Die Datenschutz-Grundverordnung (DSGVO) bringt eine Reihe von Dokumentationspflichten mit. Das Herzstück dieser Dokumentation ist das Verzeichnis von Verarbeitungstätigkeiten. Darin sind die Prozesse, bei denen personenbezogene Daten verarbeitet werden, systematisch dokumentiert.
Auf dieser Seite erfahren Sie alles, was Sie für die Erstellung Ihres Verarbeitungsverzeichnisses wissen müssen.
Generator für das Verzeichnis von Verarbeitungstätigkeiten
Mit unserem SeeYourData Generator erstellen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten in nur 5 Minuten: Datenverarbeitungen auswählen, anpassen und lokal speichern. Probieren Sie es aus!
Wie kann das Verzeichnis von Verarbeitungstätigkeiten erstellt werden?
Anleitung
Wenn Sie “auf der grünen Wiese” starten, bietet sich ein strukturiertes Vorgehen an.
1. Organisation des Unternehmens
Im ersten Schritt unterteilen Sie Ihr Unternehmen in organisatorische Bereiche, Abteilungen o.ä. (z.B. anhand eines Organigramms). Das ist für die Strukturierung des Verzeichnisses sinnvoll und hilft Ihnen, die richtigen Ansprechpartner zu finden. In fast allen Unternehmen gibt es ähnliche Bereiche, die mit personenbezogenen Daten arbeiten:
- Buchhaltung
- Personal
- Marketing
- …
2. Verarbeitungsprozesse identifizieren
Gehen Sie Ihr Unternehmen dann systematisch Bereich für Bereich durch und identifizieren Sie die einzelnen Verarbeitungstätigkeiten. Tragen Sie jede Verarbeitungstätigkeit in Ihr Verzeichnis ein und wählen Sie dabei Bezeichnungen, mit denen man in Ihrem Unternehmen etwas anfangen kann.
Hierzu ein Beispiel:
Bei Ihnen gibt es wahrscheinlich eine Personalabteilung oder zumindest einen Personalverantwortlichen. In diesem Bereich werden klassischerweise Daten von Mitarbeitern und auch von Bewerbern verarbeitet. Dazu zählen Name, Adresse und Bankverbindung, aber auch sensible Daten wie die Konfession. Diese Daten werden für den Arbeitsvertrag und die Überweisung der Gehälter gebraucht. Bei Bewerbern werden außerdem noch Informationen aus dem Lebenslauf gespeichert. Et voilà: Sie haben Ihre ersten drei Verarbeitungstätigkeiten gefunden: die klassische Personalverwaltung, die Lohn- und Gehaltsabrechnung und die Bewerbungen.
Hier finden Sie eine exemplarische Sammlung von Verarbeitungstätigkeiten:
- Finanzbuchhaltung (Debitoren, Kreditoren, etc.)
- Zahlungsverkehr
- Bonitätsprüfung
- Controlling
- Mahnwesen
- Reisekosten und Auslagen
- Personalverwaltung
- Lohnbuchhaltung
- Personaleinsatzplanung
- Zeiterfassung / An- und Abwesenheiten
- Betriebliche Altersvorsorge & sonstige Versicherungen
- Notfalllisten
- Geburtstage und Jubiläen
- Benefits (Nahverkehr, Fitnessstudio, etc.)
- Personalentwicklung
- Bewerbungen
- Websites
- Apps
- Social Media
- E-Mail Marketing
- Blacklist / Do-not-contact List
- Direktmarketing (Post)
- Duplettenabgleich
- Gewinnspiele
- Umfragen
- Messen und Veranstaltungen
- Suchmaschinenmarketing
- Custom Audiences
- Data Warehouse / Business Analytics
- Kundenverwaltung / CRM
- Auftragsmanagement / ERP
- Projektmanagement
- Kundenservice
- Nutzer- und Verzeichnisdienst
- Datenhaltung / Fileserver
- Prüfung / Überwachung der IT-Systeme
- Dokumenten-Management
- Büro-Software
- Telefonanlage
- E-Mail, Kalender, Adressbuch
- Interne Kommunikation (Groupware, Chats, etc.)
