Verzeichnis von Verarbeitungstätigkeiten

gemäß Art. 30 DSGVO

Die Datenschutz-Grundverordnung (DSGVO) bringt eine Reihe von Dokumentationspflichten mit. Das Herzstück dieser Dokumentation ist das Verzeichnis von Verarbeitungstätigkeiten. Darin sind die Prozesse, bei denen personenbezogene Daten verarbeitet werden, systematisch dokumentiert. 

Welche Inhalte müssen enthalten sein?

Das Verzeichnis von Verarbeitungstätigkeiten stellt eine strukturierte Übersicht Ihrer Datenverarbeitung dar. Es ist in einzelne Verarbeitungstätigkeiten gegliedert.

Häkchen

Name und Kontaktdaten

Den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten.
Häkchen

Verarbeitungszweck

Die konkreten Zwecke der Datenverarbeitung müssen benannt werden.
Häkchen

Kategorien

Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten.
Häkchen

Empfänger

Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.
Häkchen

Übermittlung Drittland

Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Abs. 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien.
Häkchen

Löschfristen und Datensicherheit

Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Wie erstelle ich ein Verzeichnis von Verarbeitungsätigkeiten?

Wenn Sie „auf der grünen Wiese“ ohne Software starten, bietet sich ein strukturiertes Vorgehen an:

Organisation des Unternehmens

Im ersten Schritt unterteilen Sie Ihr Unternehmen in organisatorische Bereiche, Abteilungen o.ä. (z.B. anhand eines Organigramms). Das ist für die Strukturierung des Verzeichnisses sinnvoll und hilft Ihnen, die richtigen Ansprechpartner zu finden. In fast allen Unternehmen gibt es ähnliche Bereiche, die mit personenbezogenen Daten arbeiten:

Buchhaltung
Personal
Marketing

Organisation des Unternehmens
Server

Verarbeitungsprozesse identifizieren

Gehen Sie Ihr Unternehmen dann systematisch Bereich für Bereich durch und identifizieren Sie die einzelnen Verarbeitungstätigkeiten. Tragen Sie jede Verarbeitungstätigkeit in Ihr Verzeichnis ein und wählen Sie dabei Bezeichnungen, mit denen man in Ihrem Unternehmen etwas anfangen kann.

Hierzu ein Beispiel:

Bei Ihnen gibt es wahrscheinlich eine Personalabteilung oder zumindest einen Personalverantwortlichen. In diesem Bereich werden klassischerweise Daten von Mitarbeitern und auch von Bewerbern verarbeitet. Dazu zählen Name, Adresse und Bankverbindung, aber auch sensible Daten wie die Konfession. Diese Daten werden für den Arbeitsvertrag und die Überweisung der Gehälter gebraucht. Bei Bewerbern werden außerdem noch Informationen aus dem Lebenslauf gespeichert. Et voilà: Sie haben Ihre ersten drei Verarbeitungstätigkeiten gefunden: die klassische Personalverwaltung, die Lohn- und Gehaltsabrechnung und die Bewerbungen.

Hier finden Sie eine exemplarische Sammlung von Verarbeitungstätigkeiten:

Finanzbuchhaltung (Debitoren, Kreditoren, etc.)

Zahlungsverkehr

Bonitätsprüfung

Controlling

Mahnwesen

Reisekosten und Auslagen

Personalverwaltung

Lohnbuchhaltung

Personaleinsatzplanung

Zeiterfassung / An- und Abwesenheiten

Betriebliche Altersvorsorge & sonstige Versicherungen

Notfalllisten

Geburtstage und Jubiläen

Benefits (Nahverkehr, Fitnessstudio, etc.)

Personalentwicklung

Bewerbungen

Websites

Apps

Social Media

E-Mail Marketing

Blacklist / Do-not-contact List

Direktmarketing (Post)

Gewinnspiele

Umfragen

Messen und Veranstaltungen

Kundenverwaltung / CRM

Auftragsmanagement / ERP

Projektmanagement

Kundenservice

Nutzer- und Verzeichnisdienst

Datenhaltung / Fileserver

Prüfung / Überwachung der IT-Systeme

Dokumenten-Management

Büro-Software

Telefonanlage

E-Mail, Kalender, Adressbuch

Interne Kommunikation (Groupware, Chats, etc.)

Device Management

IT-Support

Passwort-Manager

Intranet / Wiki

Besucher WLAN

 Videoüberwachung

Elektronische Zutrittskontrolle (Keycard, Chip)

Akten- & Datenträgervernichtung

Reisemanagement

Flottenmanagement

 

Warum müssen Unternehmen das Verfahren erstellen?

Was ist eine Verarbeitung?

Eine Verarbeitungstätigkeit stellt einen abgrenzbaren Prozess dar, bei dem personenbezogene Daten zur Realisierung eines oder mehrerer Zwecke verarbeitet werden. Beispiele von Verarbeitungstätigkeiten sind etwa eine Videoüberwachung von Verkaufsräumen, ein System zur Zeiterfassung oder der Betrieb einer CRM-Anwendung.

Einstellungen
Symbolbild: Glühbirne

Sinn des Verzeichnisses

Das Verzeichnis von Verarbeitungstätigkeiten ermöglicht Ihnen und ggf. Ihrem Datenschutzbeauftragten, den Überblick über die Datenverarbeitung zu behalten, die Rechtmäßigkeit der einzelnen Verarbeitungen zu prüfen und Auskunftsansprüche von betroffenen Personen zügig zu bearbeiten. Außerdem kann es der zuständigen Aufsichtsbehörde dazu dienen, die Erfüllung Ihrer Pflichten aus der DSGVO rückblickend zu kontrollieren.

Wer ist verpflichtet?

Die DSGVO sieht für Unternehmen mit weniger als 250 Beschäftigten eine Befreiung von dieser Dokumentationspflicht vor. Diese Ausnahmeregelung greift aber nur dann, wenn Unternehmen nur gelegentlich Daten verarbeiten und die Datenverarbeitung keine Risiken für die Rechte und Freiheiten der betroffenen Personen birgt. Damit dürfte diese Ausnahme für die meisten Unternehmen wertlos sein, da bereits die Existenz einer Kundendatenbank oder die Verwaltung von Mitarbeiterdaten dazu führt, dass die Datenverarbeitung nicht mehr nur gelegentlich erfolgt.

Aus diesem Grund müssen auch viele Selbstständige, Agenturen, Handwerksbetriebe und Arztpraxen ein Verzeichnis von Verarbeitungstätigkeiten führen

Gebäude
Sanktionen

Sanktionen

Bei Verstößen gegen die Dokumentationspflicht drohen gemäß Art. 83 Abs. 4 lit. a) DSGVO Geldbußen von bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens – je nachdem, was höher liegt.

Allerdings ist das kein Automatismus. Gemäß Art. 58 Abs. 1 DSGVO können Aufsichtsbehörden anstelle einer Geldbuße auch eine Verwarnung aussprechen. Die Aufsichtsbehörden sollen sicherstellen, dass Bußgelder im Einzelfall wirksam, verhältnismäßig und abschreckend sind. Die Frage, ob ein Bußgeld erlassen wird und wenn ja, in welcher Höhe, orientiert sich daher an der Leistungsstärke des Unternehmens und am konkreten Verstoß.