Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung

Fachbeitrag

Die Datenschutz-Grundverordnung (DSGVO) bringt einige Veränderungen mit sich. Vor allem was die umfangreichen Dokumentationspflichten betrifft, müssen sich die Verantwortlichen – wie z.B. Unternehmen, Freiberufler oder Vereine – künftig auf höhere Anforderungen im Datenschutz einstellen. Einen Kernpunkt wird dabei das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO bilden. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Das altbekannte Verfahrensverzeichnis

Das Verzeichnis von Verarbeitungstätigkeiten nach der Datenschutz-Grundverordnung ist im Grundsatz nichts anderes, als das altbekannte Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e Bundesdatenschutzgesetz (BDSG). Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Das Verzeichnis von Verarbeitungstätigkeiten löst folglich das alte Verfahrensverzeichnis ab, bringt allerdings auch einige Neuerungen mit sich.

Kein Verzeichnis = Bußgeld

Eigentlich ist die Pflicht, unter gewissen Voraussetzungen ein Verzeichnis über alle relevanten Verarbeitungstätigkeiten führen zu müssen, nicht neu. Allerdings war ein Verstoß dagegen bisher nicht direkt bußgeldbewehrt. Mit Einführung der Datenschutz-Grundverordnung müssen die Verantwortlichen nun die Verzeichnisse von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorhalten können, ansonsten droht ein Bußgeld, Art. 83 Abs. 4 a DSGVO. Unabhängig von der abzuwartenden Bußgeldpraxis der Aufsichtsbehörden, bewegt sich der mögliche Rahmen hier bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes, so dass hier in jedem Fall zu entsprechender Vorsorge zu raten sein dürfte.

Nicht mehr öffentlich

Während das alte Verfahrensverzeichnis in weiten Teilen noch auf Antrag jedermann zugänglich zu machen war, besteht diese Pflicht bei den Verzeichnissen von Verarbeitungstätigkeiten nur noch gegenüber den Aufsichtsbehörden. Es wird also nicht mehr zwischen internen und öffentlichen Verzeichnissen unterschieden.

Neue Pflicht für Kleinstunternehmer

Für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeiter gibt es zwar eine gewisse Erleichterung, die allerdings nur selten einschlägig sein dürfte. Demnach sind diese nach Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit, außer

  • die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen (z.B. Scoring),
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 DSGVO (z.B. Gesundheitsdaten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 DSGVO.

In erster Linie die Ausnahme von der Ausnahme „die Verarbeitung erfolgt nicht nur gelegentlich“, unterwirft die meisten Unternehmen wieder der Pflicht ein Verzeichnis führen zu müssen. Ganz abgesehen von auftretenden Schwierigkeiten bei der Auslegung was denn nun nur gelegentlich ist und was nicht, dürfte es bei der Masse von Unternehmen mit weniger als 250 Mitarbeiter Datenverarbeitungsvorgänge geben, die eindeutig regelmäßig erfolgen. Dies bedeutet zusätzlichen bürokratischen Aufwand für Kleinstunternehmer wie etwa Handwerker und kleine Gewerbetreibende, aber auch Arztpraxen und Apotheken. Diese waren nach der bislang geltenden Gesetzeslage regelmäßig nicht verpflichtet Verfahrensverzeichnisse zu führen, mit Einführung der Datenschutz-Grundverordnung wird sich das ändern.

Inhalt und Verpflichtete

Der Inhalt der Verzeichnisse für Verarbeitungstätigkeiten wird in Art. 30 DSGVO festgelegt und ähnelt dem der bisherigen Verfahrensverzeichnisse. Demnach müssen die wesentlichen Angaben zur Datenverarbeitung angegeben werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Neu ist, dass neben den verantwortlichen Stellen nun auch die Stellen, die nur im Auftrag der verantwortlichen Stellen Daten verarbeiten (Auftragsdatenverarbeiter), entsprechende Verzeichnisse führen müssen, Art. 30 Abs. 2 DSGVO.

Tipps zur Umsetzung

Unternehmen die bereits jetzt ein gutes Datenschutzmanagement haben und Verfahrensverzeichnisse führen, wird die Umstellung naturgemäß leichter fallen. Es sollte in diesen Fällen geprüft werden, inwieweit die bisher geführten Verfahrensverzeichnisse die inhaltlichen Anforderungen des Art. 30 DSGVO erfüllen und ggf. entsprechend ergänzt werden müssen.

Im Falle von fehlender Datenschutzdokumentation muss zunächst ermittelt werden, in welchen Fällen personenbezogene Daten von z.B. Kunden, Lieferanten oder Beschäftigten erhoben und verarbeitet werden. Hierzu bietet es sich als erster Anhaltspunkt an, alle innerhalb der Systemlandschaft des Unternehmens eingesetzten Anwendungen und Tools aufzulisten, in denen personenbezogene Daten gespeichert werden. Dies hilft gleichsam bei der Ermittlung der Datenflüsse im Unternehmen und kann auch als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten dienen. Dieses wird in der Praxis zwecks Übersichtlichkeit meist aus mehreren Verzeichnissen für verschiedene Verarbeitungsvorgänge (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) bestehen.

