EN

|

DE
This is some text inside of a div block.

Was ist ein Verarbeitungs-Verzeichnis?

Die DSGVO verlangt gem. Art 30, dass die verantwortlichen Stellen ein sogenanntes Verarbeitungsverzeichnis erstellen, in welchem alle Verarbeitungstätigkeiten verzeichnet sind, die sich mit personenbezogenen Daten befassen.

Hierbei handelt es sich mit Abstand um eines der wichtigsten Dokumente in der gesamten DSGVO, denn es betrifft alle Unternehmen. Sobald ein Unternehmen personenbezogene Daten verarbeitet, ist es dazu aufgefordert diese Prozesse feinsäuberlich in diesem Verzeichnis zu dokumentieren. Dies gilt selbstverständlich auch für Auftragsverarbeiter. Obwohl viele behaupten, dass die Erstellung lediglich Firmen mit mehr als 250 Mitarbeitern betrifft, gilt diese Ausnahme lediglich, wenn die Verarbeitung der personenbezogenen Daten nur gelegentlich erfolgt. Dies ist allerdings nur in den seltensten Fällen zutreffend. Sollte es sich um besondere Datenkategorien, wie beispielsweise Gesundheitsdaten, Religion oder ähnlichem handeln, trifft die Pflicht der Erstellung und Pflege eines Verarbeitungsverzeichnisses ohnehin zu.

Wie sieht ein solches Verarbeitungsverzeichnis aus?

Die Ausgestaltung dieses Dokuments obliegt den Unternehmen selbst. Doch der Inhalt muss die Pflichtangaben der DSGVO enthalten. Typischerweise wird eine klar strukturierte Form gewählt um alle Verarbeitungsprozesse nach dem gleichen Schema zu erfassen und eventuelle Änderungen schnell vornehmen zu können. Daher empfiehlt es sich auch das Verarbeitungsverzeichnis (VVT) in digitaler Form bereitzustellen.

Der Aufbau beschränkt sich hierbei auf drei Teile, dem Deckblatt, dem Hauptteil und einem weiteren Teil. Das Deckblatt enthält die notwendigen Informationen des Unternehmens und des verantwortlichen Datenschutzbeauftragten, ob intern oder extern. Der Hauptteil fasst die einzelnen Prozesse der Datenverarbeitung zusammen. Hier wird jeder einzelne Prozesse detailliert dokumentiert. Bestandteile sind unter anderem die Prozessnamen (bspw. Lohnbuchhaltung), der Zweck der Verarbeitung, die Beschreibung der Kategorie der verarbeiteten personenbezogenen Daten, die Empfänger der Daten, die Fristen zur Löschung und gegebenenfalls die Nennung der Unternehmen bei Übermittlung in ein Drittland.

Der dritte Teil umfasst die technischen und organisatorischen Maßnahmen (TOM). Diese setzen sich aus einzelnen Teilbereichen wie bspw. den Arbeitsanweisungen oder der IT-Sicherheit zusammen und dienen der Dokumentation, dass geeignete Maßnahmen zum Datenschutz getroffen wurden.

Was passiert bei Missachtung?

Die DSGVO bestraft Verstöße mit hohen Sanktionen, die jedoch verhältnismäßig angesetzt sind. Je nach schwere des Verstoßes der DSGVO drohen Unternehmen bis zu 20 Mio. Euro Strafe oder 4% des Jahresumsatzes, je nachdem welche der Strafen die höhere ist. Solche Ausmaße sind jedoch für Giganten gedacht und nicht für die Allgemeinheit. Dennoch sollen die Strafen hoch genug sein, um abschreckend zu wirken. Erste Sanktionen sind bereits erfolgt. Es bleibt abzuwarten wie hart die nächsten Verstöße geahndet werden.

Das Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis mit heyData

Das Verarbeitungsverzeichnis – die Grundlagen

Wann benötigt ein Unternehmen ein Verarbeitungsverzeichnis?

Die Inhalte eines Verarbeitungsverzeichnisses

Das Verarbeitungsverzeichnis und der externe Datenschutzbeauftragte

heyData – für ein rechtssicheres Verarbeitungsverzeichnis

Die moderne Datenverarbeitung hat in der Arbeitswelt eine herausragende Rolle eingenommen und somit auch an wirtschaftlicher Bedeutung. Die vermehrte Wahrnehmung der Betroffenenrechte führt zu einer vermehrten Nachfrage zu den Themen Auskunftsrecht und Transparenz gegenüber Betroffenen. Zur Erfüllung einer aussagekräftigen und aktuellen Dokumentation ist hierbei das Verarbeitungsverzeichnis ein Kerninstrument zur Umsetzung der Datenschutz- und Transparenzpflichten.


Nahezu jedes Unternehmen ist rechtlich verpflichtet ein korrektes Verarbeitungsverzeichnis zu führen, wenn es mit personenbezogenen Daten und deren Verarbeitung in Berührung kommt. Das Verarbeitungsverzeichnis stellt sich somit als Dokumentation dar, die grundsätzlich den Umgang mit personenbezogenen Daten innerhalb der Unternehmung aufzeigt. Durch die Verschriftlichung von Sicherheitsmaßnahmen werden datenschutzkonforme Methoden aufgezeigt, die den Schutz von Daten und Informationen definieren und somit eine Prüfung der Aufsichtsbehörden absichert. Dies ist ein wichtiger Punkt, da bei jeder Beschwerde oder Prüfung der erste Kontrollblick auf das Verarbeitungsverzeichnis gerichtet ist.



