Verarbeitungsverzeichnis Was ist zu tun? Von Linda Boegelein in IT-Support 27Feb'18Verfahrensverzeichnis und Verarbeitungsübersicht – gehören bald der Vergangenheit an. Mit der EU-Datenschutz-Grundverordnung (DSGVO) gibt es ab Ende Mai nämlich nur noch ein Verzeichnis von Verarbeitungstätigkeiten. Kurz: das Verarbeitungsverzeichnis. Ob Ihr Betrieb eins führen muss und wenn ja, wie, das erklären wir Ihnen hier.Für Ihr Verarbeitungsverzeichnis nach DSGVO müssen Sie die Datenflüsse in Ihrem Unternehmen erfassen und analysieren. Foto: pixabay/ Free PhotosWann ist ein Verarbeitungsverzeichnis notwendig?Wann muss ein Verarbeitungsverzeichnis erstellt werden? Laut Gesetzestext müssen Unternehmen mit weniger als 250 Mitarbeitern grundsätzlich KEIN Verarbeitungsverzeichnis führen (vgl. Art. 30 Abs. 5 DSGVO). ABER: Wenn Ihr Unternehmen oder Ihr Auftragsverarbeiter personenbezogene Daten verarbeitet – und das nicht mehr nur gelegentlich – oder auch nur einer der folgenden zwei Punkte zutrifft:Die Daten zählen zu besonders sensiblen bzw. personenbezogenen Kategorien wie Gesundheitsdaten oder strafrechtliche Verurteilungen (vgl. Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO)Es besteht ein Risiko für die Rechte bzw. Freiheiten betroffener Personen (zum Beispiel bei Bewertung und Profilerstellung)…, dann müssen Sie ein Verarbeitungsverzeichnis erstellen und führen. Das ist bereits der Fall, wenn Sie eine Lieferanten- oder Kundendatenbank haben oder Ihre Mitarbeiterdaten verwalten.Verarbeitungsverzeichnis – muss ich jetzt oder muss ich nicht?Der in der DSGVO benutzte Begriff „gelegentlich“ wird im Gesetz selbst nicht weiter ausgeführt. Allerdings legt dieser Begriff nahe, dass künftig auch von kleinen Unternehmen wie Handwerksbetrieben oder Arztpraxen ein Verarbeitungsverzeichnis gefordert wird. Nach BDSG (alt) waren diese Betriebe häufig von der Meldepflicht befreit und mussten meist in diesem Sinne auch keinen Datenschutzbeauftragten beauftragen (vgl. § 4d Abs. 3 BDSG alt). Diesem neuen Umstand geschuldet, gehen Juristen davon aus, dass die Befreiung von der Dokumentationspflicht in der Praxis nur sehr selten greifen wird.Ob Ihre Verarbeitungsprozesse eine Datenschutz-Folgenabschätzung erforderlich machen? Das lesen Sie im Blogbeitrag DSFA – Wann sind Firmen dazu verpflichtet?Schritt für Schritt zum VerarbeitungsverzeichnisDas Verarbeitungsverzeichnis nach DSGVO wird in den meisten Unternehmen keine grundlegenden bzw. einschneidenden Veränderungen verursachen. Dennoch sollten Sie nun folgende sechs Schritte vornehmen:Prüfen Sie Ihre Verträge zur Auftragsdatenverarbeitung (ADV-Vertrag), ob sie DSGVO-konform sind. → Wenn Sie mit einem Auftragsdatenverarbeiter zusammenarbeiten, sollten Sie wissen, dass auch er dazu verpflichtet ist.Listen Sie alle eingesetzten Anwendungen auf, in denen personenbezogene Daten gespeichert werden. → Das hilft Ihnen, die Datenflüsse in Ihrem Unternehmen zu ermitteln und dient zudem als Basis für ein Verarbeitungsverzeichnis.Prüfen Sie die Zuverlässigkeit und Vollständigkeit Ihrer bestehenden Dokumentationssysteme und ergreifen Sie Sicherheitsmaßnahmen – technische und organisatorische. → Auch kleinere Unternehmen müssen künftig eine Dokumentation nachweisen – auch wenn sie bis dato kein Verfahrensverzeichnis