Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 mussten sich Unternehmen auf viele Neuerungen im Bereich Datenschutz einstellen. Dazu zählt auch die Einführung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT oder ROPA). Es handelt sich dabei um eines der wichtigsten Dokumente die ein Unternehmen erstellen muss, um Datenschutzvorgaben und die Rechenschaftspflicht aus Art. 5 DSGVO nachzukommen.
Durch DSGVO verpflichtet Unternehmen dazu, eine schriftliche Dokumentation und Übersicht über alle automatisch oder manuell ausgeführten Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. (Art. 30 DSGVO). Doch was steckt dahinter und wer muss ein solches Verzeichnis führen? Worauf ist dabei zu achten? Wir zeigen Ihnen, wie ein Verzeichnis von Verarbeitungstätigkeiten aussehen muss und geben hilfreiche Tipps zu einer DSGVO-konformen Umsetzung!
Sie brauchen Unterstützung oder haben Fragen zum Thema Verarbeitungsverzeichnis? Unser Team bestehend aus Experten in den Bereichen Datenschutzrecht, IT und Sicherheit unterstützt Sie gerne bei der Umsetzung datenschutzrechtlicher Vorschriften. Wenden Sie sich für ein unverbindliches Erstgespräch direkt an uns.
Art. 30 DSGVO verpflichtet dazu, schriftliche (auch im elektronischen Format) Dokumentationen und Übersichten über alle Prozesse zu führen, die mit personenbezogenen Daten arbeiten. Das bedeutet, dass jede Verarbeitung sensibler Daten in diesem Verzeichnis aufgelistet und aufgeschlüsselt werden muss.
Zudem müssen wesentliche Angaben der Datenverarbeitung dort dokumentiert werden, etwa die Kategorien von Verarbeitungen, die betroffenen Personen, der Zweck der Verarbeitung und die Kategorien von Empfängern.
Dieses Verarbeitungsverzeichnis dient auch der Einsichtnahme durch die zuständige Aufsichtsbehörde. Die relevanten Verarbeitungen müssen ihr auf Anfrage zur Verfügung gestellt werden. Das bedeutet für Unternehmen, dass es sinnvoll ist, ein solches Verzeichnis mit grosser Sorgfalt zu erstellen und zu führen, um damit nachzuweisen, dass ein gutes Datenschutzmanagement besteht.
Andernfalls besteht immer ein Risiko, dass es zu Konflikten mit der Aufsichtsbehörde kommt oder das Unternehmen sogar wegen Verstössen gegen die Datenschutz-Richtlinien belangt wird.
Grundsätzlich ist jedes Unternehmen, welches mehr als 250 Mitarbeiter beschäftigt, verpflichtet ein solches Verzeichnis zu führen. Hinzu kommen folgende Ausnahmen greifen die auch Unternehmen mit weniger als 250 Mitarbeitern verpflichten, ein Verarbeitungsverzeichnis zu führen:
Gut zu wissen: Fast immer ist eine dieser Ausnahmen zutreffend. Allein schon deshalb, weil die meisten Unternehmen eine Personalakte führen, in der auf regelmässiger Basis sehr persönliche Daten der Mitarbeiter gespeichert, geändert oder gelöscht werden. Das führt dazu, dass fast jedes Unternehmen die Pflicht zur Führung eines solchen Verzeichnisses hat.
Kann der Aufsichtsbehörde auf Anfrage kein Verzeichnis vorgelegt werden, weil das Unternehmen kein Verarbeitungsverzeichnis führt, wird sie zunächst den Grund dazu erfragen. Im Zweifel hat das Unternehmen dann eine unterschiedliche Auffassung darüber, ob es in die Pflicht zur Führung eines Verarbeitungsverzeichnisses fällt oder nicht. Die Folge ist in einigen Fällen ein kostspieliger und langwieriger Rechtsstreit.
In den meisten Fällen wird die Behörde eine Auflage verhängen, wonach das Unternehmen ein Verarbeitungsverzeichnis zu führen hat. Bei Verstoss gegen diese Auflage oder wenn offensichtlich ist, dass ein Verzeichnis zu führen war, drohen nicht unerhebliche Millionensummen aber auch strafrechtliche Verurteilungen sind möglich. Diese bemessen sich am Umsatz des jeweiligen Unternehmens und sind nicht zu unterschätzen.
In manchen Fällen gibt die Behörde den Unternehmen die Möglichkeit, ein Verzeichnis über die Verarbeitungstätigkeiten innerhalb einer Frist von meist 2-3 Wochen nachzureichen.
Gut zu wissen: Auf die Kulanz von Behörden sollten Sie sich mit Ihrem Unternehmen nie verlassen. Es ist daher ratsam, eine Auseinandersetzung zu vermeiden und unmittelbar ein Verarbeitungsverzeichnis anzulegen.
