen Das Weiterleiten privater Messenger-Nachrichten kann weitreichende Konsequenzen haben – bis hin zum Verlust des Arbeitsplatzes. Ob ein solcher Vertrauensbruch lediglich eine menschliche […]
Inhalt Der Streit um Datenverarbeitung, Werbung und Nutzerprofile Abhilfeklage nach dem VDuG: Nur bei im Wesentlichen gleichartigen Ansprüchen Warum das KG Berlin die Klage als unzulässig abwies Keine inhaltliche Entlastung von X Bedeutung für Nutzer und Datenschutzverfahren Rechtliche Beratung bei Datenschutzverstößen und Plattformen Der Umgang großer Social-Media-Plattformen mit personenbezogenen […]
Inhalt Eine umstrittene Entscheidung Was aus dieser Entscheidung mitzunehmen ist Die WBS-Expertise Mit der Initiative, ihren Kunden angepasste präventive Gesundheitsprogramme anzubieten, hat eine Krankenversicherung deren frühere Rechnungen analysiert, die ursprünglich zum Zweck der Kostenerstattung übermittelt worden waren – und zwar ohne deren Zustimmung. Eine Praxis, die vom Bundesverwaltungsgericht verurteilt wurde; […]
Inhalt Keine Daten Unbeteiligter und keine Werbeprofile ohne Einwilligung Sensible Daten dürfen aber mit Einwilligung verarbeitet werden Hintergrund Das LG Berlin II hat nach einer Klage der Verbraucherzentrale festgestellt: Meta, der Mutterkonzern von Facebook, hat Daten von Unbeteiligten illegal verarbeitet. Meta darf persönliche Daten von nicht bei Facebook registrierten Personen nicht […]
Mit Hilfe Künstlicher Intelligenz und einfachen Apps können Nutzer kinderleicht Bilder und Videos bearbeiten und dabei die Gesichter etwa von Pornodarstellern gegen andere austauschen. Auch Stimmen können so leicht „geklaut“ werden. Dies verleiht nicht nur enttäuschten Ex-Partnern oder Mobbing-Tätern neue Möglichkeiten, sondern wirft auch einige rechtliche Fragen auf.