Auch die Datenschutzkonferenz hat sich mit dem Thema auseinandergesetzt und hierzu ein Kurzpapier veröffentlicht. Für einen tieferen Einstieg bietet sich daneben auch die GDD-Praxishilfe sowie der Bitkom Leitfaden zum Verzeichnis von Verarbeitungstätigkeiten an.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

16 Kommentare zu diesem Beitrag

  1. Vielen Dank für diesen Artikel und den Newsletter vom 30.5. bzw den Artikel „DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten“.
    Endlich habe ich eine Antwort erhalten auf eine Frage, die mich seit 2 Wochen umtreibt (und zu der ich noch keine klare Antwort hatte finden konnten in div. Büchern): „Was ist aus dem Jedermannverzeichnis geworden?“
    Nun ist bei mir der Groschen gefallen! Danke, ich kann nun endlich richtig loslegen mit dem neuen Verfahrensverzeichnis.

  2. Ich bin etwas überrascht über die Aussage, Ärzte und Apotheken müssten kein Verfahrensverzeichnis führen. Dort wird mit Gesundheitsdaten umgegangen, diese sind besondere personenbezogene Daten. Mit einem Handwerksbetrieb nicht zu vergleichen.

    • Hinsichtlich der Pflicht ein Verfahrensverzeichnis zu führen kommt es nach dem BDSG nicht (zumindest nicht direkt) auf die Art der Daten an, die durch die verantwortliche Stelle verarbeitet werden. Das Gesetz spricht hier in § 4g Abs. 2 BDSG lediglich von einer „Übersicht“ mit dem Inhalt nach § 4e Satz 1 Nr. 1 bis 8 BDSG, welches dem DSB zur Verfügung gestellt werden muss (Verfahrensverzeichnis). Wenn es keine Pflicht zur Bestellung eines DSB gibt, entfällt diese Pflicht und die verantwortliche Stelle muss diese Angaben lediglich auf Antrag jedermann zur Verfügung stellen. Eine ständige und zudem bußgeldbewehrte Pflicht, jederzeit ein Verfahrensverzeichnis vorhalten zu müssen, ergibt sich daher für auch für diese Stellen nach BDSG nicht.

  3. Hallo Dr. Datenschutz und vielen Dank für die vielen hilfreichen Artikel.
    Wir führen in unserer Firma mehrere eigene WIKIs die wir als Wissensdatenbank nutzen. In den WIKIs werden ggf. auch personenbezogene Informationen erfasst (evtl. Protokolle, in jedem Fall aber ja der Benutzer, Ersteller usw.).
    Ist das WIKI als Verarbeitungstätigkeit anzusehen und müsste ich dazu eine Dokumentation anlegen? Falls ja, welche rechtliche Grundlage könnte ich zum Führen eines WIKI heranziehen? Ist es ein „zwingend notwendiger Geschäftsprozess“ nach §28 BDSG?
    Vielen Dank

    • Wenn Sie eine interne Wissensdatenbank führen, die personenbezogenen Daten enthält, wäre das grundsätzlich ein Verfahren welches entsprechend zu dokumentieren ist. Welche Rechtsgrundlage hierfür einschlägig ist, lässt sich ohne weitere Informationen nicht beurteilen. Da es sich wohl um Mitarbeiterdaten handelt, müssen sie primär § 32 Abs. 1 BDSG prüfen. Eine Erforderlichkeit für die Durchführung des Arbeitsverhältnisses beurteilt sich dann anhand der Umstände des Einzelfalls (Was macht Ihr Unternehmen?; warum ist es ggf. erforderlich diese Datenbank zu führen? usw.)

  4. Vielen Dank für diesen Beitrag.
    Wie weit muss man den Begriff „Verarbeitung“ auslegen?
    Müssen wir z.B. eine selbst erstellte Excel Tabelle, wo wir eine Liste von Kunden (Name, zugeordnete Personennummer und betreffender Vorgang) führen, die sich über einen Vorgang beschwert oder etwas reklamiert haben in das Verzeichnis aufnehmen?

