Menu
Schließen
Schließen
Verarbeitungsverzeichnis
Ein Verarbeitungsverzeichnis ist ein Dokument oder ein System, das alle Verarbeitungstätigkeiten personenbezogener Daten in einer Organisation auflistet und dokumentiert. Es dient dazu, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen und Transparenz über die Datenverarbeitung zu schaffen. Hier sind die wesentlichen Bestandteile und Anforderungen eines Verarbeitungsverzeichnisses:
– Name und Kontaktdaten des Verantwortlichen: Das ist in der Regel die Organisation oder Person, die für die Datenverarbeitung verantwortlich ist.
– Name und Kontaktdaten des Datenschutzbeauftragten: Falls vorhanden, müssen die Kontaktdaten des Datenschutzbeauftragten angegeben werden.
– Beschreibung der Zwecke: Für welche Zwecke werden die personenbezogenen Daten verarbeitet? Zum Beispiel Kundenverwaltung, Mitarbeiterverwaltung, Marketing, etc.
– Personengruppen: Z.B. Kunden, Mitarbeiter, Lieferanten, etc.
– Datenkategorien: Welche Arten von Daten werden verarbeitet? Zum Beispiel Namen, Adressen, Kontaktdaten, Geburtsdaten, etc.
– Interne und externe Empfänger: Wer bekommt die Daten? Das können interne Abteilungen oder externe Dienstleister sein.
– Länder und internationale Organisationen: Falls Daten in Länder außerhalb der EU übermittelt werden, müssen diese Länder und ggf. die angewendeten Sicherheitsmaßnahmen (z.B. Standardvertragsklauseln) angegeben werden.
– Speicherfristen: Wie lange werden die Daten aufbewahrt? Hier sollten die jeweiligen Aufbewahrungsfristen gemäß rechtlicher Anforderungen und interner Richtlinien genannt werden.
– Sicherheitsmaßnahmen: Welche Maßnahmen werden ergriffen, um die Sicherheit der Daten zu gewährleisten? Zum Beispiel Verschlüsselung, Zugangsberechtigungen, Pseudonymisierung, etc.
– Gesetzliche Grundlagen: Auf welcher rechtlichen Basis werden die Daten verarbeitet? Das können Einwilligungen, vertragliche Erfordernisse, rechtliche Verpflichtungen, etc. sein.
Beispiel eines Eintrags im Verarbeitungsverzeichnis
Verarbeitungstätigkeit: Kundenverwaltung
– Verantwortlicher: XYZ GmbH, Musterstraße 1, 12345 Musterstadt
– Datenschutzbeauftragter: Max Mustermann, datenschutz@xyz.de
– Zwecke der Verarbeitung: Verwaltung von Kundeninformationen zur Auftragsabwicklung und Kundenbetreuung
– Betroffene Personengruppen: Kunden
– Datenkategorien: Name, Adresse, E-Mail, Telefonnummer, Auftragsdaten
– Empfänger der Daten: Interne Abteilungen (Vertrieb, Buchhaltung), externe Dienstleister (IT-Provider)
– Übermittlungen in Drittländer: Keine
– Speicherfristen: 10 Jahre (gesetzliche Aufbewahrungsfrist für steuerrelevante Daten)
– Technische und organisatorische Maßnahmen: Verschlüsselung der Daten, Zugangskontrollen, regelmäßige Sicherheitsüberprüfungen
– Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Ein gut gepflegtes Verarbeitungsverzeichnis hilft nicht nur bei der Einhaltung der DSGVO, sondern kann auch als wertvolles internes Kontrollinstrument dienen.
Vor dem Inkrafttreten der DSGVO wurde das Verzeichnis für Datenverarbeitung als „Verfahrensverzeichnis“ bezeichnet, und nur größere Unternehmen waren verpflichtet, dieses zu führen. Heutzutage hat sich die Situation geändert. Gemäß Artikel 30 der DSGVO ist jedes Unternehmen, das personenbezogene Daten erhebt, speichert, weiterleitet oder verarbeitet, verpflichtet, ein Verarbeitungsverzeichnis zu führen.
Es handelt sich um eine gesetzliche Anforderung, die zwingend erfüllt werden sollte. Unternehmen können jederzeit von der Aufsichtsbehörde aufgefordert werden, das Verarbeitungsverzeichnis vorzulegen. Für die Aufsichtsbehörde fungiert es als Nachweis dafür, dass die Bestimmungen der DSGVO eingehalten werden. Das Verarbeitungsverzeichnis zielt jedoch auch darauf ab, Transparenz in Bezug auf die Verarbeitung personenbezogener Daten in einem Unternehmen zu schaffen.
Praktisch jeder Unternehmer und Selbstständige ist dazu verpflichtet, eine Übersicht über seine Datenverarbeitungsprozesse zu führen. Gemäß Artikel 30 der DSGVO gibt es theoretisch eine Ausnahme: Die Erstellung eines Verfahrensverzeichnisses ist erst ab 250 Mitarbeitern im Unternehmen verpflichtend, wie es Absatz 5 vorschreibt. Allerdings relativiert der Artikel selbst diese Ausnahme, indem er festlegt, dass jede Verarbeitung, die nicht nur gelegentlich stattfindet, in das Verfahrensverzeichnis aufgenommen werden muss.
Die Notwendigkeit eines Verfahrensverzeichnisses besteht unabhängig davon, ob ein Datenschutzbeauftragter im Unternehmen vorhanden ist oder nicht. Es ist immer erforderlich, es sei denn, die Datenverarbeitung erfolgt nur „gelegentlich“.
Es sei angemerkt, dass die Forderung nach einem Verfahrensverzeichnis nicht neu mit der DSGVO eingeführt wurde. Unternehmen, die bereits vor der DSGVO ein funktionierendes Datenschutzsystem etabliert hatten, sollten von dieser Anforderung nicht überrascht sein.
