Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Verarbeitungsverzeichnis

Was verlangt die Datenschutz-Grundverordnung (DSGVO) von einem Verarbeitungsverzeichnis? Welchen Inhalt muss es haben, damit verantwortliche Unternehmen und Behörden ihren Dokumentationspflichten im Datenschutz gerecht werden?

Die DSGVO selbst spricht übrigens vom „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 DSGVO). Im Alltag hat sich jedoch das kürzere „Verarbeitungsverzeichnis“ durchgesetzt. Gebräuchlich ist auch „Verzeichnis der Verarbeitungstätigkeiten“. Und wenn Sie auf den Begriff „Verfahrensverzeichnis“ stoßen, ist im Prinzip das gleiche gemeint: „Verfahrensverzeichnis“ ist der Begriff, den das alte Bundesdatenschutzgesetz (BDSG-alt) verwendet hat.

➜ Verarbeitungs­verzeichnis: So geht's nach DSGVO

Standard-Datenschutzmodell der DSK

Der erste Teil des Beitrags in der März-Ausgabe von Datenschutz PRAXIS hat die Bestandteile des überarbeiteten Standard-Datenschutzmodells 3.0 dargestellt. Nun folgt der „Clou“: die datenschutzrechtliche Risikobetrachtung der Verarbeitungstätigkeit mit dem „SDM-Würfel“.

Verzeichnis von Verarbeitungstätigkeiten

Als ich neulich wieder einmal aus einem Datenschutzalbtraum erwachte, schrieb ich sofort folgende Geschichte auf: die digitale Protokollierung der Toilettenreinigung.

DP+
Die DSGVO sieht ein Verzeichnis der Verarbeitungstätigkeiten (VTT) vor. Dessen Aktualisierung ist jedoch nicht Aufgabe des DSB, sondern der jeweiligen Prozessverantwortlichen.
Bild: iStock.com/Galeanu Mihai
Verzeichnis von Verarbeitungstätigkeiten aktualisieren

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dient als zentrales Nachweiswerkzeug und ermöglicht eine Übersicht über alle ­Datenverarbeitungsprozesse. Angesichts fortschreitender Digitalisierung, der Nutzung von KI und neuer gesetzlicher Anforderungen müssen Unternehmen ihr VVT regelmäßig aktualisieren.

DSGVO-konform im Praxisalltag

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eine ­wichtige Grundlage, um die DSGVO umzusetzen. Dies gilt insbesondere für Ärztinnen und Ärzte, da sie häufig Gesundheitsdaten verarbeiten. Der Beitrag vermittelt Tipps, wie man in der Arztpraxis ein VVT erstellt.

Verzeichnis von Verarbeitungstätigkeiten

In Deutschland gibt es sehr viele Bildungseinrichtungen in vielen verschiedenen Formen und Größen. So komplex diese Strukturen sind, so vielfältig und verflochten sind die Ströme der personenbezogenen Daten, wie zwei Beispiele zeigen.

DP+
Berechtigte Interessen lassen sich sehr gut im Verzeichnis der Verarbeitungstätigkeiten dokumentieren
Bild: iStock.com / Feodora-Chiosea
Rechtsgrundlagen für die Datenverarbeitung

Mit Art. 6 Abs. 1 Buchst. f brachte die DSGVO eine neue Rechtsgrundlage für die Datenverarbeitung: das „berechtigte Interesse“. Was genau verbirgt sich dahinter, und welche Voraussetzungen müssen erfüllt sein, um die Verarbeitung personenbezogener Daten darauf stützen zu können?

Rechenschaftspflicht

Da das berechtigte Interesse als Rechtsgrundlage eine Abwägung erfordert, ist es sinnvoll, mehr ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen als den reinen DSGVO-Artikel. Die Vorlage zeigt, wie das aussehen kann.

