Springe zum Inhalt

Verzeichnis von Verarbeitungstätigkeiten nach DS-GVO

Die Datenschutzgrundverordnung löst mit dem Verzeichnis von Verarbeitungstätigkeiten das Verfahrensverzeichnis des Bundesdatenschutzgesetzes ab.

gdpr Bild
Bild von thedescrier

Das Datenschutz-Verzeichnis nach DS-GVO

Seit langem herrscht in Deutschland eine Pflicht zum Führen eines Verfahrensverzeichnisses nach Bundesdatenschutzgesetz (BDSG). Es legt insbesondere dar, wie und warum personenbezogene Daten im Unternehmen erhoben, verarbeitet und weitergegeben werden.

Die Datenschutzgrundverordnung (DS-GVO) der EU löst die altern Verzeichnisse ab und ersetzt sie durch ein Verzeichnis von Verarbeitungstätigkeiten. Nicht nur verantwortliche Stellen, sondern auch Auftragsverarbeiter müssen ein solches Verzeichnis ab dem 25. Mai 2018 führen (§ 4 Nr. 8 DSGVO). Verantwortliche Stellen sind alle Unternehmen (und sogar Privatleute), die personenbezogene Daten erheben, das dürfte quasi jedes Unternehmen sein.

Beispiele für Verarbeitungstätigkeiten

Je nach Tätigkeitsbereich fallen unterschiedliche Verarbeitungstätigkeiten an. Hier einige Beispiele, denen der Bereich vorangestellt ist.

  • Marketing: Gewinnspiel-Durchführung, Rückrufservice, Webtracking
  • Personalwesen: Arbeitssicherheit, elektronische Zeiterfassung, Urlaubsplanung, Verbandbuch
  • IT-Management: VOIP (Voice over IP), IT-Administration, Home Office, elektronisches Adressbuch, E-Mail Archivierung, Backups

Auskunft über gespeicherte Daten

Das Verzeichnis betrifft alle in einem Dateisystem gespeicherten personenbezogenen Daten. Ein Dateisystem ist eine strukturierte Sammlung von Daten, also eine digitale Datei auf einem Speichermedium wie einer Festplatte oder auch ein Aktenordnung mit abgehefteten Blättern. Dabei ist es unerheblich, ob diese Daten automatisiert, teilautomatisiert oder händisch gespeichert werden.

Auf Anfrage sind alle Verzeichnisse dieser Art den Aufsichtsbehörden in angemessener Zeit zur Verfügung zu stellen. Die Sprache ist deutsch. Es gilt die Schriftform. Eine digitale Bereitstellung, etwa als PDF Dokument, ist zulässig. Allerdings kann die Aufsichtsbehörde festlegen, ob sie eine ausgedruckte oder eine digitale Form wünscht.

Pflicht für Webseitenbetreiber

Änderungen sind zu dokumentieren und ein Jahr lang vorzuhalten. Dies ergibt sich auch aus der Rechenschaftspflicht gemäß § 5 Abs. 2 DSGVO. Jedes Unternehmen mit einer Webseite ist quasi zum Führen eines DSGVO-Verzeichnisses verpflichtet, weil die Verarbeitung personenbezogener Daten auf Websites zwangsläufig für jeden Besucher erfolgt. Vergleiche hierzu den Artikel zu IP-Adressen als personenbezogenes Datum.

Inhalt des Verzeichnisses

Das Verzeichnis enthält Informationen zu Tätigkeiten der Verarbeitung personenbezogener Daten. Dabei ist es unerheblich, ob die Verarbeitung automatisch, manuell oder in einer Mischform betrieben wird.

Je nach Umfang der Dokumentation kann eine Gliederung in mehreren Verzeichnissen sinnvoll sein. Den Inhalt regelt § 30 Abs. 1 S. 2 a-g DSGVO. Alle Angaben müssen dieser Vorgabe folgen. Die zu dokumentierenden Informationen sind im folgenden abschnittsweise dargestellt.

Namen und Kontaktdaten

Postalische, elektronische und telefonische Erreichbarkeit von Verantwortlichen, von Vertretern für Drittstaaten und eines Datenschutzbeauftragten, sofern vorhanden.

Zwecke der Datenverarbeitung

Die verarbeiteten Daten liegen meist in unterschiedlichen Einzelverzeichnissen vor, beispielsweise

  • Personalakte
  • Abwesenheitsliste
  • Vertreterliste
  • Gehaltsabrechnung
  • Zuständigkeiten und Tätigkeitsfelder

Für alle Einzelverzeichnisse sind vorher die Zwecke in eindeutiger und transparenter Weise festzulegen, damit eine Aufsichtsbehörde die Zulässigkeit prüfen kann. Auch müssen getroffene Schutzmaßnahmen aus dem Verzeichnis hervorgehen, beispielsweise abschließbare Büros oder Ausweiskontrollen an der Eingangstür.

