Verzeichnis von Verarbeitungstätigkeiten

Die automatisierte Datenverarbeitung ist in den allermeisten Betrieben zentraler Bestandteil bei fast allen Geschäftsprozessen. Im Datenschutzrecht ist die Bereitstellung einer entsprechenden Übersicht gefordert – das sogenannte „Verzeichnis von Verarbeitungstätigkeiten“ (neues Recht), welches dass das „Verfahrensverzeichnis“ aus dem alten BDSG ablöst. Da weder das alte noch das neue Gesetz selbst keine sehr konkrete Beschreibung dieses zentralen Datenschutz-Instruments bzgl. dessen bietet, was unter „Verarbeitung“ bzw. „Verfahren“ zu verstehen ist, sind weiterhin Interpretationsspielräume gegeben, die ein gewisses Risikopotenzial bergen. Hier gilt es wohlüberlegt vorzugehen und möglichst auf „best practices“ zurückzugreifen.

 

Definition „Verzeichnis von Verarbeitungstätigkeiten“

Während das bisherige BDSG noch von „Verfahren automatisierter Verarbeitung“, die Bezug zu personenbezogenen Daten haben, sprach, ist die neue Rechtslage etwas breiter gefasst, denn eine „Verarbeitung“ beschreibt hier alle Vorgänge mit und ohne Unterstützung automatisierter Verfahren. In der Praxis kann man für das Verzeichnis von Verarbeitungstätigkeiten insoweit konkretisieren, dass

  • eine schriftlich oder elektronisch geführte Übersicht
  • von allen Verarbeitungskategorien zu erstellen ist,
  • die sich an den zentralen Geschäftsprozessen orientiert (diese aber nicht im Detail abbilden muss) und dabei
  • die Datenverarbeitungsaktivitäten mit Bezug zu personenbezogenen Daten (Erhebung, Erfassen, Ordnen, Speichern etc.) sinnvoll bündelt/kategorisiert,
  • welche in die Zuständigkeit des Verantwortlichen oder seines Vertreters

Das Verzeichnis von Verarbeitungstätigkeiten liegt in der Verantwortung des Verantwortlichen, ist aber primär ein zentrales Arbeitsmittel für den Datenschutzbeauftragten um bspw. Vorabkontrollen und Folgeabschätzungen durchführen, den Aufsichtsbehörden detaillierte Auskünfte erteilen oder die zahlreichen Informationsrechte der Betroffenen befriedigen zu können. Es enthält demnach auch nicht nur bestehende sondern auch beabsichtigte Verarbeitungsvorgänge, die vor einer Aktivierung noch datenschutzrechtlich zu überprüfen sind.

Es geht dabei insgesamt nicht um eine hochtechnische Darstellung genutzter IT-Systeme, sondern um eine verständliche Beschreibung wie die Behandlung personenbezogener Daten in den typischen Unternehmensprozessen eingebettet ist.

Die DSGVO und das BDSG(neu) haben im Übrigen zwei weitere wichtige Neuerungen bezüglich des bisherigen Verfahrensverzeichnisses gebracht: Das Verzeichnis von Verarbeitungstätigkeiten ist nun auch von Auftragsverarbeitern zu führen, und es gibt kein öffentliches bzw. „Jedermann“-Verzeichnis mehr. Das Verzeichnis von Verarbeitungstätigkeiten ist auf Anfrage dem Bundesbeauftragten für den Datenschutz vorzulegen.

 

Was beinhaltet das Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen?

Die DSGVO Art. 30 und das BDSG(neu) §70 regeln klar, was ein Datenschutz-konformes Verzeichnis von Verarbeitungstätigkeiten beinhalten muss. Dazu gehören Angaben zum Verantwortlichen, seinem Vertreter und einem etwaigen Datenschutzbeauftragten (Namen, Kontaktdaten) ebenso wie Informationen zur Zweckbestimmung, zu den Kategorien betroffener Personen, den Kategorien personenbezogener Daten, zur etwaigen Verwendung von Profiling, den Kategorien von Empfängern der Daten, vorgesehenen Löschfristen und geplanten Drittstaatenübermittlungen. Des Weiteren soll auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen enthalten sein, da diese eine wichtige Basis für die Wirksamkeit von Absicherungsmaßnahmen darstellen.

 

Was gehört in ein Verzeichnis von Verarbeitungstätigkeiten eines Auftragsverarbeiters?

Das Verzeichnis von Verarbeitungstätigkeiten eines Auftragsverarbeiters ähnelt demjenigen des Verantwortlichen, jedoch ist es nicht ganz so umfangreich: Neben Namen und Kontaktdaten des Auftragsverarbeiters, jedes beauftragenden Verantwortlichen bzw. dessen Vertreters sowie des Datenschutzbeauftragten und den Verarbeitungskategorien sind nur noch geplante Übermittlungen an Drittstaaten und Organisationen sowie die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zu erfassen.

 

Vorteile eines Verzeichnisses von Verarbeitungstätigkeiten im Datenschutz

Dem zugegebenermaßen nicht zu vernachlässigendem Aufwand der Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten stehen einige wichtige Vorteile gegenüber:

Es dient nicht nur der Befriedigung der gesetzlichen Informations- und Transparenzerfordernisse, es erlaubt dem Datenschutzbeauftragten auch eine deutlich einfachere Beurteilung datenschutzrelevanter Vorgänge sowie eine effizientere Vorabkontrolle bzw. Folgeabschätzung bei meldepflichtigen Verfahren. Ein strukturiertes und aktuelles Verzeichnis von Verarbeitungstätigkeiten spart im Anwendungsfall enorm Zeit.

DSM Online führt Sie auf Basis zahlreicher Vorlagen einfach und aufwandsarm durch den kompletten Erstellungsprozess für das Verzeichnis von Verarbeitungstätigkeiten und stellt Ihnen so ein zentrales Element Ihres Datenschutzes zur Verfügung.