Verzeichnis von Verarbeitungstätigkeiten
gemäß Art. 30 DSGVODie Datenschutz-Grundverordnung (DSGVO) bringt eine Reihe von Dokumentationspflichten mit. Das Herzstück dieser Dokumentation ist das Verzeichnis von Verarbeitungstätigkeiten. Darin sind die Prozesse, bei denen personenbezogene Daten verarbeitet werden, systematisch dokumentiert.
Welche Inhalte müssen enthalten sein?
Das Verzeichnis von Verarbeitungstätigkeiten stellt eine strukturierte Übersicht Ihrer Datenverarbeitung dar. Es ist in einzelne Verarbeitungstätigkeiten gegliedert.
Name und Kontaktdaten
Verarbeitungszweck
Kategorien
Empfänger
Übermittlung Drittland
Löschfristen und Datensicherheit
Wie erstelle ich ein Verzeichnis von Verarbeitungsätigkeiten?
Wenn Sie „auf der grünen Wiese“ ohne Software starten, bietet sich ein strukturiertes Vorgehen an:
Organisation des Unternehmens
Im ersten Schritt unterteilen Sie Ihr Unternehmen in organisatorische Bereiche, Abteilungen o.ä. (z.B. anhand eines Organigramms). Das ist für die Strukturierung des Verzeichnisses sinnvoll und hilft Ihnen, die richtigen Ansprechpartner zu finden. In fast allen Unternehmen gibt es ähnliche Bereiche, die mit personenbezogenen Daten arbeiten:
Buchhaltung
Personal
Marketing
…
Verarbeitungsprozesse identifizieren
Gehen Sie Ihr Unternehmen dann systematisch Bereich für Bereich durch und identifizieren Sie die einzelnen Verarbeitungstätigkeiten. Tragen Sie jede Verarbeitungstätigkeit in Ihr Verzeichnis ein und wählen Sie dabei Bezeichnungen, mit denen man in Ihrem Unternehmen etwas anfangen kann.
Hierzu ein Beispiel:
Bei Ihnen gibt es wahrscheinlich eine Personalabteilung oder zumindest einen Personalverantwortlichen. In diesem Bereich werden klassischerweise Daten von Mitarbeitern und auch von Bewerbern verarbeitet. Dazu zählen Name, Adresse und Bankverbindung, aber auch sensible Daten wie die Konfession. Diese Daten werden für den Arbeitsvertrag und die Überweisung der Gehälter gebraucht. Bei Bewerbern werden außerdem noch Informationen aus dem Lebenslauf gespeichert. Et voilà: Sie haben Ihre ersten drei Verarbeitungstätigkeiten gefunden: die klassische Personalverwaltung, die Lohn- und Gehaltsabrechnung und die Bewerbungen.
Hier finden Sie eine exemplarische Sammlung von Verarbeitungstätigkeiten:
Finanzbuchhaltung (Debitoren, Kreditoren, etc.)
Zahlungsverkehr
Bonitätsprüfung
Controlling
Mahnwesen
Reisekosten und Auslagen
Personalverwaltung
Lohnbuchhaltung
Personaleinsatzplanung
Zeiterfassung / An- und Abwesenheiten
Betriebliche Altersvorsorge & sonstige Versicherungen
Notfalllisten
Geburtstage und Jubiläen
Benefits (Nahverkehr, Fitnessstudio, etc.)
Personalentwicklung
Bewerbungen
Websites
Apps
Social Media
E-Mail Marketing
Blacklist / Do-not-contact List
Direktmarketing (Post)
Gewinnspiele
Umfragen
Messen und Veranstaltungen
Kundenverwaltung / CRM
Auftragsmanagement / ERP
Projektmanagement
Kundenservice
Nutzer- und Verzeichnisdienst
Datenhaltung / Fileserver
Prüfung / Überwachung der IT-Systeme
Dokumenten-Management
Büro-Software
Telefonanlage
E-Mail, Kalender, Adressbuch
Interne Kommunikation (Groupware, Chats, etc.)
Device Management
IT-Support
Passwort-Manager
Intranet / Wiki
Besucher WLAN
Videoüberwachung
Elektronische Zutrittskontrolle (Keycard, Chip)
Akten- & Datenträgervernichtung
Reisemanagement
Flottenmanagement
Warum müssen Unternehmen das Verfahren erstellen?
Was ist eine Verarbeitung?
Eine Verarbeitungstätigkeit stellt einen abgrenzbaren Prozess dar, bei dem personenbezogene Daten zur Realisierung eines oder mehrerer Zwecke verarbeitet werden. Beispiele von Verarbeitungstätigkeiten sind etwa eine Videoüberwachung von Verkaufsräumen, ein System zur Zeiterfassung oder der Betrieb einer CRM-Anwendung.
Sinn des Verzeichnisses
Das Verzeichnis von Verarbeitungstätigkeiten ermöglicht Ihnen und ggf. Ihrem Datenschutzbeauftragten, den Überblick über die Datenverarbeitung zu behalten, die Rechtmäßigkeit der einzelnen Verarbeitungen zu prüfen und Auskunftsansprüche von betroffenen Personen zügig zu bearbeiten. Außerdem kann es der zuständigen Aufsichtsbehörde dazu dienen, die Erfüllung Ihrer Pflichten aus der DSGVO rückblickend zu kontrollieren.
Wer ist verpflichtet?
Die DSGVO sieht für Unternehmen mit weniger als 250 Beschäftigten eine Befreiung von dieser Dokumentationspflicht vor. Diese Ausnahmeregelung greift aber nur dann, wenn Unternehmen nur gelegentlich Daten verarbeiten und die Datenverarbeitung keine Risiken für die Rechte und Freiheiten der betroffenen Personen birgt. Damit dürfte diese Ausnahme für die meisten Unternehmen wertlos sein, da bereits die Existenz einer Kundendatenbank oder die Verwaltung von Mitarbeiterdaten dazu führt, dass die Datenverarbeitung nicht mehr nur gelegentlich erfolgt.
Aus diesem Grund müssen auch viele Selbstständige, Agenturen, Handwerksbetriebe und Arztpraxen ein Verzeichnis von Verarbeitungstätigkeiten führen
Sanktionen
Bei Verstößen gegen die Dokumentationspflicht drohen gemäß Art. 83 Abs. 4 lit. a) DSGVO Geldbußen von bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens – je nachdem, was höher liegt.
Allerdings ist das kein Automatismus. Gemäß Art. 58 Abs. 1 DSGVO können Aufsichtsbehörden anstelle einer Geldbuße auch eine Verwarnung aussprechen. Die Aufsichtsbehörden sollen sicherstellen, dass Bußgelder im Einzelfall wirksam, verhältnismäßig und abschreckend sind. Die Frage, ob ein Bußgeld erlassen wird und wenn ja, in welcher Höhe, orientiert sich daher an der Leistungsstärke des Unternehmens und am konkreten Verstoß.