Auch wenige Wochen nach dem Stichtag der Datenschutzgrundverordnung (DSGVO) ist die Umsetzung der zahlreichen Anforderungen in vielen Unternehmen noch immer auf der Tagesordnung. Neben der Erstellung der Datenschutzerklärung und Fragestellungen zum Auskunftsrecht, ist die Dokumentation der Datenverarbeitung ein wesentlicher Baustein, um die Anforderungen des Datenschutzrechts in den Griff zu bekommen. Dabei stellt das Verzeichnis von Verarbeitungstätigkeiten eine wichtige Grundlage dar, mit deren Umsetzung aber viele Unternehmen noch ihre Schwierigkeiten haben. In diesem Beitrag erklären wir Ihnen, was sich genau hinter dieser Dokumentationspflicht verbirgt und zeigen Ihnen detailliert, was Sie bei der Erstellung beachten müssen. Falls Sie schon wissen worum es geht, können Sie mit unserem kostenfreien SeeYourData Genarator mit der Erstellung Ihres Verfahrens gleich loslegen.
Fast jedes Unternehmen muss das Verzeichnis führen
Bevor Sie starten, stellen Sie sich bestimmt die Frage, ob Ihr Unternehmen von dieser Dokumentationspflicht überhaupt betroffen ist. Das Gesetz befreit nämlich Unternehmen mit weniger als 250 Mitarbeitern von der Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Doch Achtung, der Schein trügt! Diese Befreiung gilt nämlich nur dann, wenn personenbezogene Daten „nur gelegentlich“ verarbeitet werden und die Datenverarbeitung keine Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Sobald also beispielsweise eine Kundendatei geführt wird, ist diese Befreiung bereits hinfällig. Dies führt dazu, dass auch kleinere Unternehmen, Agenturen oder Arztpraxen dazu verpflichtet sind, ein solches Verzeichnis zu führen. Auch Ihr Unternehmen ist daher mit hoher Wahrscheinlichkeit von dieser Dokumentationspflicht erfasst.
Warum ist das Verzeichnis von Verarbeitungstätigkeit notwendig?
Zunächst einmal dient es dazu, Ihnen selbst und gegebenenfalls Ihrem Datenschutzbeauftragten einen Überblick über die Verarbeitung personenbezogener Daten zu verschaffen, um im Folgenden deren Rechtmäßigkeit zu prüfen. Dazu dient das Verzeichnis als Hilfestellung für die Beantwortung von Auskunftsersuchen, da sie durch diese Form der Dokumentation eine schnelle Übersicht zu den in Ihrem Unternehmen gespeicherten Datenkategorien erhalten. Und natürlich ist das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO der Aufsichtsbehörde auf Anfrage zu Verfügung zu stellen und somit ein „notwendiges Übel“, wenn es darum geht, die Einhaltung der Pflichten aus der DSGVO aufzuzeigen. Zu guter Letzt sei noch angemerkt, dass fehlende Verzeichnisse mit Geldbußen von bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens (je nachdem, was höher liegt) geahndet werden können.
Unsere Anleitung für die Erstellung des Verzeichnisses
Als ersten Schritt müssen zunächst die Datenverarbeitungen für die Dokumentation identifiziert werden. Doch wie geht man hierbei vor? Eine Verarbeitungstätigkeit ist nach dem Datenschutzrecht ein abgrenzbarer Prozess, bei dem personenbezogene Daten verarbeitet werden und der auf die Erreichung eines oder mehrerer Zwecke abzielt. Hört sich kompliziert an, ist aber eigentlich gar nicht so schwer. Mit einigen Beispielen wird es vielleicht etwas deutlicher. So stellen die Lohnabrechnung, das Betreiben einer Website oder das Archivieren von E-Mails bereits drei beispielhafte Verarbeitungstätigkeiten dar, die es in das Verzeichnis aufzunehmen gilt. Weitere Beispiele finden Sie auf unserer Übersichtsseite zum Verzeichnis von Verarbeitungstätigkeiten.
Um die Vollständigkeit des Verzeichnisses zu gewährleisten, macht es also Sinn, sich im Vorfeld Gedanken über den Aufbau ihres Unternehmens zu machen und beispielsweise anhand eines Organigramms die einzelnen Bereiche (Buchhaltung, Marketing, IT, …) zu clustern, um dann im nächsten Schritt die einzelnen Verarbeitungstätigkeiten ausfindig zu machen.
Doch wie baut man ein solches Verzeichnis am besten auf? Hierbei hilft der Art. 30 Abs.1 DSGVO weiter, welcher folgende Angaben verlangt, die in das Verzeichnis aufzunehmen sind (wir haben die Angaben etwas vereinfacht dargestellt):
- Namen und Kontaktdaten Ihres Unternehmens;
- Datenschutzbeauftragter (sofern erforderlich und vorhanden);
- den konkreten Zweck der Verarbeitung;
- Wer ist betroffen (Kategorien wie Beschäftigte, Kunden etc. genügen);
- Welche Daten werden verarbeitet (Kategorien wie Kontaktdaten, Bankdaten etc. genügen);
- Welche weiteren Unternehmen (Empfänger) sind beteiligt (auch hier genügt die Angabe der Kategorie, wie IT-Dienstleister, Cloud-Speicherdient, Anbieter Newslettersoftware etc.);
- Übermittlungen in Drittländer (hier ist die konkrete Benennung des Landes, z.B. USA) sowie die Angabe der geeigneten Garantien (z.B. Privacy Shield bei US-Unternehmen);
- Dauer der Speicherung (wenn möglich);
- Beschreibung der technischen und organisatorischen Maßnahmen (wenn möglich).
All diese Angaben müssen nun vollständig, möglichst übersichtlich und für jede Verarbeitungstätigkeit einzeln in einem Verzeichnis verpackt werden. Das scheint auf den ersten Blick gar nicht so leicht, weshalb Sie von uns eine Hilfestellung bekommen.
Datenschutzgenerator SeeYourData
Mit unserem Datenschutzgenerator SeeYourData erstellen Sie mit wenigen Klicks ein übersichtliches Verarbeitungsverzeichnis für Ihr Unternehmen. Geben Sie zu Beginn einfach nur Ihren Namen und Ihr Unternehmen an und schon können Sie im nächsten Schritt die Bereiche Ihres Unternehmens auswählen, in denen regelmäßig personenbezogene Daten verarbeitet werden. Für alle von Ihnen ausgewählten Bereiche (z.B. IT, Marketing, Buchhaltung etc.) haben wir bereits die Beschreibung inklusive Zweck, Rechtsgrundlage und Aufbewahrung der Verarbeitungstätigkeiten vorgegeben. Wenn die Zuordnung in Ihrem Unternehmen abweicht, können Sie diese einfach per Drag and Drop ändern. Alle von Ihnen gewählten Verarbeitungstätigkeiten lassen sich am Ende frei editieren und können so auf Ihr Unternehmen individuell angepasst werden. Drucken Sie nun das Verzeichnis aus und schon haben Sie eine wichtige Dokumentationspflicht der DSGVO erfüllt. Mit unserem SeeYourData Generator erstellen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten in nur 5 Minuten:
Update, Juli 2018: Wir haben unsere Erkenntnisse zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten auf einer Übersichtsseite detailliert zusammengefasst.
Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.
Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.