Verarbeitungsverzeichnis

Verfahrensverzeichnis und Verarbeitungsübersicht – die gehören bald der Vergangenheit an. Mit der EU-Datenschutz-Grundverordnung (DSGVO) gibt es ab Ende Mai nur noch ein Verzeichnis von Verarbeitungstätigkeiten. Kurz: das Verarbeitungsverzeichnis. Ob Ihr Betrieb eins führen muss und wenn ja, wie, das erklären wir Ihnen hier.

Für Ihr Verarbeitungsverzeichnis nach DSGVO müssen Sie die Datenflüsse in Ihrem Unternehmen erfassen und analysieren. Foto: pixabay/ Free Photos

Wann ist ein Verarbeitungsverzeichnis notwendig?

Wann muss ein Verarbeitungsverzeichnis erstellt werden? Laut Gesetzestext müssen Unternehmen mit weniger als 250 Mitarbeitern grundsätzlich KEIN Verarbeitungsverzeichnis führen (vgl. Art. 30 Abs. 5 DSGVO). ABER: Wenn Ihr Unternehmen oder Ihr Auftragsverarbeiter personenbezogene Daten verarbeitet – und das nicht mehr nur gelegentlich – oder auch nur einer der folgenden zwei Punkte zutrifft:

• Die Daten zählen zu besonders sensiblen Kategorien, wie Gesundheitsdaten oder strafrechtliche Verurteilungen (vgl. Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO)
• Es besteht ein Risiko für die Rechte und Freiheiten betroffener Personen (z. B. bei Bewertung und Profilerstellung)

…, dann müssen Sie ein Verarbeitungsverzeichnis erstellen und führen. Das ist bereits der Fall, wenn Sie eine Lieferanten- oder Kundendatenbank haben oder Ihre Mitarbeiterdaten verwalten.

Verarbeitungsverzeichnis – muss ich jetzt oder muss ich nicht?

Der in der DSGVO benutzte Begriff „gelegentlich“ wird im Gesetz selbst nicht weiter ausgeführt. Allerdings legt dieser Begriff nahe, dass künftig auch von kleinen Unternehmen wie Handwerksbetrieben oder Arztpraxen ein Verarbeitungsverzeichnis gefordert wird. Nach BDSG (alt) waren diese Betriebe häufig von der Meldepflicht befreit und mussten meist auch keinen Datenschutzbeauftragten bestellen (vgl. § 4d Abs. 3 BDSG alt). Diesem neuen Umstand geschuldet, gehen Juristen davon aus, dass die Befreiung von der Dokumentationspflicht in der Praxis nur sehr selten greifen wird.

Ob Ihre Verarbeitungsprozesse eine Datenschutz-Folgenabschätzung erforderlich machen?
Das lesen Sie im Blogbeitrag DSFA – Wann sind Firmen dazu verpflichtet?

Schritt für Schritt zum Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis nach DSGVO wird in den meisten Unternehmen keine einschneidenden Veränderungen verursachen. Dennoch sollten Sie nun folgende sechs Schritte vornehmen:

1. Prüfen Sie Ihre Verträge zur Auftragsdatenverarbeitung (ADV-Vertrag), ob sie DSGVO-konform sind.
   → Wenn Sie mit einem Auftragsdatenverarbeiter zusammenarbeiten, sollten Sie wissen, dass auch er dazu verpflichtet ist.
2. Listen Sie alle eingesetzten Anwendungen auf, in denen personenbezogene Daten gespeichert werden.
   → Das hilft Ihnen, die Datenflüsse in Ihrem Unternehmen zu ermitteln und dient als Basis für ein Verarbeitungsverzeichnis.
3. Prüfen Sie die Zuverlässigkeit und Vollständigkeit Ihrer bestehenden Dokumentationssysteme und ergreifen Sie Sicherheitsmaßnahmen – technische und organisatorische.
   → Auch kleinere Unternehmen müssen künftig eine Dokumentation nachweisen – auch wenn sie bis dato kein Verfahrensverzeichnis führen mussten. Schon allein die angedrohte Ahndung bei Datenschutzverstößen sollte Sie dazu veranlassen, das Heft des Handelns in die Hand zu nehmen.
4. Prüfen Sie gegebenenfalls die Datenübermittlung in Drittländer.
   → Wenn Sie Daten in Drittländer übermitteln (alles außerhalb der EU, z.B. US-Cloud), dann sollten Sie diese Datenübermittlung genau prüfen und dafür sorgen, dass Sie den Aufsichtsbehörden entsprechende Datenschutz-Garantien vorlegen können.
5. Splitten Sie Ihr Verarbeitungsverzeichnis in Einzelverzeichnisse auf, die jedes Verfahren einzeln abbilden.
   → Bei der Datenverarbeitung in Ihrem Unternehmen kommen sicherlich unterschiedliche Verfahren zum Einsatz (z.B. Zeiterfassungssystem, CRM-System), die nicht die gleichen Voraussetzungen haben oder Anforderungen stellen, um die DSGVO einzuhalten.
6. Sensibilisieren Sie Ihre Mitarbeiter für Datenschutz.
   → Datenschutz einzuhalten – das ist in Unternehmen nicht nur die Angelegenheit eines Einzelnen. Teilen Sie daher Ihren Mitarbeitern transparent mit, dass auch sie für die Einhaltung der DSGVO von essentieller Bedeutung sind und motivieren Sie sie, diese Verantwortung dafür vertrauensvoll mitzutragen.

Sie können Ihr Verarbeitungsverzeichnis selbst erstellen. Es gibt verschiedene Tools, die Sie bei der geforderten Dokumentation unterstützen. Sie können die Umsetzung aber auch in die Hände eines Dienstleisters legen. Das IT-SERVICE.NETWORK unterstützt Sie gern bei der Suche.

Wie sieht ein Verarbeitungsverzeichnis aus?

Das Verarbeitungsverzeichnis wird künftig eine wesentliche Rolle spielen, damit Sie datenschutzrechtliche Vorgaben überhaupt einhalten können. Nur wenn Sie Ihre eigenen Verarbeitungsprozesse kennen, können Sie gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.

Dabei sollten Sie Ihr Augenmerk besonders auf die sogenannten TOMs legen, die technischen und organisatorischen Maßnahmen. Sie müssen im neuen Verarbeitungsverzeichnis aufgenommen werden – wie detailliert das passieren muss, ist allerdings eine Frage, mit der sich aller Voraussicht nach künftig Gerichte befassen werden. Im Artikel 30 der DSGVO ist lediglich die Rede davon, dass eine allgemeine Beschreibung dieser Maßnahmen möglich ist (vgl. Art. 30 Abs. 1g und Abs. 2d DSGVO). Das Ganze enthält einen weiteren Verweis auf den Artikel 32 DSGVO (Sicherheit der Verarbeitung).

Sie fragen sich, welche Form und welchen Inhalt Ihr Verarbeitungsverzeichnis haben muss?
Dann lesen Sie den Blogbeitrag Verfahrensverzeichnis – Datenverarbeitung nach DSGVO

Beispiel für Verarbeitungsverzeichnis

Als Beispiel für ein Verarbeitungsverzeichnis nach DSGVO stehen Ihnen verschiedene Muster zur Verfügung. Auch eine Arbeitsgruppe der deutschen Aufsichtsbehörden hat bereits eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO  erarbeitet. Ein Beispiel für Verfahrensverzeichnisse geben Ihnen die folgenden Leitfäden, Vorlagen und Muster als Anleitung und Ausfüllhilfen.