führen mussten. Schon allein die angedrohte Ahndung bei Datenschutzverstößen sollte Sie dazu veranlassen, das Heft des Handelns in die Hand zu nehmen.Prüfen Sie gegebenenfalls die Datenübermittlung in Drittländer. → Wenn Sie Daten in Drittländer übermitteln (alles außerhalb der EU, zum Beispiel die US-Cloud), dann sollten Sie diese Datenübermittlung genau prüfen und dafür sorgen, dass Sie den Aufsichtsbehörden entsprechende Datenschutz-Garantien vorlegen können.Splitten Sie Ihr Verarbeitungsverzeichnis in Einzelverzeichnisse auf, die jedes Verfahren einzeln abbilden. → Bei der Datenverarbeitung in Ihrem Unternehmen kommen unterschiedliche Verfahren zum Einsatz (zum Beispiel Zeiterfassungssystem, CRM-System), die nicht die gleichen Voraussetzungen haben oder Anforderungen stellen, um die DSGVO einzuhalten.Sensibilisieren Sie Ihre Mitarbeiter für Datenschutz. → Datenschutz einzuhalten – das ist in Unternehmen nicht nur die Angelegenheit eines Einzelnen. Teilen Sie daher Ihren Mitarbeitern transparent mit, dass auch sie für die Einhaltung der DSGVO von essentieller Bedeutung sind und motivieren Sie sie, diese Verantwortung dafür mitzutragen.Sie können Ihr Verarbeitungsverzeichnis selbst erstellen. Es gibt dazu verschiedene Tools, die Sie bei der geforderten Dokumentation unterstützen. Sie können die Umsetzung aber auch in die Hände eines Dienstleisters geben. Das IT-SERVICE.NETWORK unterstützt Sie gern bei der Suche.Wie sieht ein Verarbeitungsverzeichnis aus?Das Verarbeitungsverzeichnis wird künftig eine wesentliche Rolle spielen, damit Sie datenschutzrechtliche Vorgaben überhaupt einhalten können. Nur wenn Sie Ihre eigenen Verarbeitungsprozesse kennen, können Sie gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.Dabei sollten Sie Ihr Augenmerk besonders auf die sogenannten TOMs legen, die technischen und organisatorischen Maßnahmen. Sie müssen im neuen Verarbeitungsverzeichnis aufgenommen werden – wie detailliert das passieren muss, ist allerdings eine Frage, mit der sich aller Voraussicht nach künftig Gerichte befassen werden. Im Artikel 30 der DSGVO ist lediglich die Rede davon, dass eine allgemeine Beschreibung dieser Maßnahmen möglich ist (vgl. Art. 30 Abs. 1g und Abs. 2d DSGVO). Das Ganze enthält einen weiteren Verweis auf den Artikel 32 DSGVO (Sicherheit der Verarbeitung).Sie fragen sich, welche Form und welchen Inhalt Ihr Verarbeitungsverzeichnis haben muss? Dann lesen Sie den Blogbeitrag Verfahrensverzeichnis – Datenverarbeitung nach DSGVOBeispiel für VerarbeitungsverzeichnisAls Beispiel für ein Verarbeitungsverzeichnis nach DSGVO stehen Ihnen verschiedene Muster zur Verfügung. Auch eine Arbeitsgruppe der deutschen Aufsichtsbehörden hat dazu bereits eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO erarbeitet. Ein Beispiel für Verfahrensverzeichnisse geben Ihnen die folgenden Leitfäden, Vorlagen und Muster als Anleitung und Ausfüllhilfen.Gesellschaft für Datenschutz und Datensicherheit GDD-Praxishilfe DSGVO V (PDF, 17 Seiten, Stand April 2017)Verzeichnis von VerarbeitungstätigkeitenDigitalverbund BitkomDas Verarbeitungsverzeichnis (PDF, 46 Seiten, Stand: 2017) Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-Datenschutz-Grundverordnung (DSGVO)Berufsverband der Datenschutzbeauftragten