    Freundliche Grüße

  5. Ich glaube, ich kann mich hier nicht bedanken. Es wurde wieder ein bürokratisches Monster erschaffen, unter dem jetzt vor allem die zu leiden haben, die sowieso schon viele Hürden als Kleinselbständige zu bewältigen haben. Dieses neue Datenschutzgesetz wird zur einer Gelddruckmaschine für Abmahnanwälte und selbständige Datenschützer verkommen. Ich bin fest davon überzeugt, dass letzten Endes Google & Co. mit den EU Datenschützern Schlitten fahren werden. Es ist eben die gleiche EU die es schafft, über den Krümmungsgrad von Gurken Gesetzte zu erlassen. Wie bereits schon vernommen, muss ich als Bürgerin notfalls klagen, um an meine Daten zu kommen. Wenn ich das schon höre. Die Polizei verweist auf den Datenschutzbeauftragten. Wer verklagt denn die Polizei auf Herausgabe von Daten? Möge die macht mit uns Bürgern sein, damit dieser Behördenterror endlich aufhört.

  6. Ich hätte da noch eine Frage: „Wie sieht es mit Vereinen und Verzeichnis von Verarbeitungstätigkeiten aus?“ Unser Verein hat definitiv weniger als 250 Leute, die mit Mitgliederdaten hantieren, aber das was wir machen (jährliche Beitragsabrechnungen etc.) sind ja laut Definition nicht nur gelegentlich oder?

    Muss unser Verein dennoch ein solches Verzeichnis führen?

  7. Irgendwie kann ich nicht begreifen was ich jetzt tun muss. Ich bin als Immobilien- und Versicherungsmakler alleine tätig. Die Kunden wollen z.B. ein Auto versichern oder eine Wohnung anmieten oder kaufen.
    Was soll ich da für ein „Verarbeitungsverzeichnis“ führen?
    Die Anfragen mit den personenbezogenen Daten, die mir die Kunden telefonisch mitteilen, schreib‘ ich mir auf einen für das jeweilige Objekt erstellen Zettel/Blatt auf. Nach der Vermietung und Abschluss des Miet- oder Kaufvertrages werden alle Aufzeichnungen vernichtet, keine Daten weiter aufbewahrt, da der Vorgang abgeschlossen ist. Bei vermittelten Versicherungen hefte ich die aufgenommenen Anträge in einem Hängeregister ab. Endet der Vertrag wird die Akte geschrädert. Was soll ich dafür ein Verarbeitungsverzeichnis führen bzw. wie soll das aussehen? Ich weiß nicht was ich machen soll.

    • Zur Identifizierung der Verarbeitungstätigkeiten sollten Sie sich an den vorhandenen Geschäftsprozessen orientieren.
      Typische Geschäftsprozesse, die eine Verarbeitung personenbezogener Daten erfordern, sind z.B. die Kundendatenverwaltung oder die Vertragsverwaltung.

      Zur Dokumentation der Verarbeitungstätigkeiten haben die Aufsichtsbehörden Muster bereitgestellt:
      https://www.lda.bayern.de/de/infoblaetter.html

  8. Wer sich heute z. B mit einem kleinen Handwerksbetrieb selbständig macht muss bald Angst haben bereits mit einem Bein im Knast zu stehen. Ich kann das Wort Dokumentationspflicht nicht mehr hören. Dokumentation der Arbeitszeiten, des Müllaufkommens, gemäß der neuen Gewerbeabfallverordnung und jetzt dieses Monster. Alles unter Androhung von Bußgeldern. Bescheinigungen für und von Auftraggebern (Bauleistungen) aktuell halten. Diverse Nachsaetze bei Rechnungen je jach Auftraggeber. Gesonderter Auswurf von Ware/Lohnkosten/Fahrtkosten (auch MwSt) bei haushaltsnahen Dienstleistungen. Alles Neuerungen des letzten Jahrzehnts. Statt sich um Google, Amazon, Facebook und Co. zu kümmern, wird den kleinen Betrieben, die sowieso schon kämpfen müssen, noch mehr Bürokratie aufgebürdet. Wissen die Damen und Herren denn noch was sie tun?

  9. Ist immer nur das aktuelle Verarbeitungsverzeichnis vorzuhalten oder sind auch rückwirkende Versionen zu archivieren bzw. kann ich in Zukunft Auskunftspflichtig zu vergangenen Zeitpunkten sein, über Verarbeitungsverfahren die nicht mehr existent sind?

  10. Hallo, ich vertreibe eine Smartphone-App, mit der sich die Nutzer an die Geburtstage von Freunden erinnern lassen können. In der App kann man nur einen Namen, das Geburtsdatum und optional noch besondere Interessen eines Geburtstagskinds speichern. Die Speicherung und Verarbeitung aller Daten erfolgt ausschließlich auf dem Smartphone des Nutzers, ich als App-Anbieter bekomme diese Daten also niemals zu Gesicht. Nun meine Frage: Zähle ich unter diesen Umständen als jemand, der nicht nur gelegentlich Daten verarbeitet und daher ein Verzeichnis über alle relevanten Verarbeitungstätigkeiten anlegen muss? Vielen Dank für eine kurze Antwort!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.