- Ein Verarbeitungsverzeichnis ist von jeder datenverarbeitenden Stelle zu führen


- Das Verzeichnis muss in schriftlicher Form geführt werden. Eine elektronische Dokumentation ist gesetzeskonform


- Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten führen


- Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder mit 2 % des Jahresumsatzes (vorangegangenes Geschäftsjahr) bestraft werden



Nach der DSGVO benötigt nahezu jedes Unternehmen ein ausführliches Verzeichnis, das die Verarbeitungstätigkeiten aufzeigt. Diese Vorgabe betrifft alle natürlichen Personen, Vereine, Unternehmen und Behörden, welche personenbezogene Daten verarbeiten. Auch Auftragsverarbeiter oder deren Vertreter sind verpflichtet ein Verzeichnis über alle beauftragten Verarbeitungstätigkeiten zu führen und unterliegen denselben datenschutzrechtlichen Auflagen, die auch der Auftraggeber erbringen muss.

Ist ein Unternehmen zur Führung eines Verarbeitungsverzeichnisses verpflichtet, sollten Möglichkeiten sondiert werden, um die Einhaltung der DSGVO sicherzustellen. Als Verantwortlicher kann man das Verzeichnis selbständig erstellen, aber dies stellt sich zumeist als schwer zu meisternde Hürde dar, da dies mit viel Zeitaufwand und hohem Risiko verbunden ist. Die sicherste Methode, die auch Ihr Kerngeschäft nicht beeinflusst, ist die Beauftragung eines Spezialisten!


heyData bietet sich hier gerne als Ihr kompetenter Partner an! Sprechen Sie uns einfach an!


Unter speziellen Umständen kann die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses hinfällig sein. Ein Verarbeitungsverzeichnis muss nach Art. 30 Abs. 5 der DSGVO nur geführt werden, wenn eines der folgenden Kriterien erfüllt wird:


- Das Unternehmen hat mindestens 250 Mitarbeiter


- Die Datenverarbeitung birgt ein Risiko hinsichtlich der Rechte und Freiheit betroffener Personen


- Es werden besonders sensible Daten verarbeitet (Religion, politische Einstellung, sexuelle Orientierung…)


- Daten über Verurteilungen oder Straftaten verarbeitet werden


- eine interne Datenverarbeitung nicht nur gelegentlich erfolgt


Besonders der letzte Punkt ist für kleinere Unternehmen schwer greifbar, da es keine genaue Definition über eine regelmäßige oder gelegentliche Verarbeitung von personenbezogenen Daten gibt. Hier gibt sich die Rechtsprechung und die einschlägige Literatur bedeckt.


1. Eine gelegentliche Datenverarbeitung definiert sich aber aus der Grundlage, dass eine Datenverarbeitung nur in großen Zeitintervallen stattfindet oder eine unvorhersehbare Folge des Kerngeschäftes darstellt.


2. Eine regelmäßige Datenverarbeitung liegt in diesen Fällen vor:


- Eine fortlaufende oder klar definierte (Zeitaspekt) Datenverarbeitung


- eine fortlaufende Datenverarbeitung


- eine Datenverarbeitung zu bestimmten Zeitpunkten


Ist einer dieser Punkte erfüllt, ist das Unternehmen zur Führung eines Verarbeitungsverzeichnisses verpflichtet!


Die dadurch resultierende Dokumentation aller Verarbeitungsvorgänge ist ein wichtiges Standbein einer Datenschutzkonformität, da das zu führende Verarbeitungsverzeichnis den Nachweis erbringt, dass alle Vorschriften der DSGVO eingehalten worden sind.



Als inhaltliche Anforderung werden in einem Verarbeitungsverzeichnis alle automatisierten, oder auch nicht automatisierte Datenverarbeitungsvorgänge von personenbezogenen Daten erfasst. Zu definieren sind alle gespeicherten oder noch zu speichernden Daten. Jede auf diese Daten bezogene Tätigkeit ist stets in dem Verarbeitungsverzeichnis zu dokumentieren.


Bei der ersten Erstellung eines Verarbeitungsverzeichnisses sollten ein Augenmerk auf Dateneingänge und Datenausgänge gelegt werden. Für jede einzelne Datenverarbeitungstätigkeit sollte eine neue Beschreibung angelegt werden. Sollten Bestandsdaten zu einem anderen Zweck verarbeitet werden, dann wird dieser neue Verarbeitungsvorgang auch schriftlich festgehalten!


„Müssen wirklich alle Kundendaten in einem Verarbeitungsverzeichnis erfasst werden“? – diese Frage wird oft an heyData herangetragen. Die Antwort ist einfach: Nein, in einem Verarbeitungsverzeichnis werden Datenschutzvorgänge und Datenkategorien erfasst, die intern personenbezogene Daten verarbeiten und speichern, aber keine einzelnen Kundendaten!