Ein solches Verzeichnis von Verarbeitungstätigkeiten ist nicht öffentlich, es droht also auch keine Offenlegung durch Übermittlung von Firmen- und Betriebsgeheimnissen. Das Verzeichnis ist nicht jedem zugänglich. Auch betroffene Personen, die grundsätzlich das Recht haben Auskünfte über die Verwendung ihrer Daten zu verlangen, haben keinen Zugriff auf dieses Verzeichnis. Es muss ihnen auch nicht zugänglich gemacht werden.
Einsicht nehmen dürfen nur die etwaigen Datenschutzbeauftragten, die auch bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten mitwirken, sowie die Geschäftsführung und das Management des Unternehmens. Dazu kommt noch, wie bereits erwähnt, die zuständige Aufsichtsbehörde, der das Verzeichnis der Verarbeitungstätigkeiten auf Anfrage vorzulegen ist.
Fast alle Unternehmen sind verpflichtet, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen, so schreibt es der Gesetzgeber auf europäischer Ebene in der DSGVO vor. Neu ist dieses Verzeichnis nicht, schon in der vormals geltenden bundesweiten Regelung - dem Bundesdatenschutzgesetz (BDSG) - war ein Verfahrensverzeichnis vorgeschrieben.
Das neue Verzeichnis mit einigen Änderungen löst das bisherige Verfahrensverzeichnis ab. Der Begriff Verarbeitungstätigkeiten nach Art. 30 DSGVO ist dabei weit zu verstehen: Es zählt jede Art der Verwendung wie etwa Erheben, Speichern, Löschen, Verändern, Zusammenführen, Auslesen, Abgleichen oder auch weitergeben von personenbezogenen Daten. Alle Prozesse, bei denen personenbezogene Daten eine Rolle spielen, sind also in dem Verarbeitungsverzeichnis zu erwähnen und aufzulisten.
In einem solchen Verzeichnis müssen viele verschiedene Angaben gemacht werden, etwa die Kategorien von Verarbeitungen, die Kontaktdaten der Verantwortlichen und des Datenschutzbeauftragten, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die jeweiligen Empfänger der Daten (soweit diese nicht intern verarbeitet werden).
Idealerweise sind auch Informationen über die technischen und organisatorischen Massnahmen enthalten (TOM). Ausserdem sollten auch die Löschfristen ergänzt werden, um das ganze übersichtlicher zu machen und die gesetzlichen Aufbewahrungsfristen einzuhalten.
Ein solches Verzeichnis sorgt dafür, dass übersichtlich festgehalten wird, welche Verarbeitungstätigkeiten es in einem Unternehmen gibt. Das ist nicht nur für die Aufsichtsbehörden bei ihren Kontrollen wichtig, sondern gibt auch im Unternehmen Aufschluss darüber, welche Prozesse durchgeführt werden. So kann ein besserer Überblick geschaffen werden, wo Verarbeitungen welcher Art stattfinden und ob diese optimiert oder im Zweifel sogar reduziert werden können, um erheblichen Risiken für Datenschutzpannen zu begegnen.
Sind die genauen Strukturen der Datenverarbeitung ersichtlich, kann hierauf aufbauend ein gutes Datenschutzmanagement erfolgen. Sorgfältig erarbeitet bedeutet also ein solches Verzeichnis nur kurzfristig einen Mehraufwand. Langfristig ist es für Unternehmen eine Erleichterung bei der Einhaltung des Datenschutzes und reduziert Risiken.
Grundsätzlich haben Unternehmen freie Hand bei der Erstellung eines Verarbeitungsverzeichnisses. Die DSGVO sieht keine bestimmte Form oder ein Muster vor, dass zwingend zu erfüllen ist. Auch ein entsprechendes Formular sucht man vergebens.
Dennoch gibt es einige Anforderungen, was in einem solchen Verzeichnis enthalten sein sollte:
Über den groben Aufbau hinaus gibt es einige inhaltliche Vorgaben, die zu beachten sind. Diese beziehen sich vor allem auf den Hauptteil des Verzeichnisses, in dem die einzelnen Prozesse dargelegt werden.
Jede Verarbeitungstätigkeit ist dabei genau zu beschreiben und zwar anhand folgender Kriterien:
Tipp: Mit der Priverion Datenschutz Plattform lässt sich ein gesetzeskonformes Verarbeitungsverzeichnis übersichtlich und unkompliziert erstellen. Darin werden alle Prozesse in Ihrem Unternehmen dokumentiert, die personenbezogene Daten verwenden. Es fasst alle notwendigen rechtlichen Informationen zusammen, und bietet jederzeit einen aktuellen Überblick über z.B. den Zweck der Verarbeitung, ihre Rechtsgrundlage, die beteiligten Personen, die Verantwortlichen und alle notwendigen Informationen, um die Einhaltung der Datenschutzgesetze nachzuweisen. Durch die intelligente Verknüpfung mit Lösch- und Aufbewahrungsfristen und unserer Systemlandschaft wissen Sie immer, welche Lösch- und Aufbewahrungsfristen für jedes System (vor Ort und in der Cloud) gelten.
