Das Verzeichnis von Verarbeitungstätigkeiten ist eine Dokumentations-Anforderung der EU Datenschutzgrundverordnung (DSGVO). Gemäß Art. 30 DSGVO müssen Unternehmen eine Liste aller Tätigkeiten erstellen, bei der sie personenbezogene Daten verarbeiten (Verarbeitungstätigkeiten).
Für das Verzeichnis von Verarbeitungstätigkeiten werden etwas unpräzise auch die Begriffe Verfahrensverzeichnis und Verarbeitungsverzeichnis verwendet.
Übersicht
- Was ist eine Verarbeitungstätigkeit?
- Was sind Beispiele für Verarbeitungstätigkeiten in einem Verzeichnis von Verarbeitungstätigkeiten (Muster/Vorlagen) nach Art. 30 DSGVO?
- Welche Angaben gehören in ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO (Beispiele)?
- Wo finde ich Beispiele, Muster, Vorlagen und kostenlose Excel zum Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis / Verarbeitungsverzeichnis)?
- Was ist noch wichtig zu wissen zum Verzeichnis von Verarbeitungstätigkeiten (auch: „Verfahrensverzeichnis“ oder „Verarbeitungsverzeichnis“)?
1. Was ist eine Verarbeitungstätigkeit?
Der Begriff „Verarbeitungstätigkeit“ ist in der DSGVO nicht definiert. Deshalb besteht oft Unklarheit, was in welchem Detailgrad in dem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren ist.
Eine „Verarbeitungstätigkeit“ kann verstanden werden als ein Bündel von Verarbeitungsschritten, das einem einheitlichen, übergeordneten Zweck dient, z.B. ein bestimmter Geschäftsprozess oder ein IT-Tool.
Beispiele für Verarbeitungstätigkeiten sind:
Nutzung spezieller Software oder Geräte, mit denen Mitarbeiterdaten erfasst, gespeichert oder ausgewertet werden (z.B. Zeiterfassungssystem, digitale Personalakten, elektronische Zugangskartensystem, Videoüberwachung).
Standardisierte interne Abläufe, bei denen Mitarbeiterdaten kontinuierlich oder systematisch erfasst, gespeichert oder genutzt werden (z.B. Umgang mit Bewerberdaten, Verwaltung und Abwicklung von Fortbildungsmaßnahmen, Entgeltabrechnung, E-Mail Newsletter für Kunden).
Oft stellt sich die Frage, in welcher Granularität die Verarbeitungstätigkeiten im Verzeichnis der Verarbeitungstätigkeiten (früher: Verfahrensverzeichnis / Verarbeitungsverzeichnis) zu dokumentieren sind:
Bei der Abgrenzungsfrage, ob bestimmte Verarbeitungen eine große oder mehrere kleinere Verarbeitungstätigkeiten darstellen, können folgende Gesichtspunkte berücksichtigt werden:
Beispiel für Abgrenzungsfrage: eine Verarbeitungstätigkeit „Verwaltung Mitarbeitergespräche“ oder zwei Verarbeitungstätigkeiten „Zielvereinbarung“ und „Zielerreichungsmessung“?
- Eine zu feingliedrige Aufteilung führt zu unübersichtlich vielen Verarbeitungstätigkeiten und erhöht unnötig den Verwaltungsaufwand.
- Eine zu grobgliedrige Aufteilung (z.B. „Personaldatenverwaltung“) erlaubt keine sinnvolle Prüfung der Datenschutzkonformität mehr.
- Zur Ermittlung eines übergeordneten Zweckes bietet sich eine Orientierung an bestehenden Geschäftsprozessen oder Aufgabenbereichen an.
- Die Abgrenzung kann auch anhand der technischen Systeme erfolgen, die der Verarbeitungstätigkeit zu Grunde liegen. Nicht jedes IT-System muss aber als eigene Verarbeitungstätigkeit angesehen werden.
- Würde eine Verarbeitungstätigkeit in die Verantwortlichkeit mehrerer Fachbereiche fallen, kann eine Aufteilung sinnvoll sein.
- Rein pragmatisch könnte bei kleineren Unternehmen eine geringere Granularität bei der Festlegung von Verarbeitungstätigkeiten akzeptiert werden.
Rein abstrakte Verarbeitungen ohne konkreten Zweck
Beispiele: allgemeine Nutzung von Office-Programmen, allgemeine Projektorganisation
oder nur gelegentliche Verarbeitungen
Beispiele: Führen von Teilnehmerlisten von Besprechungen
müssen nicht als „Verarbeitungstätigkeiten“ behandelt werden.
2. Was sind Beispiele für Verarbeitungstätigkeiten in einem Verzeichnis von Verarbeitungstätigkeiten (Muster/Vorlagen) nach Art. 30 DSGVO?
Nachfolgend sind typische Verarbeitungstätigkeiten in einem Unternehmen dargestellt. Die Liste ist beispielhaft und nicht abschließend und soll lediglich der Orientierung dienen.