DeutschlandsMuster: Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DSGVO (PDF, 3 Seiten, Stand: Juni 2017)Muster: Übersicht von Verarbeitungstätigkeiten Auftragsverarbeiter gem. Artikel 30 Abs. 2 DSGVO (PDF, 3 Seiten, Stand Juni 2017)Landesbeauftragte für den Datenschutz Niedersachsen Hinweise zum Verzeichnis für Verarbeitungstätigkeiten (PDF, 13 Seiten, Stand: 30. Juni 2017)Warum Verarbeitungsverzeichnis?Bei Inhalt und Umfang Ihres Verarbeitungsverzeichnises gibt die DSGVO lediglich die Mindestanforderungen vor. Diese können variieren – je nach Art und Größe Ihres Unternehmens. Wenn es allerdings um die Frage nach dem „Warum überhaupt Verarbeitungsverzeichnis?“ geht, ist es immer leicht zu sagen: „Weil das nun einmal die Vorschriften sind“.Unser Tipp: Machen Sie sich aus der Pflicht eine Kür. Sie können die vorgeschriebene Dokumentationspflicht nämlich auch für Ihr Unternehmen gewinnbringend nutzen, so zum Beispiel für die Kundenbindung. Laut einer Umfrage des britischen Marktforschungsinstituts Vanson Bourne im Auftrag der niederländischen Aktiengesellschaft Gemalto wird mangelnde Datensicherheit von Kunden schnell abgestraft. Danach würden die meisten Kunden (70 Prozent) nach einem Datenschutzvorfall keine weiteren Geschäfte mit dem verantwortlichen Unternehmen machen.Verarbeitungsverzeichnis als Chance begreifenSie können Ihr Verarbeitungsverfahren auch als Chance begreifen:Für Ihre eigene InformationssicherheitFür Ihre UnternehmenssicherheitZur vertrauensvollen Vermarktung Ihrer Produkte oder DienstleistungenChristian Volkmer, Autor bei Projekt 29 und Sachverständiger für Datenschutz und Informationssicherheit, schlägt darum vor, Ihr Verarbeitungsverzeichnis über die geforderte Dokumentationspflicht hinaus sinnvoll zu nutzen – auch, um künftig Ihre Nerven zu schonen, beispielsweise, umdie exakten Verarbeitungszwecke festzulegen (Art. 5 Abs. 1b DSGVO)Ihrer Rechenschafts- und Dokumentationspflicht nachzukommen (Art. 5 Abs. 2, Art. 24 DSGVO)geeignete Maßnahmen zu ergreifen, um Betroffenenrechte zu wahren (Art. 12 Abs. 1 DSGVO)geeignete technisch-organisatorische Maßnahmen zu ergreifen und diese auch nachweisen zu können (Art. 24 Abs. 1, Art. 32 DSGVO)zu prüfen, ob Sie eine Datenschutz-Folgenabschätzung durchführen müssen (Art. 35 DSGVO)eine gute Grundlage zu schaffen, damit Ihr Datenschutzbeauftragter seine Aufgaben adäquat erfüllen kann (Art. 39 DSGVO)Unterstützung vom FachmannSie sind sich unsicher, ob Ihr Verarbeitungsverzeichnis DSGVO-konform ist oder brauchen Unterstützung bei der optimalen Erstellung? Ist dies der Fall, dann wenden Sie sich vertrauensvoll an einen Dienstleister des Kompetenzverbunds IT-SERVICE.NETWORK.Weitere interessante Tipps und alle zentralen sowie relevanten Fakten zur DSGVO erhalten Sie natürlich hier bei uns im Blog. Linda Boegelein Fragen zum Artikel? Frag den Autor 14 Kommentare keyboard_arrow_downWebsite-Betreiber: Die Datenschutz-Grundverordnung kommt! - melon|media BlogSE, 18. April 2018 um 9:16Rechtschreibfehler-Hinweis: letzte Überschrift – Unersützung AntwortenIT-SERVICE.NETWORK, 18. April 2018 um 9:44Hallo SE,danke für den Hinweis, wir haben den Fehler korrigiert.Herzliche Grüße, Ihr IT-SERVICE.NETWORK AntwortenWerner Gayer, 4. Mai 2018 um 21:05Hallo, ja die DSGVO. Ich habe eine Frage zum Verarbeitungsverzeichnis. Ich