DSGVO: Wie erstelle ich ein Verarbeitungsverzeichnis?

Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 mussten sich Unternehmen auf viele Neuerungen im Bereich Datenschutz einstellen. Dazu zählt auch die Einführung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT oder ROPA). Es handelt sich dabei um eines der wichtigsten Dokumente die ein Unternehmen erstellen muss, um Datenschutzvorgaben und die Rechenschaftspflicht aus Art. 5 DSGVO nachzukommen.

Durch DSGVO verpflichtet Unternehmen dazu, eine schriftliche Dokumentation und Übersicht über alle automatisch oder manuell ausgeführten Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. (Art. 30 DSGVO). Doch was steckt dahinter und wer muss ein solches Verzeichnis führen? Worauf ist dabei zu achten? Wir zeigen Ihnen, wie ein Verzeichnis von Verarbeitungstätigkeiten aussehen muss und geben hilfreiche Tipps zu einer DSGVO-konformen Umsetzung!

Sie brauchen Unterstützung oder haben Fragen zum Thema Verarbeitungsverzeichnis? Unser Team bestehend aus Experten in den Bereichen Datenschutzrecht, IT und Sicherheit unterstützt Sie gerne bei der Umsetzung datenschutzrechtlicher Vorschriften. Wenden Sie sich für ein unverbindliches Erstgespräch direkt an uns.

Das Wichtigste in Kürze

• In der Regel sind Unternehmen zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet.
• Das Erstellen ist zu Beginn mit viel Aufwand verbunden, erleichtert aber langfristig den Umgang mit personenbezogenen Daten im Unternehmen. Das Verzeichnis sorgt für einen umfassenden Überblick über die Verarbeitung personenbezogener Daten und der einzelnen Verarbeitungsprozesse.
• Ein solches Verzeichnis erleichtert auch die Risikoanalyse und Bewertung der einzelnen Prozesse, da jeder einzelne detailliert aufgeschlüsselt ist.
• Bei der Weitergabe von personenbezogenen Daten in ein Drittland ist besondere Vorsicht zu wahren, um die gesetzlichen Regelungen nicht zu verletzen. Auch hierbei hilft ein Verarbeitungsverzeichnis, da es genau erkennen lässt, bei welchen Prozessen ein erhebliches Risiko besteht.

Verzeichnis der Verarbeitungstätigkeiten

Art. 30 DSGVO verpflichtet dazu, schriftliche (auch im elektronischen Format) Dokumentationen und Übersichten über alle Prozesse zu führen, die mit personenbezogenen Daten arbeiten. Das bedeutet, dass jede Verarbeitung sensibler Daten in diesem Verzeichnis aufgelistet und aufgeschlüsselt werden muss.

Zudem müssen wesentliche Angaben der Datenverarbeitung dort dokumentiert werden, etwa die Kategorien von Verarbeitungen, die betroffenen Personen, der Zweck der Verarbeitung und die Kategorien von Empfängern.

Dieses Verarbeitungsverzeichnis dient auch der Einsichtnahme durch die zuständige Aufsichtsbehörde. Die relevanten Verarbeitungen müssen ihr auf Anfrage zur Verfügung gestellt werden. Das bedeutet für Unternehmen, dass es sinnvoll ist, ein solches Verzeichnis mit grosser Sorgfalt zu erstellen und zu führen, um damit nachzuweisen, dass ein gutes Datenschutzmanagement besteht.

Andernfalls besteht immer ein Risiko, dass es zu Konflikten mit der Aufsichtsbehörde kommt oder das Unternehmen sogar wegen Verstössen gegen die Datenschutz-Richtlinien belangt wird.

Wer muss ein Verarbeitungsverzeichnis führen? 

Grundsätzlich ist jedes Unternehmen, welches mehr als 250 Mitarbeiter beschäftigt, verpflichtet ein solches Verzeichnis zu führen. Hinzu kommen folgende Ausnahmen greifen die auch Unternehmen mit weniger als 250 Mitarbeitern verpflichten, ein Verarbeitungsverzeichnis zu führen:

1. Die Verarbeitung birgt Risiken für die Rechte und Freiheiten betroffener Personen.
2. Das Unternehmen tätigt regelmässige Verarbeitungen
3. Die Verarbeitung umfasst besondere Datenkategorien wie Gesundheitsdaten, Informationen zur Religion oder politischen Meinungen.

Gut zu wissen: Fast immer ist eine dieser Ausnahmen zutreffend. Allein schon deshalb, weil die meisten Unternehmen eine Personalakte führen, in der auf regelmässiger Basis sehr persönliche Daten der Mitarbeiter gespeichert, geändert oder gelöscht werden. Das führt dazu, dass fast jedes Unternehmen die Pflicht zur Führung eines solchen Verzeichnisses hat. 