- Device Management
- IT-Support
- Passwort-Manager
- Intranet / Wiki
- Besucher WLAN
- Videoüberwachung
- Elektronische Zutrittskontrolle (Keycard, Chip)
- Akten- & Datenträgervernichtung
- Reisemanagement
- Flottenmanagement
Erst im Anschluss beginnen Sie mit der eigentlichen Dokumentation der Verarbeitungstätigkeiten. Hierzu müssen Sie jeweils die von Art. 30 Abs. 1 DSGVO geforderten Informationen angeben.
3. Inhalt des Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
Das Verzeichnis von Verarbeitungstätigkeiten stellt eine strukturierte Übersicht Ihrer Datenverarbeitung dar. Es ist in einzelne Verarbeitungstätigkeiten gegliedert.
Der Inhalt ergibt sich aus Art. 30 Abs. 1 DSGVO. Demnach enthält das Verzeichnis sämtliche folgenden Angaben:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Abs. 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Verfahrensverzeichnis nach dem alten BDSG
Für Unternehmen aus Deutschland ist diese Pflichtdokumentation eigentlich nicht neu. Schon aus dem alten Bundesdatenschutzgesetz (BDSG-alt) ergab sich die Pflicht, ein sogenanntes “Verfahrensverzeichnis” zu führen.
Zwar sind die Angaben nicht zu 100% deckungsgleich, wer aber schon ein Verfahrensverzeichnis hat, kann dieses mit wenig Aufwand zu einem Verzeichnis von Verarbeitungstätigkeiten umbauen.
“Das klingt alles noch sehr abstrakt? Lassen Sie sich dadurch nicht abschrecken! Mit dem SeeYourData Generator können Sie das Verzeichnis in wenigen Schritten erstellen.”
Worum geht es hier eigentlich?
Was ist eine Verarbeitungstätigkeit?
Eine Verarbeitungstätigkeit stellt einen abgrenzbaren Prozess dar, bei dem personenbezogene Daten zur Realisierung eines oder mehrerer Zwecke verarbeitet werden. Beispiele von Verarbeitungstätigkeiten sind etwa eine Videoüberwachung von Verkaufsräumen, ein System zur Zeiterfassung oder der Betrieb einer CRM-Anwendung.
Was ist der Sinn des Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten ermöglicht Ihnen und ggf. Ihrem Datenschutzbeauftragten, den Überblick über die Datenverarbeitung zu behalten, die Rechtmäßigkeit der einzelnen Verarbeitungen zu prüfen und Auskunftsansprüche von betroffenen Personen zügig zu bearbeiten. Außerdem kann es der zuständigen Aufsichtsbehörde dazu dienen, die Erfüllung Ihrer Pflichten aus der DSGVO rückblickend zu kontrollieren.
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?
Die DSGVO sieht für Unternehmen mit weniger als 250 Beschäftigten eine Befreiung von dieser Dokumentationspflicht vor. Diese Ausnahmeregelung greift aber nur dann, wenn Unternehmen nur gelegentlich Daten verarbeiten und die Datenverarbeitung keine Risiken für die Rechte und Freiheiten der betroffenen Personen birgt. Damit dürfte diese Ausnahme für die meisten Unternehmen wertlos sein, da bereits die Existenz einer Kundendatenbank oder die Verwaltung von Mitarbeiterdaten dazu führt, dass die Datenverarbeitung nicht mehr nur gelegentlich erfolgt.
Aus diesem Grund müssen auch viele Selbstständige, Agenturen, Handwerksbetriebe und Arztpraxen ein Verzeichnis von Verarbeitungstätigkeiten führen.
Welche Sanktionen drohen?
Bei Verstößen gegen die Dokumentationspflicht drohen gemäß Art. 83 Abs. 4 lit. a) DSGVO Geldbußen von bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens – je nachdem, was höher liegt.
Allerdings ist das kein Automatismus. Gemäß Art. 58 Abs. 1 DSGVO können Aufsichtsbehörden anstelle einer Geldbuße auch eine Verwarnung aussprechen. Die Aufsichtsbehörden sollen sicherstellen, dass Bußgelder im Einzelfall wirksam, verhältnismäßig und abschreckend sind. Die Frage, ob ein Bußgeld erlassen wird und wenn ja, in welcher Höhe, orientiert sich daher an der Leistungsstärke des Unternehmens und am konkreten Verstoß.