habe vier kleine „Nischenwebseiten“, die ich als Partner von Amazon betreibe…. Ich habe nur Affiliate Links. Auf der Seite nutze ich außer Wordfence, noch Updraft als Plugins. Selbst Google Analytics nutze ich nicht mehr. Auf einer Webseite wie z.B. überlebenspaket-kaufen.com wird kein Kontaktformular, noch ein Newsletter angeboten. Inwiefern macht bei diesem stark abgespecken Internetangebot ein Verarbeitungsverzeichnis Sinn, wenn gar keine Daten der Besucher gesammelt werden bzw. wie kann in einem solchen Fall beispielhaft das Vearbeitungsverzeichnis aussehen und mass muss ich bei Nachfrage dokumentieren? Über eine Antwort würde ich mich freuen? AntwortenIT-SERVICE.NETWORK, 8. Mai 2018 um 8:32Hallo Herr Gayer,selbst wenn Sie auf den ersten Blick keine Besucherdaten sammeln, ist es grundsätzlich dennoch sinnvoll, eine Liste aller genutzten Anwendungen, in denen möglicherweise persönliche Daten gesammelt werden, anzulegen. Diese dient bereits als Basis für ein Verarbeitungsverzeichnis. Beispiele zum Aussehen des Verarbeitungsverzeichnisses gibt es einige im Netz, etwa im im Artikel verlinkten PDF des Bitkom.Ob in Ihrem Fall ein komplettes Verarbeitungsverzeichnis nötig ist, können wir aus der Ferne nicht rechtssicher beurteilen. Wir raten daher dazu, sich im Zweifelsfall von einem Datenschutzexperten beraten zu lassen.Herzliche Grüße, Ihr IT-SERVICE.NETWORK AntwortenHans, 9. Mai 2018 um 14:57Hallo,ich als Fotograf „Nebenberuflich, Einzelunternehmer“) muss ja auch eine TOM erstellen und ein Verarbeitungsverzeichnis führen.Meine Frage dazu:Muss ich für jeden Kunden ein einzelnes Verzeichnis führen, heißt ich muss darin beschreiben wann ich welche Daten und wie lange für jeden genannten Kunden sammle und aufbewahre? Und wie die technischen Maßnahmen dazu sind?Hieße dann grob ein 3 seitiges Pdf ausgedruckt und von mir unterschrieben für jeden Kunden dann abheften bzw. dokumentieren worin die Schritte aufgelistet sind?Man könnte eine vorlage erstellen, und dann die Felder ankreuzen und die Adresse des Kunden dann jeweils neu hinzufügen, so könnte man eine Vorlage für alle Kunden nutzen, da die Datenverarbeitungsvorgänge meißt immer die selben sind.Vielen Dank AntwortenIT-SERVICE.NETWORK, 15. Mai 2018 um 11:52Hallo Hans,die Frage, ob für jeden Kunden ein einzelnes Verzeichnis geführt werden muss, ist aktuell laut unserer Recherchen noch nicht eindeutig zu beantworten. So scheint hier die Rechtslage noch unklar, sodass man abwarten muss, wie die Behörden und Gerichte mit dem Thema umgehen werden. Grundsätzlich gilt wohl jedoch: Um auf Nummer sicher zu gehen, empfiehlt es sich, für jeden Kunden ein entsprechendes Verzeichnis zu führen und aufzubewahren.An dieser Stelle sei jedoch darauf hingewiesen, dass wir als Redakteure des IT-SERVICE.NETWORK keine verbindliche und rechtsgültige Beratung bieten können. Im Einzelfall ist darum dennoch eine professionelle Beratung, etwa durch einen Datenschutzbeauftragten, sinnvoll.Herzliche Grüße, IHR IT-SERVICE.NETWORK AntwortenGerald, 17. Mai 2018 um 12:21Hallo, ich bin ehrenamtlich in mehreren Vereinen tätig. Ich verstehe nicht genau, was ich dokumentieren muss: Muss ich jede Änderung einer Adresse oder Bankverbindung mit diesem Verzeichnis dokumentieren, oder muss ich nur dokumentieren, wo