Ein Verfahrensverzeichnis, auch als Verzeichnis von Verarbeitungstätigkeiten bezeichnet, ist ein Dokument, das Unternehmen und Organisationen dazu dient, eine Übersicht über die verschiedenen Arten von personenbezogenen Datenverarbeitungen zu erstellen, die sie durchführen. Dieses Verzeichnis ist Teil der Datenschutzdokumentation und spielt eine wichtige Rolle im Rahmen des Datenschutzes.
Gemäß der Datenschutz-Grundverordnung (DSGVO), einem europäischen Datenschutzgesetz, müssen Verantwortliche für die Verarbeitung personenbezogener Daten (z.B. Unternehmen, Organisationen) ein Verfahrensverzeichnis erstellen und auf Anfrage den Datenschutzaufsichtsbehörden zur Verfügung stellen. Das Verfahrensverzeichnis enthält Informationen wie:
1. Verantwortlicher und ggf. Datenschutzbeauftragter: Die Namen und Kontaktdaten der für die Verarbeitung Verantwortlichen sowie des Datenschutzbeauftragten, falls einer bestellt wurde.
2. Zwecke der Datenverarbeitung: Eine Beschreibung der Zwecke, für die personenbezogene Daten verarbeitet werden.
3. Beschreibung der betroffenen Personen und der Kategorien von Daten: Informationen über die Gruppen von Personen, deren Daten verarbeitet werden, sowie die Arten von personenbezogenen Daten, die verarbeitet werden.
4. Empfänger oder Kategorien von Empfängern: Eine Aufstellung der Empfänger oder Kategorien von Empfängern, denen personenbezogene Daten offengelegt werden können.
5. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen: Falls Daten außerhalb der Europäischen Union übermittelt werden, muss dies dokumentiert werden.
6. Dauer der Speicherung: Die geplante Dauer, für die die personenbezogenen Daten gespeichert werden.
7. Technische und organisatorische Maßnahmen: Eine Beschreibung der getroffenen Sicherheitsmaßnahmen zum Schutz der Daten.
Die Erstellung und Aktualisierung des Verfahrensverzeichnisses ist ein wichtiger Schritt zur Einhaltung der Datenschutzbestimmungen und ermöglicht es Unternehmen, ihre Datenverarbeitungsaktivitäten transparent zu dokumentieren.
Absatz 5 scheint darauf hinzudeuten, dass Unternehmen mit weniger als 250 Mitarbeitern von der Verpflichtung zur Führung eines Verzeichnisses befreit sind, es sei denn, sie verarbeiten personenbezogene Daten, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, die Verarbeitung erfolgt nicht nur gelegentlich, oder es handelt sich um besondere Datenkategorien gemäß Art. 9 oder strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 der Datenschutz-Grundverordnung (DSGVO).
Bei genauerer Betrachtung könnte dies jedoch anders interpretiert werden. Erstens besteht immer ein gewisses Risiko, und zweitens erfolgt die Datenverarbeitung bei einem dauerhaften Geschäftsbetrieb regelmäßig, nicht nur gelegentlich. Drittens werden in der Regel auch einige besondere Datenkategorien nach Art. 9 DSGVO verarbeitet, wie beispielsweise Gesundheitsdaten in Form von Krankheitstagen oder Einschränkungen. Dies würde bedeuten, dass alle Unternehmen unabhängig von ihrer Mitarbeiterzahl zur Führung eines Verzeichnisses verpflichtet wären, und die Einschränkung auf 250 Mitarbeiter im Absatz hätte keinen Sinn.
In Bezug auf das Verarbeitungsrisiko fehlt vor dem Begriff „Risiko“ offensichtlich ein quantifizierendes Adjektiv wie zum Beispiel „erhebliches“. Kommentatoren argumentieren, dass dies auf eine Verarbeitung mit geringem Risiko hinweist, bei der kein hohes oder erhebliches Risiko besteht. In Bezug auf die Regelmäßigkeit wird angenommen, dass dies keine alternative Bedingung ist, sondern eine zusätzliche Voraussetzung, sodass nur bei regelmäßiger Verarbeitung mit erheblichem Risiko die Pflicht zur Verzeichnisführung besteht, selbst wenn die Mitarbeiterzahl weniger als 250 beträgt. Die Frage, ob bereits geringfügige Gesundheitsdaten ausreichen würden, um die Pflicht zur Führung eines Verzeichnisses zu begründen, bleibt jedoch offen.
Eine mögliche konsensfähige Interpretation könnte sein, dass alle Unternehmen weiterhin ein Verfahrensverzeichnis erstellen müssen, aber kleine Unternehmen nur für regelmäßige Verarbeitungen. Dabei bleibt jedoch unklar, ab wann etwas als regelmäßig gilt.
Diese Interpretationen sind bisher wenig diskutiert und werden wahrscheinlich erst nach Stellungnahmen von Aufsichtsbehörden oder Gerichtsurteilen, vermutlich nicht vor 2019, geklärt sein. Angesichts dieser unsicheren Regelungen wird vorerst empfohlen, die bisherige Praxis der Verfahrensverzeichnisse nach dem Bundesdatenschutzgesetz beizubehalten.
Es gibt auch kein öffentliches Verzeichnis mit Einsichtsrecht für jedermann und keine Meldepflicht mehr gemäß § 4d und e BDSG. Stattdessen gibt es umfangreiche Informationspflichten.
Es bleibt abzuwarten, wie sich die technischen und organisatorischen Maßnahmen im neuen Verzeichnis widerspiegeln werden. Es wird empfohlen, eine Historie der Verfahrensverzeichnisse aufzubewahren, um Veränderungen transparent zu machen.
