Das Verarbeitungsverzeichnis – Wie wird es erstellt?

Warum ist das Verarbeitungsverzeichnis so wichtig?

Jeder Verantwortliche und jeder Auftragsverarbeiter muss nach der EU-Datenschutzgrundverordnung (DSGVO) ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten erstellen und führen. Mit Führen ist das aktuell halten und pflegen gemeint. Dieses Verzeichnis ersetzt die nach dem alten Recht als Verfahrensverzeichnis bekannten Dokumentationspflichten aus dem Bundesdatenschutzgesetz (BDSG).

In dem Verarbeitungsverzeichnis sind alle Datenverarbeitungsvorgänge von personenbezogenen Daten zu erfassen und zu beschreiben.

Das Verzeichnis kann jederzeit von der Aufsichtsbehörde für den Datenschutz angefordert werden. Fehlt es oder ist es unvollständig, drohen hohe Bußgelder. Meine Erfahrung mit den Aufsichtsbehörden ist, dass bei Aufforderungen zur Stellungnahme regelmäßig die Vorlage des Verarbeitungsverzeichnisses verlangt wird.

Wichtig: Laut DSGVO ist das Verarbeitungsverzeichnis nur auf Anfrage den Aufsichtsbehörden zur Verfügung zu stellen (Artikel 30 Absatz 4 DSGVO). Das aus dem alten Recht bekannte öffentliche Verfahrensverzeichnis, auch Jedermannsverzeichnis genannt, gibt es nicht mehr. Daher sollte das Verarbeitungsverzeichnis auch keinem Dritten ausgehändigt werden.

Und was gehört auf jeden Fall ins das Verzeichnis hinein?

Geregelt ist das Verarbeitungsverzeichnis in Artikel 30 DSGVO

In Artikel 30 DSGVO sagt uns die Verordnung, welche Inhalte ein Verarbeitungsverzeichnis haben muss. Gleichen Sie diesen Katalog bei Erstellung des Verzeichnisses bestenfalls immer mit Ihren Angaben ab. Ist alles enthalten?

Art. 30 Verzeichnis von Verarbeitungstätigkeiten

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Sinn und Zweck des Verarbeitungsverzeichnisses

Der Verantwortliche für die Datenverarbeitung und der Auftragsverarbeiter soll zum Nachweis der Einhaltung der Datenschutzgrundverordnung ein Verzeichnis der Verarbeitungstätigkeiten – die seiner Zuständigkeit unterliegen – führen (= Verarbeitungsverzeichnis). Das Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen. Aber auch nicht-automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Jeder Verantwortliche und Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten. Dieser muss auf Anfrage das entsprechende Verzeichnis vorgelegt werden, sodass die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.

Die neue Regelung verpflichtet nicht nur jeden (hierzu zählen sowohl Behörden als auch zum Beispiel Unternehmen, Freiberufler und Vereine), auch die Auftragsverarbeiter, ein solches Verzeichnis zu erstellen und zu führen. Ausgehend von den Mindestanforderungen werden Inhalt und Umfang des Verzeichnisses, je nach Art und Größenordnung der Stelle eines Verantwortlichen oder Auftragsverarbeiters, zu differenzieren sein.

Einsatz und Verwendung

Hinzu kommt, dass das Verzeichnis über die reine Dokumentation hinaus sinnvollerweise auch eingesetzt und verwendet werden kann:

Hierfür sind zwangsläufig zusätzliche Informationen im Verzeichnis nötig. Zum Beispiel einzelne Datenfelder, Herkunft bzw. Quelle der Daten, Rechtsgrundlage für die Verarbeitung, verantwortlicher Mitarbeiter und zugriffsberechtigte Personen/Personengruppen etc.

Somit wird das Verzeichnis in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren auch oft aus einer Reihe von Einzelbeschreibungen bestehen müssen.

Form des Verzeichnisses der Verarbeitungstätigkeiten

In welcher Art und Weise das Verzeichnis zu führen ist, spielt auch eine wichtige Rolle. Denn, werden die formalen Vorgaben nicht beachtet, dann haben Sie kein ausreichendes Verzeichnis über Ihre Verarbeitungstätigkeiten. Daher ist es wichtig, das Verzeichnis gleich in der richtigen Form zu erstellen.

