Wiki

Datenschutz-Akademie

Verzeichnis von Verarbeitungstätigkeiten

Default Image

Was ist das Verzeichnis von Verarbeitungstätigkeiten? 

Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist die rechtlich erforderliche Grundlage einer strukturieren Datenschutz-Dokumentation. Es dient gegenüber den Datenschutzbehörden und Dritten als Nachweis darüber, dass die Vorgaben der DSGVO eingehalten wurden. Es ist neben der Datensicherheit, den Informationspflichten, der Umsetzung der Betroffenenrechte, dem Meldeprozess zu Datenpannen und dem Löschkonzept das wesentliche Element, um das Datenschutz-Management-System innerhalb einer Organisation auszubauen und rechtskonform umzusetzen.

In dem Verzeichnis der Verarbeitungstätigkeiten werden alle Geschäftsprozesse schriftlich und idealerweise digital erfasst, die in innerhalb einer Organisation (z. B. Unternehmen, Behörde oder Verein) personenbezogene Daten verarbeiten. Es sind sowohl die (teil-) automatisierten, wie auch nicht automatisierten Verarbeitungen von personenbezogenen Daten zu erfassen.

Ganz oder teilweise automatisierte Verarbeitungstätigkeiten sind solche, die ganz oder teilweise mit Hilfe von IT-Systemen erfolgen, wie z. B. die Kundenverwaltung in einem ERP-System. 

Nicht automatisierte Verarbeitungstätigkeiten sind dann Bestandteil des Verzeichnisses, wenn personenbezogene Daten in einem Dateisystem, z. B. eine Adresskartei, gespeichert werden.

Verpflichtet ein solches Verzeichnis zu führen sind alle Verantwortlichen (Unternehmen, Vereine usw.) die personenbezogene Daten verarbeiten. 

Datenschutzaufsichtsbehörden können das Verzeichnis jederzeit anfordern. Unvollständige Verzeichnisse können zu Bußgeldern führen. 

Das Verzeichnis der Verarbeitungstätigkeiten ist in Artikel 30 der DSGVO beschrieben und ersetzt das bisherige Verfahrensverzeichnis.

Beispiele für Verarbeitungstätigkeiten:

    • Personalaktenverwaltung

    • Zeiterfassung  

    • Videoüberwachung 

    • Personalkatenführung

    • Lohn-, Gehalts- und Bezügeabrechnung

    • Urlaubsdatei

    • Nutzungsprotokollierungen IT/Internet/E-Mail

    • Bewerbungsverfahren

    • Telefondatenerfassung

    • Antragsbearbeitung (Bauanträge, Wohngeldanträge, etc.)

    • Rats- und Bürgerinformationssysteme

    • Meldewesen (Melderegister)

    • Fahrerlaubnisregister und Fahrzeugregister

    • Wahlen (Wählerverzeichnis)

    • Amtsärztliche Untersuchungen

Was muss ein Verzeichnis von Verarbeitungstätigkeiten beinhalten?

Ein Verzeichnis der Verarbeitungstätigkeiten enthält mehrere Verfahrensbeschreibungen (siehe Muster als Download). Verfahrensbeschreibungen dokumentieren die Verarbeitungsschritte personenbezogener Daten. Dabei müssen Verantwortliche und Auftragsverarbeiter unterschiedliche Inhalte dokumentieren.

Verantwortliche müssen folgende Pflichtangaben zur Verarbeitung in das Verzeichnis aufnehmen:

    • Name und Kontaktdaten des Verantwortlichen

    • Zweck der Verarbeitung  

    • Beschreibung der Kategorien der personenbezogenen Daten 

    • Beschreibung der Kategorien der betroffenen Personen und der Empfänger 

    • Ggf. Übermittlungen an ein Drittland

    • Insofern möglich Löschfristen 

    • Insofern möglich eine Beschreibung der technischen und organisatorischen Maßnahmen

Auftragsverarbeiter müssen folgende Pflichtangaben zur Verarbeitung in das Verzeichnis aufnehmen:

    • Name und Kontaktdaten des Auftragsverarbeiters und des Verantwortlichen, in dessen Auftrag gehandelt wird 

    • Beschreibung der Kategorien der Verarbeitungen 

    • Ggf. Übermittlungen an ein Drittland 

    • Insofern möglich eine Beschreibung der technischen und organisatorischen Maßnahmen 

Zusatzangaben sind: 

    • Konkrete Datenempfänger

    • Dienstleister, die Verarbeitung im Auftrag durchführen

    • Rechtsgrundlagen für die Verarbeitung

    • Datenquelle

    • Information der Betroffenen

    • Verantwortliche Abteilung

    • Datenschutzfolgenabschätzung

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Laut DSGVO muss jeder Verantwortliche bzw. Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führen. Eine Ausnahme sind dabei Organisationen mit unter 250 Mitarbeitern. Allerdings nur, insofern, dass:

    • die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt

    • die Verarbeitung nur gelegentlich erfolgt oder

    • keine Verarbeitung besonderer Datenkategorien erfolgt, wie z. B. Gesundheitsdaten (siehe Artikel 9 Abs. 1 der DSGVO)  oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (siehe Artikel 10 der DSGVO) 

Schlussendlich sind nur sehr wenige Organisationen von der Führung ausgeschlossen. Insbesondere der Passus darüber, dass ausschließlich gelegentliche Verarbeitung von der Führung eines solchen Verzeichnisses ausgeschlossen ist, resultiert darin, das in der Praxis nahezu jedes Unternehmen ein Verzeichnis über die Verarbeitungstätigkeiten führen muss. 

Wie hoch sind die Bußgelder bei einem Verstoß?

Verstößt man gegen die Bestimmungen in Bezug auf das Verzeichnis der Verarbeitungstätigkeiten, werden Geldbußen von bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt.

"Das Verzeichnis der Verarbeitungstätigkeiten ist die Grundlage einer strukturierten Datenschutz-Dokumentation" Prof. Dr. Andre Döring