Wichtig ist, dass grundsätzlich die Geschäftsführung dafür verantwortlich ist, das Verzeichnis zu erstellen. Der Datenschutzbeauftragte berät und unterstützt das Unternehmen bzw. die Geschäftsführung bei allen Belangen zum Datenschutz. Dazu gehört auch die Erstellung und Verwaltung des Verzeichnisses über Verarbeitungstätigkeiten.
Zunächst sollte sich der Datenschutzbeauftragte ein Bild von allen Prozessen des Unternehmens machen und einen Überblick gewinnen. Dazu gibt ihm die DSGVO auch die Befugnis. Um jeden Prozess mit personenbezogenen Daten zu erfassen, kann er die einzelnen Abteilungen kontaktieren und sich von dort den Umgang mit personenbezogenen Daten erläutern lassen.
Dabei sollten Datenschutzbeauftragte folgende Anhaltspunkte abfragen:
Darüber hinaus kann der Datenschutzbeauftragte die einzelnen Abteilungen selbstverständlich auch um aktive Unterstützung beim Zusammentragen und Aufbereiten der Informationen über die Prozesse bitten. Es muss nicht jeder Mitarbeiter einzeln befragt werden, es reicht vielmehr, wenn die Abteilungen intern eine Zusammenfassung der Tätigkeiten und Verantwortlichen erstellen und diese an den Datenschutzbeauftragten weiterleiten, damit dieser die gesammelten Informationen dann in das Verarbeitungsverzeichnis einpflegen kann.
Ziel dieser Informationssammlung muss es sein, einen detaillierten Überblick über die Verarbeitung besonderer personenbezogener Daten im Unternehmen zu bekommen und die Vollständigkeit eines Verarbeitungsverzeichnisses zu gewährleisten.
Es kann hierzu auch hilfreich sein, sich von einem externen Berater unterstützen zu lassen und ihn bei der Erstellung eines Verarbeitungsverzeichnisses zu Rate zu ziehen. Unsere Berater, die genau in diesem Gebiet spezialisiert sind und Erfahrung mitbringen, wissen, welche Fragen zu stellen sind, hinterfragen bestehende Prozesse und kennen Problemfelder, die sonst vielleicht nicht auffallen würden.
Gut zu wissen: Wenn Sie sich für einen externen Berater entscheiden, ist dieser bereits eingearbeitet und entsprechend geschult. Ein objektives, geschultes Auge kann bei der Erstellung eines Verarbeitungsverzeichnisses und der Überprüfung des Datenschutzes im Unternehmen so einiges bewirken.
Die Erstellung eines Verarbeitungsverzeichnisses ist aufwendig, eine Dokument-Länge von 100 Seiten ist nicht selten. Die Priverion Plattform vereinfacht die Erstellung und Verwaltung. Wenn dieses Dokument einmal erstellt ist, liefert es wichtige Erkenntnisse rund um das Thema Datenschutz. Zudem sind viele Dokumente, die Teil eines Verzeichnisses über Verarbeitungstätigkeiten werden, bereits vorhanden und müssen nur noch eingefügt werden.
Während der Erstellung treten normalerweise einige Fehler und Risiken zu Tage, die vielleicht sonst nie aufgefallen wären. Es bietet sich also die Chance, die einzelnen Verarbeitungstätigkeiten des Unternehmens zu hinterfragen, zu kontrollieren und ggf. ordentlich zu „entrümpeln“.
Dadurch können die Prozesse optimiert und auf den neuesten Stand gebracht werden. Ausserdem wissen Unternehmen im Anschluss ganz genau, welche Daten in ihrem Unternehmen verarbeitet werden und welche vielleicht überflüssig sind. So wird das gesamte System und auf den neuesten Stand gebracht werden. Ausserdem wissen Unternehmen im Anschluss ganz genau, welche Daten in ihrem Unternehmen verarbeitet werden und welche vielleicht überflüssig sind. So wird das gesamte System effizienter.
Neben der Erfüllung der gesetzlichen Pflicht zur Führung eines solchen Verarbeitungsverzeichnisses bietet es also auch viele Chancen und Möglichkeiten. Nicht zuletzt entwickeln Unternehmen eine Sensibilität für die eigenen Prozesse und Optimierungsmöglichkeiten im Umgang mit personenbezogenen Daten.