Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO: Die 5 wichtigsten Fragen und Antworten

Am 25.05.2018 ist die EU-DSGVO wirksam geworden. Somit sind seit Mai 2018 die meisten Unternehmen laut Art. 30 DSGVO verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten (kurz: „VVT“) zu erstellen und dann fortlaufend zu führen. Diese Pflicht ist allerdings nicht gänzlich neu. So mussten viele Unternehmen bereits zuvor nach § 4g Abs. 2 (§4e) Bundesdatenschutzgesetz (BDSG) ein Verfahrensverzeichnis – oder auch Übersicht für Jedermann (Jedermannsverzeichnis) –  führen. Das altbekannte Verfahrensverzeichnis wurde somit vom Verzeichnis von Verarbeitungstätigkeiten abgelöst.

1. Was ist das Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten hat die Anforderung alle Prozesse, in denen personenbezogene Daten (pbD) verarbeitet werden, zu dokumentieren. Das Verzeichnis dient damit der internen Dokumentation und Transparenz der Verarbeitung von pbD. Damit unterstützt das VVT die rechtliche Absicherung des Unternehmens, weil die Unternehmensleitung ihrer Rechenschaftspflicht zur Datenschutzkonformität aus Art. 5 Abs. 2 DSGVO nachkommt. Denn mit dem Verzeichnis kann die Aufsichtsbehörde nachvollziehen, dass alle Verarbeitungen datenschutzkonform durchgeführt werden. Zudem ist das Verarbeitungsverzeichnis ein verpflichtendes Element bei der Umsetzung der Datenschutzgrundverordnung.

Hinweis: Der Verantwortliche oder Auftragsverarbeiter kann das Führen des Verzeichnisses mit dessen Zustimmung auch auf den Datenschutzbeauftragten des Unternehmens übertragen. Dann wirkt der Datenschutzbeauftragte aktiv an der Erfüllung der Rechenschaftspflicht des Unternehmens mit.

2. Wo liegt der Unterschied zum Verfahrensverzeichnis?

Das Verzeichnis von Verarbeitungstätigkeiten hat am 25.05.2018 das Verfahrensverzeichnis nach BDSG abgelöst. Durch das Wirksam werden der Datenschutzgrundverordnung wurden so die bestehenden Datenschutzregeln des BDSG vollständig ersetzt. Doch was hat sich genau geändert? Bei beiden Verzeichnissen handelt es sich um eine Dokumentation der Prozesse in denen im Unternehmen pbD verarbeitet werden. Neben kleinen inhaltlichen Änderungen gibt es auch ein paar größere Neuerungen:

1. Für das Erstellen eines Verfahrensverzeichnisses waren im BDSG Ausnahmetatbestände aufgelistet, unter welchen Voraussetzungen die Erstellung nicht notwendig ist. Beispielsweise war das Führen eines solchen Verzeichnisses nicht erforderlich, wenn die Datenverarbeitung gesetzlich vorgeschrieben war oder die betroffene Person in die Verarbeitung Ihrer Daten eingewilligt hatte. Die Datenschutzgrundverordnung enthält in Art. 30 Abs. 5 DSGVO nur noch eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern, die nur gelegentlich personenbezogene Daten verarbeiten. Diese Ausnahme greift jedoch in der Praxis fast nie.
2. Im Gegensatz zum BDSG verlangt die DSGVO, dass in dem Verarbeitungsverzeichnis alle Verarbeitungstätigkeiten aufgeführt werden. Das bedeutet jeder Verantwortliche muss jede Verarbeitungstätigkeit, die in seinem Zuständigkeits- und Verantwortungsbereich liegt, dokumentieren. Die Anforderungen der DSGVO sind hier schärfer als im BDSG, wo lediglich die meldepflichtigen und automatisierten Verfahren zu erfassen waren.
3. Die bisher bestehende allgemeine Meldepflicht des Verzeichnisses nach § 4d Abs. 1 BDSG entfällt mit Inkrafttreten der DSGVO. Das Verfahrensverzeichnis, auch „Jedermannverzeichnis“ genannt, war ursprünglich in Teilen für Jedermann einsehbar. Das Verzeichnis von Verarbeitungstätigkeiten ist nicht mehr jeder Person auf Nachfrage vorzulegen. Nur Aufsichtsbehörden gegenüber ist es auf Anfrage bereitzustellen. Das Verzeichnis ist somit als eine allgemeine Dokumentations- und Nachweispflicht für die Rechtmäßigkeit der Verarbeitung zu verstehen und wie in Art. 5 Abs. 2 DSGVO beschrieben auch als solches bei den Verantwortlichen verankert.
4. Die DSGVO verpflichtet nicht nur die Verantwortlichen ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Im Gegensatz zum BDSG sind ebenso alle Stellen, die im Auftrag eines Verantwortlichen Daten verarbeiten, die sogenannten Auftragsverarbeiter, verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 Abs. 2 DSGVO).
5. Ausgenommen von der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, sind lediglich Unternehmen, Vereine oder Einrichtungen mit weniger als 250 Mitarbeiter. Sofern Sie die Daten nur gelegentlich in beschränktem Umfang und nur unkritische personenbezogene Daten verarbeiten werden, so Art. 30 Abs. 5 DSGVO.
6. Zudem haben sich durch das Inkrafttreten der DSGVO einige der bisherigen Begrifflichkeiten geändert: Statt der „verantwortlichen Stelle“ spricht man in der DSGVO vom „Verantwortlichen“. Aus „Auftragsdatenverarbeitung“ im BDSG wird die „Auftragsverarbeitung“ und folglich heißt der bisherige „Auftragnehmer“ nun „Auftragsverarbeiter“.