Welche Strafen drohen, wenn kein Verarbeitungsverzeichnis geführt wird?

Kann der Aufsichtsbehörde auf Anfrage kein Verzeichnis vorgelegt werden, weil das Unternehmen kein Verarbeitungsverzeichnis führt, wird sie zunächst den Grund dazu erfragen. Im Zweifel hat das Unternehmen dann eine unterschiedliche Auffassung darüber, ob es in die Pflicht zur Führung eines Verarbeitungsverzeichnisses fällt oder nicht. Die Folge ist in einigen Fällen ein kostspieliger und langwieriger Rechtsstreit.

In den meisten Fällen wird die Behörde eine Auflage verhängen, wonach das Unternehmen ein Verarbeitungsverzeichnis zu führen hat. Bei Verstoss gegen diese Auflage oder wenn offensichtlich ist, dass ein Verzeichnis zu führen war, drohen nicht unerhebliche Millionensummen aber auch strafrechtliche Verurteilungen sind möglich. Diese bemessen sich am Umsatz des jeweiligen Unternehmens und sind nicht zu unterschätzen.

In manchen Fällen gibt die Behörde den Unternehmen die Möglichkeit, ein Verzeichnis über die Verarbeitungstätigkeiten innerhalb einer Frist von meist 2-3 Wochen nachzureichen.

Gut zu wissen: Auf die Kulanz von Behörden sollten Sie sich mit Ihrem Unternehmen nie verlassen. Es ist daher ratsam, eine Auseinandersetzung zu vermeiden und unmittelbar ein Verarbeitungsverzeichnis anzulegen.

Wer hat Zugriff auf das Verzeichnis von Verarbeitungstätigkeiten?

Ein solches Verzeichnis von Verarbeitungstätigkeiten ist nicht öffentlich, es droht also auch keine Offenlegung durch Übermittlung von Firmen- und Betriebsgeheimnissen. Das Verzeichnis ist nicht jedem zugänglich. Auch betroffene Personen, die grundsätzlich das Recht haben Auskünfte über die Verwendung ihrer Daten zu verlangen, haben keinen Zugriff auf dieses Verzeichnis. Es muss ihnen auch nicht zugänglich gemacht werden.

Einsicht nehmen dürfen nur die etwaigen Datenschutzbeauftragten, die auch bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten mitwirken, sowie die Geschäftsführung und das Management des Unternehmens. Dazu kommt noch, wie bereits erwähnt, die zuständige Aufsichtsbehörde, der das Verzeichnis der Verarbeitungstätigkeiten auf Anfrage vorzulegen ist.

Datenverarbeitungsverzeichnis nach der DSGVO

Fast alle Unternehmen sind verpflichtet, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen, so schreibt es der Gesetzgeber auf europäischer Ebene in der DSGVO vor. Neu ist dieses Verzeichnis nicht, schon in der vormals geltenden bundesweiten Regelung - dem Bundesdatenschutzgesetz (BDSG) - war ein Verfahrensverzeichnis vorgeschrieben.

Das neue Verzeichnis mit einigen Änderungen löst das bisherige Verfahrensverzeichnis ab. Der Begriff Verarbeitungstätigkeiten nach Art. 30 DSGVO ist dabei weit zu verstehen: Es zählt jede Art der Verwendung wie etwa Erheben, Speichern, Löschen, Verändern, Zusammenführen, Auslesen, Abgleichen oder auch weitergeben von personenbezogenen Daten. Alle Prozesse, bei denen personenbezogene Daten eine Rolle spielen, sind also in dem Verarbeitungsverzeichnis zu erwähnen und aufzulisten.

In einem solchen Verzeichnis müssen viele verschiedene Angaben gemacht werden, etwa die Kategorien von Verarbeitungen, die Kontaktdaten der Verantwortlichen und des Datenschutzbeauftragten, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die jeweiligen Empfänger der Daten (soweit diese nicht intern verarbeitet werden).

Idealerweise sind auch Informationen über die technischen und organisatorischen Massnahmen enthalten (TOM). Ausserdem sollten auch die Löschfristen ergänzt werden, um das ganze übersichtlicher zu machen und die gesetzlichen Aufbewahrungsfristen einzuhalten.

Ein solches Verzeichnis sorgt dafür, dass übersichtlich festgehalten wird, welche Verarbeitungstätigkeiten es in einem Unternehmen gibt. Das ist nicht nur für die Aufsichtsbehörden bei ihren Kontrollen wichtig, sondern gibt auch im Unternehmen Aufschluss darüber, welche Prozesse durchgeführt werden. So kann ein besserer Überblick geschaffen werden, wo Verarbeitungen welcher Art stattfinden und ob diese optimiert oder im Zweifel sogar reduziert werden können, um erheblichen Risiken für Datenschutzpannen zu begegnen.