und wie ich solche Änderungen speichere und verarbeite und wer im Verein dafür zuständig ist? Danke im voraus AntwortenIT-SERVICE.NETWORK, 18. Mai 2018 um 12:03Hallo Gerald,das Verarbeitungsverzeichnis muss folgende Angaben enthalten:Angaben zum Verantwortlichen und dessen Vertreter sowie, soweit vorhanden, dem DatenschutzbeauftragtenBezeichnung der VerarbeitungstätigkeitZweck der VerarbeitungsBeschreibung der Kategorien betroffener PersonenBeschreibung der DatenkategorienKategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch werdenDatenübermittlungFristen für die Löschung der verschiedenen DatenkategorienTechnische und organisatorische Maßnahmen (TOM)Im Netz finden Sie zahlreiche Mustervorlagen, etwa beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.. Dort ist genau beschrieben, welche Daten Sie dokumentieren müssen. Wichtig ist in jedem Fall die Angabe, an welchen Stellen Daten erfasst und verarbeitet werden und wer für die Verarbeitung zuständig ist.Im Zweifelsfall sollten Sie einen Experten zurate ziehen, der Sie beim Aufbau eines Verarbeitungsverzeichnis unterstützt.Herzliche Grüße, IHR IT-SERVICE.NETWORK AntwortenDSGVO für Blogger – Das gibt es zu Beachten – AntaryBerger, 27. Mai 2018 um 20:42Hallo, Ich bin Kosmetikerin und bekomme die persönlichen Daten meiner Kundinnen für Terminabsprachen und von einigen für Zusendung von Angebotszetteln. Muss ich mir von jeder Kundin eine schriftliche Erlaubnis dazu holen??? Was muss da draufstehen? Gibt es irgendwo solche Beispiel-Zettel? AntwortenIT-SERVICE.NETWORK, 29. Mai 2018 um 14:46Hallo Berger,grundsätzlich gilt, dass die Datennutzung nur zulässig ist, wenn diejenigen, deren Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligen oder wenn eine gesetzliche Vorschrift die Datennutzung erlaubt. Das ist zum Beispiel der Fall, wenn die Daten zur Erfüllung eines Vertrags erforderlich sind oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist.Inwieweit bei Ihnen die gesetzlichen Vorschriften greifen, können wir im Einzelnen aus der Ferne nicht beurteilen und keine verbindliche, rechtsgültige Aussage treffen. Daher empfehlen wir immer noch einmal eine Beratung durch einen Datenschutzexperten, damit Sie auf der sicheren Seite sind.Muster für die Einwilligungserklärung finden Sie an verschiedenen Stellen im Internet, etwa beim Zentralverband des Deutschen Handwerks.Herzliche Grüße, Ihr IT-SERVICE.NETWORK AntwortenSebastian, 13. Juni 2018 um 12:25Hallo,ich bin ehrenamtlich in einem Verein tätig. Reicht es denn auch aus, das Verarbeitungsverzeichnis ins Impressum unserer Website mit aufzunehmen? Bzw. ist das überhaupt sinnvoll? AntwortenIT-SERVICE.NETWORK, 13. Juni 2018 um 14:04Hallo Sebastian,das Verarbeitungsverzeichnis muss laut unserer Recherchen nicht auf der Website öffentlich zugänglich gemacht werden. Daher ist es nicht sinnvoll bzw. nötig, das Verarbeitungsverzeichnis ins Impressum Ihrer Webseite mit aufzunehmen. Es ist allerdings den Aufsichtsbehörden auf Nachfragen vorzulegen.Herzliche Grüße, Ihr IT-SERVICE.NETWORK AntwortenSchreiben Sie einen Kommentar Antworten abbrechenIhre E-Mail Adresse wird nicht veröffentlicht. Kommentar absenden * = PflichtfelderBitte beachten Sie unsere DatenschutzerklärungDiese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.