Verzeichnis von Verarbeitungstätigkeiten

Für die Struktur des Verzeichnisses von Verarbeitungstätigkeiten bietet dieses ausgearbeitete Muster für Bildungsträger eine Vorlage. Es berücksichtigt die Grundsätze der Datenschutzkonferenz.

DP+
Kleines FAQ zum Verzeichnis von Verarbeitungstätigkeiten
Bild: NicoElNino / iStock / Thinkstock
Antworten auf zentrale Fragen

Brauchen kleine Einheiten mit weniger als 250 Beschäftigten keine Verarbeitungsübersicht? Was ist eigentlich ein Verfahren bzw. eine Verarbeitungstätigkeit? Was sind typische Verarbeitungstätigkeiten?

Verzeichnis von Verarbeitungstätigkeiten

Um kontrollieren zu können, ob eine Verarbeitungstätigkeit die datenschutzrechtlichen Anforderungen erfüllt, reicht meist der eher kurze Überblick im Verzeichnis der Verarbeitungstätigkeiten nicht aus. Daher heißt es, die Prozesse einer näheren Beschreibung zu unterziehen und sie detaillierter zu prüfen.

1 von 2

Was ist ein Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis im Datenschutz listet die Datenverarbeitungen bei einem Verantwortlichen oder einem Auftragsverarbeiter auf und beschreibt sie nach bestimmten Kriterien. Fast jede Stelle und Organisation, in der eine Verarbeitung von personenbezogenen Daten stattfindet, muss ein solches Verzeichnis von Verarbeitungstätigkeiten vorlegen können.
Die Aufstellung betrifft automatisierte Verarbeitungen und nicht automatisierte Verarbeitungen personenbezogener Daten, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Zweck des Verarbeitungsverzeichnisses

Das Verarbeitungsverzeichnis dient dazu, der Aufsichtsbehörde für den Datenschutz, wenn sie anfragt, einen schnellen Überblick über die Verarbeitungstätigkeiten in einer Organisation zu verschaffen. Es kann auch dabei helfen, selbst eine Übersicht über die Datenverarbeitungen zu haben. Außerdem unterstützt es den Datenschutzbeauftragten (DSB) in seiner Arbeit. Und das Verzeichnis von Verarbeitungstätigkeiten ist schließlich Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Das Instrument ist also nicht nur eine gesetzliche Verpflichtung, um es bei einer Prüfung der Datenschutzaufsicht vorzulegen. Es ist auch ein wichtiges Werkzeug für interne Datenschutz-Kontrollen und die Information von Dritten, also von betroffenen Personen, Stichwort „Informationspflichten“.

So gibt ein Verarbeitungsverzeichnis insbesondere darüber Auskunft,

  • welche personenbezogenen Daten
  • unter Verwendung welcher automatisierten Verfahren
  • auf welche Weise verarbeitet werden und
  • welche Datenschutzmaßnahmen die Prozesse schützen.

Damit hilft das Verzeichnis der Verarbeitungstätigkeiten auch dabei, die Betroffenenrechte umzusetzen, etwa das Recht auf Auskunft.

Denn nur so bekommt ein Verantwortlicher wirklich einen Überblick, an welcher Stelle er welche personenbezogenen Daten wie verarbeitet.

Form des Verarbeitungsverzeichnisses

Das Verarbeitungsverzeichnis muss schriftlich geführt werden. Ein elektronisches Format ist ebenfalls zulässig (Art. 30 Abs. 3 DSGVO).

weka-manager-verarbeitungstaetigkeiten

Verarbeitungsverzeichnis DSGVO-konform führen und nachweisen

In kurzer Zeit erstellen Sie mit der Software „WEKA Manager Verarbeitungstätigkeiten“ eine lückenlose, rechtssichere Dokumentation über alle Verarbeitungstätigkeiten (inkl. 100 Muster-Tätigkeiten & DSFA-Tool)

 

Kein öffentliches Verfahrensverzeichnis mehr

Im Gegensatz zum früheren Verfahrensverzeichnis muss das Verzeichnis von Verarbeitungstätigkeiten nicht veröffentlicht werden. Mit der DSGVO entfällt die Pflicht, jedermann das (öffentliche) Verfahrensverzeichnis auf Antrag in geeigneter Weise verfügbar zu machen. Es gibt in der DSGVO kein öffentliches Verfahrensverzeichnis mehr.