• Gesellschaft für Datenschutz und Datensicherheit GDD-Praxishilfe DSGVO V (PDF, 17 Seiten, Stand April 2017)
  • Verzeichnis von Verarbeitungstätigkeiten
• Digitalverbund Bitkom
  • Das Verarbeitungsverzeichnis (PDF, 46 Seiten, Stand: 2017)
    Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-Datenschutz-Grundverordnung (DSGVO)
• Berufsverband der Datenschutzbeauftragten Deutschlands
  • Muster: Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DSGVO (PDF, 3 Seiten, Stand: Juni 2017)
  • Muster: Übersicht von Verarbeitungstätigkeiten Auftragsverarbeiter gem. Artikel 30 Abs. 2 DSGVO (PDF, 3 Seiten, Stand Juni 2017)
• Landesbeauftragte für den Datenschutz Niedersachsen
  •  Hinweise zum Verzeichnis für Verarbeitungstätigkeiten (PDF, 13 Seiten, Stand: 30. Juni 2017)

Warum Verarbeitungsverzeichnis?

Bei Inhalt und Umfang Ihres Verarbeitungsverzeichnises gibt die DSGVO nur Mindestanforderungen vor. Diese können variieren – je nach Art und Größe Ihres Unternehmens. Wenn es allerdings um die Frage nach dem „Warum überhaupt Verarbeitungsverzeichnis“ geht, ist es immer leicht zu sagen, „weil das nun einmal die Vorschriften sind“.

Unser Tipp: Machen Sie aus der Pflicht eine Kür. Sie können die vorgeschriebene Dokumentationspflicht nämlich auch für Ihr Unternehmen gewinnbringend nutzen, zum Beispiel für die Kundenbindung. Laut einer Umfrage des britischen Marktforschungsinstituts Vanson Bourne im Auftrag der niederländischen Aktiengesellschaft Gemalto wird mangelnde Datensicherheit von Kunden schnell abgestraft. Danach würden die meisten Kunden (70 Prozent) nach einem Datenschutzvorfall keine weiteren Geschäfte mit dem verantwortlichen Unternehmen machen.

Verarbeitungsverzeichnis als Chance begreifen

Sie können Ihr Verarbeitungsverfahren als Chance begreifen:

• Für Ihre eigene Informationssicherheit
• Für Ihre Unternehmenssicherheit
• Zur vertrauensvollen Vermarktung Ihrer Produkte oder Dienstleistungen

Daher schlägt Christian Volkmer, Autor bei  Projekt 29 und Sachverständiger für Datenschutz und Informationssicherheit, vor, Ihr Verarbeitungsverzeichnis über die geforderte Dokumentationspflicht hinaus sinnvoll zu nutzen – auch um künftig Ihre Nerven zu schonen, beispielsweise, um

• Die exakten Verarbeitungszwecke festzulegen (Art. 5 Abs. 1b DSGVO)
• Ihrer Rechenschafts- und Dokumentationspflicht nachzukommen (Art. 5 Abs. 2, Art. 24 DSGVO)
• Geeignete Maßnahme zu ergreifen, um Betroffenenrechte zu wahren (Art. 12 Abs. 1 DSGVO)
• Geeignete technisch-organisatorische Maßnahmen zu ergreifen und diese auch nachweisen zu können (Art. 24 Abs. 1, Art. 32 DSGVO)
• Zu prüfen, ob Sie eine Datenschutz-Folgenabschätzung durchführen müssen (Art. 35 DSGVO)
• Eine gute Grundlage zu schaffen, damit Ihr Datenschutzbeauftragter seine Aufgaben adäquat erfüllen kann (Art. 39 DSGVO)

Unterstützung vom Fachmann

Sie sind sich unsicher, ob Ihr Verarbeitungsverzeichnis DSGVO-konform ist oder brauchen Unterstützung bei der optimalen Erstellung? Dann wenden Sie sich vertrauensvoll an einen Dienstleister des Kompetenzverbunds IT-SERVICE.NETWORK.

Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.

Linda Boegelein

Fragen zum Artikel? Frag den Autor