Kategorien von Personen und Daten

Die Kategorien betroffener Personen und von personenbezogenen Daten sind zu nennen. Beispiele für Personenkategorien:

  • Mitarbeiter
  • Auftragsverarbeiter
  • Kunden
  • Lieferanten
  • Besucher der Website
  • Newsletter-Abonnenten

Beispiele für Datenkategorien:

  • Adressdaten
  • Bankverbindungen
  • Kontaktdaten
  • Umsatz
  • Bonität
  • Lieferkonditionen
  • Zahlungskonditionen

Kategorien von Empfängern

Empfänger von personenbezogenen Daten sind in Kategorien zu gliedern und zu nennen. Beispiele für Empfängerkategorien:

  • Steuerberater
  • Banken
  • Mitarbeiter
  • Kunden
  • Lieferanten
  • Vertriebsmitarbeiter
  • Webmaster / Webagentur
  • Finanzamt

Ein Empfänger kann auch Teil eines Unternehmens sein, etwa eine Abteilung oder eine Zweigstelle. Neben Empfängerangaben müssen Zugriffsberechtigte in Form von eindeutigen Rollenbeschreibungen genannt werden. Existieren keine Empfänger in Drittländern, sollte dies explizit erwähnt werden. Vorhandene Empfänger müssen genannt sein. Empfänger kann auch ein Server in einem Drittland sein, auf dem Daten gelagert werden. Hierzu zählen insbesondere der Betrieb von Webseiten oder Cloud-Lösungen. Es sind nicht nur aktuelle und zulünftige, sondern auch frühere Empfänger zu benennen.

Datenübermittlung in Drittländern

Hier werden keine Empfängerkategorien unterschieden. Für den Empfänger sind geeignete Garantien zu dokumentieren, dass er sich an die Datenschutzrichtlinien der EU hält. Deswegen empfehlen wir unter anderem, auf den Einsatz von Google Analytics zu verzichten. Die daraus entstehenden Pflichten und Gefahren im Rahmen der DS-GVO sind weit höher als der Nutzen gegenüber anderen Tools wie Piwik.

Speicherdauer / Löschfristen

Pro Datenkategorie sind die Löschfristen anzugeben, also der Zeitraum, nach dem die Speicherung der Daten beendet ist. Hierzu sind gesetzlich geregelte Aufbewahrungs- und Löschfristen anzugeben ebenso wie selbst festgelegte Fristen. Allgemeine Angaben zu gesetzlichen Pflichten reichen nicht aus, sie müssen konkret benannt werden.

Technische und Organisatorische Maßnahmen

Die Technischen und Organisatorischen Maßnahmen werden oft mit TOM abgekürzt. Enthält Verweise auf vorhandene Dokumente und Konzepte zur Sicherhstellung einer adäquaten Datenverarbeitung. Ein Sicherheitskonzept muss vorliegen. Standarddatenschutzmodelle sind anzugeben. Weitere geeignete Maßnahmen sind insbesondere:

  • Verschlüsselung von Daten
  • Backup-Mechanismen
  • Pseudonymisierung und Anonymisierung von personenbezogenen Daten
  • Fail-Over Mechanismen (etwa zur Vermeidung von Unverfügsarkeiten)
  • Verfahren zur Sicherstellung der TOMs

Auftragsverarbeiter

Auftragsverarbeiter führen ein eigenes Verzeichnis, welches deutlich weniger Informationen enthalten muss. Der Inhalt besteht aus Namen und Kontaktdaten, Beschreibungen zur Verarbeitung von Daten, Übermittlung an Drittländer und TOMs.

Eempfehlungen

Man sollte sich zunächst die wichtigsten Prozesse in seinem Unternehmen anschauen und diese so gestalten, dass möglichst keine Konflikte mit der DS-GVO entstehen.
Danach kommen die weniger wichtigen Prozesse an die Reihe. Was in jedem Fall wichtig ist, ist die erwähnte Vereinbarung zur Auftragsverarbeitung mit Dritten und ein Datenschuzt-Management-System. Zur Arbeitserleichterung gibt es ein paar gute Systeme auf dem Markt. Sie erklären Schritt für Schritt, was genau zu tun ist.
Eine sehr gute Hilfestellung gibt das Datenschutz-Management-Handbuch mit zahlreichen Vorlagen (Excel, Word) und Entscheidungshilfen sowie Hintergrundinfos.

Website-Schutzpaket

  • Individuelle Datenschutzerklärung
  • Prüfung Ihrer gesamten Website
  • Kein Fragebogen: Wir machen die Arbeit
  • Empfehlungen für maximale Rechtssicherheit
  • Prüfbericht und Nachprüfung nach Umsetzung