Auch besitzt niemand das Recht, Einblick einzufordern – mit Ausnahme der Aufsichtsbehörde (Art. 30 Abs. 4 DSGVO).

Wer erstellt das Verarbeitungsverzeichnis?

Die Verarbeitungsübersicht erstellt der Verantwortliche, das heißt der Geschäftsführer oder die Leiterin der öffentlichen oder nicht öffentlichen Stelle. Er kann die Aufgabe delegieren, zum Beispiel an die jeweiligen Fachabteilungen oder an den Datenschutzbeauftragten bzw. an die Datenschutzbeauftragte. Er muss auch dafür sorgen, dass das Verarbeitungsverzeichnis aktuell bleibt.

Wer muss ein Verarbeitungsverzeichnis führen?

Ein Verarbeitungsverzeichnis nach DSGVO müssen sowohl Verantwortliche für den Datenschutz als auch Auftragsverarbeiter erstellen und pflegen.

Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Achtung: Es ist nicht der Datenschutzbeauftragte, der sich darum kümmern muss, sondern der Verantwortliche. Sonst besteht die Gefahr, dass sich der DSB selbst kontrolliert.

Wann muss kein Verarbeitungsverzeichnis geführt werden?

Es gibt einige Ausnahmen von der Pflicht (Artikel 30 Abs. 5 DSGVO). Doch für die meisten Unternehmen und Behörden greifen diese Ausnahmen nicht.

Wenn das Unternehmen oder die Einrichtung weniger als 250 Mitarbeiter beschäftigt, besteht eigentlich keine Pflicht, ein Verarbeitungsverzeichnis zu führen (Art. 30 Abs. 5 DSGVO). Das Gesetz nennt jedoch im Anschluss Ausnahmen von der Ausnahme:

  • Die Datenverarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt „nicht nur gelegentlich“, oder
  • es werden besondere Kategorien personenbezogener Daten verarbeitet.

Trifft auch nur einer dieser Fälle zu, muss der Verantwortliche dennoch ein Verarbeitungsverzeichnis haben.

Im Endergebnis gilt die Pflicht fast ausnahmslos

Weil eine Datenverarbeitung im geschäftlichen Umfeld fast immer dauerhaft erfolgt (und nicht nur gelegentlich) und weil fast immer besondere Kategorien personenbezogener Daten verarbeitet werden (z.B. Krankheitstage oder Schwerbehinderteneigenschaft), ist auch fast immer ein Verarbeitungsverzeichnis im Sinne von Artikel 30 DSGVO nötig – also auch dann, wenn eine Einrichtung weniger als 250 Mitarbeiter beschäftigt.

Was muss im Verzeichnis von Verarbeitungstätigkeiten stehen?

Das gehört in das Verarbeitungsverzeichnis bei Verantwortlichen

Als Bestandteile für eine Übersicht, die ein Unternhemen oder eine Behörde führt, nennt die DSGVO in Art. 30 Abs. 1:

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und Kategorien personenbezogener Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder in internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien für den Datenschutz
  • wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Wie detailliert diese Beschreibung sein muss, lässt sich der DSGVO nicht unmittelbar entnehmen. Jedenfalls sollte die Beschreibung der Maßnahmen nach Art. 32 DSGVO so konkret erfolgen, dass die Aufsichtsbehörden eine erste Schlüssigkeitsüberprüfung vornehmen können.

Das gehört in das Verarbeitungsverzeichnis bei Auftragsverarbeitern

Auftragsverarbeiter müssen ebenfalls eine Übersicht haben. Der Inhalt ergibt sich aus allen durchgeführten Verarbeitungen personenbezogener Daten im Auftrag eines externen Unternehmens.