Sind die genauen Strukturen der Datenverarbeitung ersichtlich, kann hierauf aufbauend ein gutes Datenschutzmanagement erfolgen. Sorgfältig erarbeitet bedeutet also ein solches Verzeichnis nur kurzfristig einen Mehraufwand. Langfristig ist es für Unternehmen eine Erleichterung bei der Einhaltung des Datenschutzes und reduziert Risiken.

DSGVO-Verarbeitungsverzeichnis erstellen 

Grundsätzlich haben Unternehmen freie Hand bei der Erstellung eines Verarbeitungsverzeichnisses. Die DSGVO sieht keine bestimmte Form oder ein Muster vor, dass zwingend zu erfüllen ist. Auch ein entsprechendes Formular sucht man vergebens.

Dennoch gibt es einige Anforderungen, was in einem solchen Verzeichnis enthalten sein sollte:

1. Deckblatt: Das Deckblatt muss das betreffende Unternehmen, dessen Kontaktdaten und die Informationen zum Datenschutzbeauftragten nennen. Auch die genauen Daten der für die Verarbeitung Verantwortlichen sollten hier genannt sein.
2. Hauptteil: Hier werden die genauen Vorgänge der einzelnen Datenverarbeitungsprozesse aufgelistet, beschrieben, aufgeschlüsselt und analysiert. Auch eine Dokumentation der einzelnen Prozesse sollte geführt werden.
3. Technische und organisatorische Massnahmen (TOM): Hier erfolgt eine Aufstellung der Gebäude- und IT-Sicherheit, der Regelungen und Arbeitsanweisungen für Mitarbeiter, Betriebsvereinbarungen und weitere organisatorische Massnahmen, die für den Datenschutz-Standard des Unternehmens sorgen. Da diese organisatorischen Massnahmen meist gesondert dokumentiert werden, können sie dem Verarbeitungsverzeichnis einfach beigelegt werden.

Welchen Inhalt muss das eigentliche Verzeichnis von Verarbeitungstätigkeiten haben? 

Über den groben Aufbau hinaus gibt es einige inhaltliche Vorgaben, die zu beachten sind. Diese beziehen sich vor allem auf den Hauptteil des Verzeichnisses, in dem die einzelnen Prozesse dargelegt werden.

Jede Verarbeitungstätigkeit ist dabei genau zu beschreiben und zwar anhand folgender Kriterien:

1. Zweck der Verarbeitung: Es muss erkennbar sein, zu welchem Zweck die Daten verarbeitet werden. Legitime Zwecke können zum Beispiel die Personalakte sein oder ein Patientenregister. Hier sollte ausserdem der für die Verarbeitung Verantwortliche genannt werden (bei Personalakten zum Beispiel die Mitarbeiter der Personalabteilung).
2. Besondere Kategorien personenbezogener Daten: Wichtig ist auch die Angabe besonderer Datenkategorien. Dabei handelt es sich um die Art der erhobenen Daten, also z.B. Vor- und Nachname, Sozialversicherungsnummer, Adresse oder ähnliches.
3. Betroffene Personen: Weiterhin müssen Kategorien betroffener Personen bestimmt werden, also diejenigen, deren Daten hier verarbeitet werden. Bei einer Personalakte sind das zum Beispiel die Beschäftigten, bei einem Patientenregister die Patienten und so weiter.
4. Datenempfänger: Auch der Empfänger der Daten sollte genannt werden. Empfänger ist jeder, der nach der Verarbeitung Zugriff auf die Daten erhält und diese einsehen kann. Bei internen Prozessen sind das die Beschäftigten. Werden die Daten an externe Dritte weitergegeben, zum Beispiel einen Steuerberater oder ein Lohnbüro, müssen auch diese genannt werden. Unerheblich ist dabei, ob diese Personen tatsächlich Einsicht in die erhobenen Daten nehmen. Es reicht die alleinige Möglichkeit.
5. Aufbewahrungsfristen/Löschfristen: Weiterhin müssen die Fristen zur Löschung der personenbezogenen Daten und der entsprechenden Kategorien von Verarbeitungen vermerkt sein. Bei einer Personalakte ist es logisch, dass diese bis zum Ausscheiden des einzelnen Mitarbeiters geführt wird, ähnlich bei Patienten oder Kunden. Für die Löschung der Daten sollte das Unternehmen ein Löschkonzept vorhalten, um zu regeln, was mit Daten passiert, wenn die Aufbewahrungsfrist abgelaufen ist.