Die Granularität ist eher an kleinen Unternehmen ausgerichtet. Bei mittleren und größeren Unternehmen dürfte z.B. im Personalbereich eine stärkere te Aufteilung sinnvoll sein.
Personal
- Bewerbungsmanagement/Recruiting
- Personalaktenführung
- Gehaltsabrechnung
- Zeiterfassung (Kommen-/Gehen-Zeiten)
- Personalentwicklung / Mitarbeitergespräche
- Fuhrparkverwaltung
- Reisekostenabrechnung
IT
- E-Mail Dienst für Mitarbeiter
- Internetzugang für Mitarbeiter
- Fileserver
- Intranet / Mitarbeiterverzeichnis
- Gäste-WLAN
Online
- Betrieb Webseite
- Newsletter-Abonnementen-Verwaltung
- Tracking (Analyse des Besucherverkehr)
- Social Media Auftritte (z.B. Facebook Fanpage)
Kunden
- Vertragsabwicklung / Verkauf / Vertrieb
- CRM (Kundendatenbank)
- Marketing (z.B. Newsletter-Subscriber Listen, Opt-Out Listen)
Allgemein / Lieferanten
- Kreditorenbuchhaltung
- Debitorenbuchhaltung
- Projektmanagement
- Produktion (z.B. Schichtpläne)
- Revision
- Recht
- Compliance
Sonstiges
- Videoüberwachung
3. Welche Angaben gehören in ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO (Beispiele)?
Der zwingende Inhalt des Verzeichnisses der Verarbeitungstätigkeiten ist in Art. 30 DSGVO festgelegt. Neben dem Namen und den Kontaktdaten des Unternehmens und des etwaigen Datenschutzbeauftragten ist für jede einzelne Verarbeitungstätigkeit anzugeben:
- Zweck der Verarbeitung
- Verarbeitete Datenarten
- Personenkreis, über den Daten verarbeitet werden
- Empfänger
- Angaben zu Übermittlungen in Länder außerhalb der EU/dem EWR
- Löschfristen
- Datensicherheitsmaßnahmen
Daneben bietet sich an, folgende organisatorische Angaben zu ergänzen:
- Kurzbezeichnung (Titel) der Verarbeitungstätigkeit
- Intern verantwortliche Abteilung und Person
- Datum des Eintrags/der letzten Änderungen
Stützt das Unternehmen seine Datenverarbeitung auf die Rechtsgrundlage der „Interessenabwägung“ (Art. 6 Abs. 1 lit f. DSGVO) sollte dies im Verzeichnis der Verarbeitungstätigkeiten vermerkt sein, zusammen mit der Angabe, welche konkreten Interessen verfolgt werden. Diese Information wird nämlich bei den Informationspflichten wieder benötigt.
Sinnvoll, obgleich nicht gesetzlich zwingend gefordert sind:
- Rechtsgrundlage(n) nach Art. 6 DSGVO, auf die sich die Verarbeitung stützt, bei "Interessenabwägung" zusätzlich die berechtigten Interessen (Angaben werden für Datenschutzhinweise nach Art. 13 Abs. 1 lit. c und d DSGVO benötigt).
- Bezeichnung des eingesetzten IT-Systems
- Einsatz von Auftragsverarbeitern
- Vorliegen von besonderen Arten personenbezogener Daten nach Art. 9 DSGVO
- nähere Erläuterung der Datenverarbeitung
- relevante Betriebsvereinbarungen
Der Umfang der Angaben zu den Verarbeitungstätigkeiten hängt von dem Ziel ab. Will man nur möglichst knapp die formalen gesetzlichen Anforderungen erfüllen, reichen die Pflichtangaben mit knapper Beschreibung.
Das Verzeichnis der Verarbeitungstätigkeiten ist aber auch zentraler Baustein eines Datenschutzmanagementsystems, um die Einhaltung des Datenschutzes im Unternehmen sicherzustellen (Compliance). Anhand des Verzeichnisses der Verarbeitungstätigkeiten können zum Beispiel die einzelnen Verarbeitungen auf ihre DSGVO-Konformität hin geprüft werden und etwaige Nachbesserungen erfolgen. Dies erfordert jedoch häufig eine über die Pflichtangaben hinausgehende Dokumentation der Verarbeitungen. Zudem hilft ein detaillierteres Verzeichnis von Verarbeitungstätigkeiten dem Unternehmen bei der Einhaltung der sog. Rechenschaftspflicht. Aufgrund der Rechenschaftspflicht muss das Unternehmen in der Lage sein, die Einhaltung der DSGVO auch nachweisen zu können. Auch bei der Erstellung von Datenschutzinformationen (z.B. für Mitarbeiter oder Bewerber) sowie bei der Bearbeitung von Auskunftsersuchen ist das Verzeichnis ein wichtiges Hilfsmittel.
Da das Verzeichnis der Verarbeitungstätigkeiten auf Anfrage einer Aufsichtsbehörde vorgelegt werden muss, sollte sichergestellt sein, dass in diesem Fall nur die Pflichtangaben extrahiert werden können.