Als Beispiele für Tätigkeiten und Datenarbeiten sind zu nennen:


- Verarbeitung von Bewerber- und Personalinformationen


- interne und externe (betriebliche) Kommunikationsvorgänge


- Daten und Tätigkeiten aus der Kundenbetreuung


- Marketingaktivitäten


- Tätigkeiten aus der Finanzabteilung und Buchhaltung


- Video- und Audioüberwachung


- die Abläufe der Datenvernichtung


Jedes Verarbeitungsverzeichnis sollte folgende Punkte beinhalten:


1. Kontaktdaten und Benennung aller Verantwortlichen in Bezug auf Datenverarbeitung


2. Die Kontaktdaten des bestellten Datenschutzbeauftragten


3. Den Zweck der Datenverarbeitung (Personal, Urlaub, Verträge…)


4. Kategorie der zu verarbeitenden Daten betroffener Personen (z. B. Kunde, Angestellter…)


5. Empfängerkategorien, bei denen eine Offenlegung von Daten erfolgt oder erfolgen soll (z. B. Lieferanten, Behörden oder Kreditinstitute…)


6. Daten, die an ein Drittland oder an eine internationale Organisation übermittelt werden. Die Drittländer und die internationalen Organisationen müssen hierbei benannt werden


7. Angaben über die vorgesehenen Löschfristen der jeweiligen Datenkategorien.


8. Alle Beschreibungen der technisch- und organisatorischen Maßnahmen (TOM) sollten in einem Verarbeitungsverzeichnis definiert werden. Hier sollten alle durchgeführten Sicherheitsmaßnahmen aufgezeigt werden (z. B. IT-Sicherheit, Videoüberwachung…)


In einem Verarbeitungsverzeichnis ist eine Änderungsdokumentation zu führen. Ändert sich beispielsweise die Verantwortlichkeit oder der benannte Datenschutzbeauftragte, muss dies in der Änderungshistorie dokumentiert werden.


Die Frage nach dem Umfang des Verarbeitungsverzeichnisses ist gesetzlich nicht festgelegt und wird im Einzelfall bewertet. Allerdings drohen bei einem lückenhaften oder bei einem fehlenden Verarbeitungsverzeichnis Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des Jahresumsatzes (vorangegangenes Geschäftsjahr).



Ein externer Datenschutzbeauftragter ist für die sichere und rechtskonforme Umsetzung des Datenschutzes im Unternehmen zuständig und steht mit der Geschäftsleitung und den beteiligten Fachabteilungen im ständigen Austausch. Der Vorteil eines qualifizierten Datenschützers liegt klar auf der Hand – er besitzt die berufliche und fachliche Expertise und trägt das Risiko innerhalb seiner Aufgabenerfüllung. Um dies zu erfüllen, muss sich der externe Datenschutzbeauftragte mit regelmäßigen Fortbildungen und mit kontinuierlichem Wissensaufbau beweisen.


In der Bearbeitung eines Verarbeitungsverzeichnisses sollte der externe Datenschutzbeauftragte unterstützend zu Rate gezogen werden. Er besitzt die notwendige Expertise und Praxiserfahrung. In Zusammenarbeit mit den jeweiligen Fachabteilungen und der Geschäftsführung können alle Verarbeitungstätigkeiten erkannt und somit in dem Verarbeitungsverzeichnis dokumentiert werden.


Da der externe Datenschützer innerhalb des Unternehmens quasi als externer Mitarbeiter agieren muss, kennt er alle datenschutzrelevanten Vorgänge und kann somit für eine sichere Dokumentation sorgen. In dem Verarbeitungsverzeichnis bündelt er alle Erkenntnisse und sorgt somit für ein lückenloses Protokoll, welches einer Prüfung der Aufsichtsbehörden standhält.



Nur ein ordentlich geführtes Verarbeitungsverzeichnis führt zu Rechtssicherheit! Durch ein sachgemäß geführtes Verzeichnis wird aber nicht nur dem Gesetzgeber entsprochen, sondern es spart auch innerbetrieblich Zeit und bietet den Ansatz für wirtschaftliche Vorteile.


heyData bietet Ihnen eine langfristige Prozessoptimierung und eine beruhigende Rechtssicherheit.


Mit heyData sind Sie in der Lage das Verarbeitungsverzeichnis auf eine gewissenhafte Art und Weise zu führen und haben mehr Spielraum für Ihr eigentliches Kerngeschäft. Sehen Sie in dem Verarbeitungsverzeichnis keine lästige Pflicht – es ist einer der Nachweise, dass das Unternehmen der Rechenschaftspflicht im Datenschutz nachkommt! Dies stärkt die Rechtssicherheit, aber auch Ihr inner- und außerbetriebliches Image. Durch ein anfallendes Change Management wird auch die Belegschaft in die Pflicht genommen und sorgt für ein „Wir-Gefühl“, welches auch auf der wirtschaftlichen Seite Pluspunkte verschafft.


Kontaktieren Sie heyData und lassen Sie sich von unseren Datenschutzexperten beraten!