Sprache

Die Verzeichnisse sind in Deutschland auch in deutscher Sprache zu führen. Das bestimmten § 23 Absätze 1 und 2 Verwaltungsverfahrensgesetz (VwVfG). Zumindest muss das verantwortliche Unternehmen in der Lage sein, von der Aufsichtsbehörde angeforderte Verzeichnisse unverzüglich in deutscher Sprache vorzulegen. Das gilt bei bestehender Zuständigkeit einer deutschen Aufsichtsbehörde also auch für ein Unternehmen, das nicht originär aus Deutschland stammt.

Viele meiner Mandanten haben eine US-Muttergesellschaft bzw. ein aus dem Ausland stammende Konzernmutter. Oftmals werden dann bestehende Texte übernommen. Das ist aber nicht ungefährlich. Selbst, wenn die Texte ins Deutsche übersetzt werden, wird oft der rechtliche Sinngehalt nicht richtig wiedergegeben. Es ist daher aus meiner Sicht sehr sinnvoll solche rechtserheblichen Texte von Anfang auch in deutscher Sprache zu erstellen.

Schriftlich – elektronisch

Die Verzeichnisse sind schriftlich zu führen (Art. 30 Abs. 3 DSGVO). Das kann auch in einem elektronischen Format erfolgen. Die Aufsichtsbehörde kann das Format der Vorlage (schriftlich in Papierform oder elektronisch in Textform) festlegen und daher auch bei einem im elektronischen Format geführten Verarbeitungsverzeichnis den Ausdruck verlangen (§ 3a VwVfG). Maßstab sind die Verhältnismäßigkeit und Erforderlichkeit für die jeweils verfolgten Zwecke (zum Beispiel nur der erforderliche Teil wird ausgedruckt).

Verarbeitungsverzeichnis – Der Inhalt

Verantwortliche, Artikel 30 Abs. 1

Das Verzeichnis muss sämtliche Angaben enthalten (vgl. Artikel 30 Absatz 1 Satz 2 lit a bis g DSGVO). Diese müssen aussagekräftig sein, was auch von der Unternehmensgröße abhängt.

Ich empfehle von Anfang an ein erweitertes Verzeichnis zu erstellen. Sie sollten also mehr in dem Verzeichnis erfassen, als die DSGVO verlangt. Denn je mehr Infos Sie bei den einzelnen Datenverarbeitungen ergänzen, desto besser später die Übersicht. Und auch die Möglichkeiten der Prüfung und Verwaltung aller im Unternehmen stattfindender Datenverarbeitungsvorgänge.

Sinnvoll und empfehlenswert bei einem „erweiterten Verzeichnis“ sind mindestens noch folgende Angaben:

  • Die Beschreibung der konkreten Verarbeitungstätigkeiten (erheben, speichern, abfragen, offenlegen etc.);
  • Die Nennung der herangezogenen Rechtsgrundlagen (z.B. Art. 6 DSGVO, Arbeitsvertrag, Betriebsvereinbarung, eine wirksame Einwilligung, spezielle gesetzliche Regelung etc.);
  • Soweit die Rechtsgrundlage des berechtigten Interesses genannt wird, bestenfalls auch Stichworte zur vorgenommenen Abwägung oder aber ein Verweis auf die ausführliche Abwägung, die dazu vorgenommen wurde.

Namen und Kontaktdaten – Art. 30 Absatz 1 Satz 2 Buchstabe a)

Es sind zu nennen: Die Namen und Kontaktdaten

Anzugeben sind dabei auch die postalische, elektronische und telefonische Erreichbarkeit. Denn es ist zu gewährleisten, dass die Aufsichtsbehörde den Verantwortlichen auf einfachem Wege erreichen kann. In Eilfällen auch über verschiedene Kanäle.

Bei Behörden und juristischen Personen sind nicht zwingend die Daten zu Leitungspersonen gefordert. Die Angabe des verantwortlichen Ansprechpartners ist aber sinnvoll und empfehlenswert. Die Hauptniederlassung ist anzugeben (Artikel 4 Nr. 16 Buchstabe a) DSGVO).

Hinsichtlich des Begriffs „Vertreter“ ist die Begriffsbestimmung des Artikel 4 Nr. 17 DSGVO zu beachten. Danach ist „Vertreter“ nicht nur der inländische Vertreter, sondern darüber hinaus eine in der EU niedergelassene, natürliche oder juristische Person.