Um Wiederholungen zu vermeiden bietet es sich an, bestimmte Beschreibungen gesondert zu verfassen und bei den einzelnen Einträgen im Verzeichnis der Verarbeitungstätigkeiten nur auf diese zu verweisen, sofern sich beim konkreten Verfahren keine Besonderheiten ergeben. Diese Methode des vor-die-Klammer-Ziehens ist vorallem bei den Löschfristen, den Datensicherheitsmaßnahmen und ggf. den Datenempfängern sinnvoll.
Die Angaben zu den einzelnen Verarbeitungstätigkeiten können in der Regel knapp und ggf. sogar stichpunktartig erfolgen, müssen aber vollständig und aus sich heraus verständlich sein. Je stärker die Datenverarbeitung die Interessen der Betroffenen beeinträchtigen kann, desto genauer muss die Beschreibung erfolgen. Kriterien sind hierbei z.B. Sensibilität der Daten, Umfang der Daten, Zahl der Betroffenen, Üblichkeit und Art der Verarbeitung.
Manchmal werden im Verzeichnis der Verarbeitungstätigkeiten auch Aspekte aufgenommen, die der Prüfung der datenschutzrechtlichen Zulässigkeit des Verfahrens dienen, z.B. Fragen zum Rollen- und Berechtigungskonzept oder der Rechtsgrundlage. Ich persönlich empfehle, diese Themen aus dem Verzeichnis der Verarbeitungstätigkeiten rauszuhalten und dieses als reine Dokumentation zu sehen. Die DSGVO-Konformität kann dagegen in gesonderten Unterlagen geprüft und dokumentiert werden (siehe z.B. meine Checkliste Verarbeitungstätigkeiten).
4. Wo finde ich Beispiele, Muster, Vorlagen und kostenlose Excel zum Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis / Verarbeitungsverzeichnis)?
Hinweise zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO von den deutschen Datenschutzaufsichtsbehörden (Datenschutzkonferenz – DSK): https://www.lda.bayern.de/media/dsk_hinweise_vov.pdf
Praxishilfe der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) zum Verzeichnis der Verarbeitungstätigkeiten: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf
Erläuterungen zum Verarbeitungsverzeichnis des Bitkom e.V. (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) einschließlich Tipps zum Erstellen: https://www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf
Sehr einfache Beispiele, Vorlagen, Muster für ein Verzeichnis von Verarbeitungstätigkeiten für kleine Unternehmen von der Bayerischen Datenschutzbehörde (für Vereine, Kfz-Werkstatt, Handwerksbetrieb, Arztpraxis, WEG-Verwaltung, Online-Shop, Beherbergungsbetrieb): https://www.lda.bayern.de/de/kleine-unternehmen.html
5. Was ist noch wichtig zu wissen zum Verzeichnis von Verarbeitungstätigkeiten (auch: „Verfahrensverzeichnis“ oder „Verarbeitungsverzeichnis“)?
- Das Verzeichnis der Verarbeitungstätigkeiten wird oft als lästige Dokumentationsanforderung wahrgenommen, ist aber ein zentraler Baustein zur Sicherstellung der Datenschutz Compliance im Unternehmen.
- Die Führung des Verzeichnisses der Verarbeitungstätigkeiten obliegt dem Unternehmen, nicht dem Datenschutzbeauftragten. Die Aufgabe kann aber an den Datenschutzbeauftragten delegiert werden, wenn dieser einverstanden ist. Vor der DSGVO war dies umstritten, nunmehr ist die Delegationsmöglichkeit von Aufsichtsbehörden anerkannt.
- Die Annahme, Unternehmen mit weniger als 250 Mitarbeitern müssten kein Verzeichnis von Verarbeitungstätigkeiten führen ist verfehlt, da in der Regel eine Rückausnahme nach Art. 30 Abs. 5 DSGVO greift.
- Der Aufwand für die erstmalige Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten ist nicht zu unterschätzen. Auch die spätere Pflege bindet Ressourcen. Gerade bei mittleren und größeren Unternehmens bedarf es hierfür fester Prozesse und der Mitwirkung der Fachbereiche.
- Es gibt diverse Anbieter von Softwarelösungen zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten. In vielen Fällen genügen aber Excel-Dateien oder kleine Sharepoint-Lösungen. Software-Tools bringen oft viele weitere nicht unbedingt gewollte Funktionen mit sich, kosten Geld und führen zu Lock-In Effekten. Der Einsatz der Tools sollte daher gerade bei kleinen und mittleren Unternehmen gut abgewogen werden. Ein prima englischer Artikel dazu: "Ten tips to avoid wasting thousands on privacy tools you don't need and ensure you get the ones you do need"
- Aufsichtsbehörden ist auf Anfrage das Verzeichnis der Verarbeitungstätigkeiten bereitzustellen.
- Die Begriffe „Verfahrensverzeichnis“ oder „Verarbeitungsverzeichnis“ sind veraltet und sollten nicht weiter genutzt werden.
- Das unter dem alten BDSG erforderliche „öffentliche Verfahrensverzeichnis“ gibt es unter der Geltung der DSGVO nicht mehr.