Als Bestandteile dieses Verfahrensverzeichnisses nennt die DSGVO in Art. 30 Abs. 2 insbesondere:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).

Wie erstelle ich ein Verarbeitungsverzeichnis in sieben Schritten?

Um ein wirklich brauchbares Verarbeitungsverzeichnis zu erstellen, die der Vorgabe der DSGVO entspricht, können Sie nach folgendem, siebenschrittigen Muster vorgehen:
  1. Zuerst geht es um einen Überblick über alle Zwecke, zu denen ein Verantwortlicher Daten verarbeitet. Denn die Datenverarbeitungszwecke führen zu den jeweiligen automatisierten Verfahren.
  2. Dann geht es darum, eine Liste aller Fachverfahren und Software-Anwendungen aufzustellen, die personenbezogene Daten verarbeiten.
  3. Im dritten Schritt erfolgt eine Verknüpfung zwischen Fachverfahren, Softwareapplikation und Datenverarbeitungszwecken.
  4. Sodann geht es darum, die jeweils betroffenen Personengruppen und Datenkategorien festzustellen,
  5. mögliche Datenempfänger zu ermitteln,
  6. die Löschfristen zu definieren
  7. und geplante Datenübermittlungen an Drittstaaten festzuhalten.

Jetzt loslegen!

Wollen Sie mühelos ein lückenloses Verarbeitungsverzeichnis erstellen? Dann sind Sie mit der Software „WEKA Manager Verarbeitungstätigkeiten“ gut beraten.

Die Software führt Sie Schritt für Schritt durch den Prozess und überzeugt durch praktische Tools, etwa zur Datenschutz-Folgenabschätzung, sowie einer großen Zahl von vorgefertigten Muster-Verarbeitungstätigkeiten.

Auf Knopfdruck lässt sich das Verzeichnis exportieren und der Datenschutzaufsicht vorlegen. Wichtig für externe DSB: Sie können auch mehrere Unternehmen anlegen.

weka-manager-verarbeitungstaetigkeiten

Verarbeitungsverzeichnis DSGVO-konform führen und nachweisen

In kurzer Zeit erstellen Sie mit der Software „WEKA Manager Verarbeitungstätigkeiten“ eine lückenlose, rechtssichere Dokumentation über alle Verarbeitungstätigkeiten (inkl. 100 Muster-Tätigkeiten & DSFA-Tool)

 

… und die Pflege nicht vergessen

Es darf nicht in Vergessenheit geraten, das Verarbeitungsverzeichnis regelmäßig zu pflegen. Die verantwortliche Stelle muss aktiv bleiben, um die Aufstellung aktuell zu halten.

Genauso wie Unternehmen die Prozesse im Qualitätsmanagement oder Sicherheitsmanagement regelmäßig überprüfen und aktualisieren müssen, ist dies auch mit den Verarbeitungstätigkeiten im Datenschutz.

Damit sich Änderungen der Eintragungen nachvollziehen lassen – wer war zu einem bestimmten Zeitpunkt der verantwortliche Unternehmensleiter, wer war Datenschutzbeauftragter usw. –, halten die Aufsichtsbehörden für den Datenschutz eine Dokumentation der Änderungen mit einer Speicherfrist von einem Jahr – das ist die übliche Speicherfrist auch für sonstige Datenspeicherungen zu Datenschutz-Kontrollzwecken – für erforderlich.

Welche Folgen hat es, kein Verarbeitungsverzeichnis zu erstellen?

Verstöße aufgrund eines fehlenden oder nicht vollständigen Verarbeitungsverzeichnisses oder das Nichtvorlegen nach Aufforderung durch die Aufsichtsbehörde für den Datenschutz können nach Art. 83 Abs. 4 Buchst. a DSGVO mit einer Geldbuße von bis zu 10 Mio. € oder bis zu 2 Prozent des weltweiten Jahresumsatzes sanktioniert werden.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.