3. Welche Inhalte gehören in das Verzeichnis von Verarbeitungstätigkeiten?

Die genauen Inhalte des Verzeichnisses von Verarbeitungstätigkeiten sind in Art. 30 DSGVO festgelegt. Die Inhalte entsprechen im Wesentlichen dem bisherigen Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e BDSG. Wie bislang schon müssen auch im Verzeichnis von Verarbeitungstätigkeiten alle wesentlichen Angaben zur Verarbeitung, wie die Datenkategorien, die Datenempfänger, der Zweck der Verarbeitung oder die betroffenen Personen enthalten sein. Die Führung und der Detailgrad des Verarbeitungsverzeichnisses sollte sich an der Unternehmensgröße, dem Aufbau und der Komplexität orientieren. Dabei dürfen durchaus verschiedene Verarbeitungen gebündelt in einem Eintrag geführt werden, was zu einer wesentlichen Vereinfachung führt. Das Verzeichnis sollte sowohl den Anforderungen der Rechenschaftspflicht nach Art 5 Abs 2. DSGVO genügen, als auch mit der Arbeitsweise und den Anforderungen des Datenschutzbeauftragen übereinstimmen.

Folgende Inhalte gehören zwingend in das Verzeichnis:

• Die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen
• Die Kontaktdaten des Datenschutzbeauftragten (sofern benannt)
• Der Zweck der Verarbeitung
• Beschreibung der betroffenen Personen
• Beschreibung der Kategorien personenbezogener Daten die verarbeitet werden
• Kategorien von Empfängern (z.B. Mutterkonzern, Auftragsverarbeiter), einschließlich der Empfänger in Drittländern
• Die beabsichtigte Übermittlung von pbD in ein Drittland außerhalb von EU/EWR
• Löschfristen der verschiedenen Datenkategorien
• soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO

Jedem Verantwortlichen ist zudem selbstüberlassen, ob er es für sinnvoll hält, die folgenden Informationen zusätzlich in dem Verzeichnis aufzunehmen. Das macht die Dokumentation der Verarbeitungen in der Praxis einfacher und erlaubt z.B. die Durchführung der Datenschutz-Folgenabschätzung durch den Verantwortlichen, ohne auf ergänzende Dokumente zurückgreifen zu müssen. Dabei muss der Verantwortliche sich allerdings bewusst sein, dass diese Informationen im Bedarfsfall dann auch der zuständigen Aufsichtsbehörde mit zur Verfügung gestellt werden.

• Rechtmäßigkeit (Rechtsgrundlage inkl. Abwägungen, Einwilligungen und Prüfklauseln)
• Datenminimierung (Privacy by design, Privacy by default)
• Richtigkeit der Daten (Speicherbegrenzung, Löschung oder Einschränkung der Verarbeitung)
• Benachrichtigungs- und Informationspflichten
• Datenportabilität
• Additiv die technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO
• DSFA (Datenschutz-Folgeabschätzung)

4. Was ist das Besondere am Verzeichnis der Verarbeitungstätigkeiten eines Auftragsverarbeiters?

Andere Inhalte sieht, wegen seiner besonderen Rolle, das Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter vor. Dort müssen alle Verarbeitungstätigkeiten aufgeführt sein, die der Auftragsverarbeiter im Auftrag eines oder mehrerer Verantwortlichen durchführt.

Ein solches Verzeichnis sollte zumindest folgende Informationen enthalten:

• Die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen
• Die Kontaktdaten des Datenschutzbeauftragten (sofern benannt) sowie des Vertreters des Verantwortlichen
• Definition der Kategorien personenbezogener Daten, die im Auftrag verarbeitet werden
• Die beabsichtigte Übermittlung personenbezogener Daten in ein Drittland außerhalb von EU/EWR
• sofern möglich die technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO

Auch für das Verzeichnis des Auftragsverarbeiters kann es hilfreich sein, weitere interne Zusatzangeben zu machen. Hier wäre beispielsweise eine Information zu Unterauftragsverhältnissen sinnvoll. So können dann beispielsweise Meldepflichten und Genehmigungsmitteilungen eingehalten werden.

5. Was bedeutet das für Sie?

Festzuhalten ist, dass die Dokumentation der Prozesse mit Verarbeitungen personenbezogener Daten eine elementare Rolle spielt, um als Unternehmen DSGVO konform zu sein. Bereits die mit dem VVT mögliche Erfüllung wesentlicher Rechenschafts- und Dokumentationspflichten machen die Erstellung sinnvoll, ganz abgesehen von dem bei Verstößen fälligen Bußgeldern von bis zu 10 Millionen EUR oder 2% des weltweiten Konzernvorjahresumsatzes.

Ihr Unternehmen sollte sich deshalb in jedem Fall mit der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten auseinandersetzen. Daneben unterstützt das VVT bei der Umsetzung von Rechten betroffener Personen, wenn dort die zur Erfüllung der Informationspflichten aus Art. 13, 14 DSGVO erforderlichen Angaben zusätzlich erfasst sind. Schließlich ist das Verzeichnis von Verarbeitungstätigkeiten für den internen oder externen Datenschutzbeauftragten die Grundlage für seine Beratungs- und Überwachungstätigkeit. Das Verzeichnis von Verarbeitungstätigkeiten sollte ab jetzt eine zentrale Rolle in Ihrem Datenschutzkonzept spielen!

Jetzt Praxistipps sichern.

Im Whitepaper gewinnen Sie Einblicke in die EU-DSGVO und erhalten erste Hilfestellungen für die Umsetzung. Nach 30 Seiten sind Sie der Umsetzung der DSGVO bereits einen großen Schritt näher.