Welche Rolle spielt der Datenschutzbeauftragte?

Wichtig ist, dass grundsätzlich die Geschäftsführung dafür verantwortlich ist, das Verzeichnis zu erstellen. Der Datenschutzbeauftragte berät und unterstützt das Unternehmen bzw. die Geschäftsführung bei allen Belangen zum Datenschutz. Dazu gehört auch die Erstellung und Verwaltung des Verzeichnisses über Verarbeitungstätigkeiten.

Zunächst sollte sich der Datenschutzbeauftragte ein Bild von allen Prozessen des Unternehmens machen und einen Überblick gewinnen. Dazu gibt ihm die DSGVO auch die Befugnis. Um jeden Prozess mit personenbezogenen Daten zu erfassen, kann er die einzelnen Abteilungen kontaktieren und sich von dort den Umgang mit personenbezogenen Daten erläutern lassen.

Dabei sollten Datenschutzbeauftragte folgende Anhaltspunkte abfragen:

• Welche Tätigkeiten und Prozesse finden genau statt?
• Welche Mitarbeiter sind mit diesen Aufgaben betraut?
• Welche Programme/Software kommen zum Einsatz?
• Wer stellt die Daten zur Verfügung?
• An wen werden die Daten anschliessend weitergeschickt?

Darüber hinaus kann der Datenschutzbeauftragte die einzelnen Abteilungen selbstverständlich auch um aktive Unterstützung beim Zusammentragen und Aufbereiten der Informationen über die Prozesse bitten. Es muss nicht jeder Mitarbeiter einzeln befragt werden, es reicht vielmehr, wenn die Abteilungen intern eine Zusammenfassung der Tätigkeiten und Verantwortlichen erstellen und diese an den Datenschutzbeauftragten weiterleiten, damit dieser die gesammelten Informationen dann in das Verarbeitungsverzeichnis einpflegen kann.

Ziel dieser Informationssammlung muss es sein, einen detaillierten Überblick über die Verarbeitung besonderer personenbezogener Daten im Unternehmen zu bekommen und die Vollständigkeit eines Verarbeitungsverzeichnisses zu gewährleisten.

Es kann hierzu auch hilfreich sein, sich von einem externen Berater unterstützen zu lassen und ihn bei der Erstellung eines Verarbeitungsverzeichnisses zu Rate zu ziehen. Unsere Berater, die genau in diesem Gebiet spezialisiert sind und Erfahrung mitbringen, wissen, welche Fragen zu stellen sind, hinterfragen bestehende Prozesse und kennen Problemfelder, die sonst vielleicht nicht auffallen würden.

Gut zu wissen: Wenn Sie sich für einen externen Berater entscheiden, ist dieser bereits eingearbeitet und entsprechend geschult. Ein objektives, geschultes Auge kann bei der Erstellung eines Verarbeitungsverzeichnisses und der Überprüfung des Datenschutzes im Unternehmen so einiges bewirken.

Fazit

Die Erstellung eines Verarbeitungsverzeichnisses ist aufwendig, eine Dokument-Länge von 100 Seiten ist nicht selten. Die Priverion Plattform vereinfacht die Erstellung und Verwaltung. Wenn dieses Dokument einmal erstellt ist, liefert es wichtige Erkenntnisse rund um das Thema Datenschutz. Zudem sind viele Dokumente, die Teil eines Verzeichnisses über Verarbeitungstätigkeiten werden, bereits vorhanden und müssen nur noch eingefügt werden.

Während der Erstellung treten normalerweise einige Fehler und Risiken zu Tage, die vielleicht sonst nie aufgefallen wären. Es bietet sich also die Chance, die einzelnen Verarbeitungstätigkeiten des Unternehmens zu hinterfragen, zu kontrollieren und ggf. ordentlich zu „entrümpeln“.

Dadurch können die Prozesse optimiert und auf den neuesten Stand gebracht werden. Ausserdem wissen Unternehmen im Anschluss ganz genau, welche Daten in ihrem Unternehmen verarbeitet werden und welche vielleicht überflüssig sind. So wird das gesamte System und auf den neuesten Stand gebracht werden. Ausserdem wissen Unternehmen im Anschluss ganz genau, welche Daten in ihrem Unternehmen verarbeitet werden und welche vielleicht überflüssig sind. So wird das gesamte System effizienter.

Neben der Erfüllung der gesetzlichen Pflicht zur Führung eines solchen Verarbeitungsverzeichnisses bietet es also auch viele Chancen und Möglichkeiten. Nicht zuletzt entwickeln Unternehmen eine Sensibilität für die eigenen Prozesse und Optimierungsmöglichkeiten im Umgang mit personenbezogenen Daten.