Kategorien betroffener Personen und personenbezogener Daten

im Verarbeitungsverzeichnis – Artikel 30 Absatz 1 Satz 2 Buchstabe c)

Es muss eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten im Verarbeitungsverzeichnis erfolgen. Dabei empfiehlt es sich hinsichtlich der einzelnen Kategorien personenbezogener Daten laufende Nummern zu vergeben, die so eine Zuordnung zu den weiteren konkreten Angaben gemäß Artikel 30 Absatz 1 Satz 2 Buchstaben d) bis f) DSGVO ermöglichen, z.B. zu konkreten Löschregeln.

Aufgegliedert z.B. in der Darstellung der „Kategorie Beschäftigte“ in die möglichen Daten-Kategorien:

  • Mitarbeiter-Stammdaten mit Adressdaten, Geburtsdatum, Bankverbindung, Steuermerkmale, Lohngruppe, Arbeitszeit, bisherige Tätigkeitsbereiche, Qualifikationen etc.
  • Bewerbungen mit Kontaktdaten, Qualifikationsdaten, Tätigkeiten etc.
  • Arbeitszeugnisse mit Adressdaten, Leistungsdaten, Beurteilungsdaten etc.
  • Abmahnungen mit Adressdaten, Arbeitsverhalten, Leistungsdaten etc.
  • Betriebsarztuntersuchungen mit Adressdaten, Gesundheitsdaten etc.
  • Stundenplan als Einsatzplan für Lehrkräfte
  • Videoüberwachung an Arbeitsplätzen etc.

Aufgegliedert z.B. in der Darstellung der „Kategorie Kundendaten“ in die möglichen Kategorien:

  • Kunden-Kontaktdaten mit Adressdaten, Ansprechpartnern etc.
  • Kundengruppe/-interesse
  • Umsatzdaten bisher
  • Bonitätsdaten
  • Zahlungsdaten usw.

Kategorien von Empfängern im Verarbeitungsverzeichnis – Artikel 30 Absatz 1 Satz 2 Buchstabe d)

Hier ist die Angabe der Kategorien von Empfängern gemeint, denen die Daten offen gelegt worden sind oder noch offen gelegt werden, einschließlich der Empfänger in Drittländer.

Aufgegliedert z.B.: für die Lohn- und Gehaltsabrechnung:

  • Banken
  • Sozialversicherungsträger
  • Finanzämter
  • unternehmensinterne Datenempfänger (z.B. Betriebsrat, Vorgesetzte)
  • ggf. Gläubiger bei Lohn-/Gehaltspfändungen
  • ggf. Träger der Betriebsrente
  • ggf. Auftragsverarbeiter
  • ggf. Muttergesellschaft

Empfänger können auch Teile eines Unternehmens oder einer Behörde sein. Dies ist der Fall, sofern ein Zugriff auf die Daten möglich ist (z.B. ein Zugriff auf Unternehmens- oder Kundendaten bei bundesweit tätigen Banken oder abgebende und aufnehmende Schule bei gleichem Schulträger).

Der Begriff „Datenempfänger“ ist daher zu ergänzen durch „Zugriffsberechtigte“. Die Zugriffsberechtigten sollten ohne namentliche Angabe angegeben werden. Sie müssen jedoch z.B. über eine Rollen- oder Funktionsbeschreibung eindeutig bestimmbar sein.

Es kann aber sinnvoll sein, die Angabe einer Zahl der Zugriffsstellen bzw. Zugriffsberechtigten mit Bezug zum aktuellen Stand (Tagesdatum) im Verarbeitungsverzeichnis anzugeben.

Zu „Drittländern“ sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist.

Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird (denken Sie dabei auch an Ihren Newsletterdienstleister, der im EU-Ausland sitzen kann). Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.

„Offenlegung“ bedeutet, dass sowohl die Empfänger in der Vergangenheit, als auch jene in der Zukunft zu benennen sind.

Weiter mit dem Buchstaben e) und einer Vorschau auf den letzten Teil 6 zur Erstellung des Verarbeitungsverzeichnisses geht es hier auf unserem Portal rund um den Datenschutz und die DSGVO.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man