Was ist ein Verarbeitungsverzeichnis und wozu dient es?
Gemäß Art. 30 DSGVO muss jedes Unternehmen, das personenbezogene Mitarbeiterdaten verarbeitet, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu Archivierungszwecken erstellen. Dieses soll vor allem Transparenz, Zweckbindung und Richtigkeit der Datenverarbeitung sicherstellen. Das Verarbeitungsverzeichnis ist als Beweismittel für Unternehmen anzusehen, sollte es sich einmal gegen Anschuldigungen rechtfertigen müssen.
Info
So gut wie jedes Unternehmen muss ein Verarbeitungsverzeichnis führen
Zwar existieren offiziell Ausnahmen, wann Firmen von einer solchen Dokumentationspflicht entbunden sind, aber diese greifen eigentlich so gut wie nie.
Denn selbst wenn Sie Namen und Telefonnummern Ihrer Kunden hin und wieder für einen Auftrag notieren, gilt das meistens schon als Grundlage dafür, dass Sie ein Verarbeitungsverzeichnis anfertigen müssen.
Hierbei spielt es keine Rolle, ob Ihr Unternehmen weniger als 250 Mitarbeiter umfasst.
Die Form des Verarbeitungsverzeichnisses
Für das Verarbeitungsverzeichnis gibt es keine genauen Formvorschriften. Die Ausgestaltung der Dokumentation bleibt jedem Unternehmen selbst überlassen. Entscheidend ist, dass darin alle Pflichtangaben enthalten sind, die die Datenschutzgrundverordnung verlangt. Welche dies sind, erfahren Sie unter dem Punkt „Inhalt“.
Wie detailliert der Inhalt des Verarbeitungsverzeichnisses sein muss, wird ebenfalls nicht im Gesetz genannt. Das Verzeichnis muss jedoch aus sich heraus verständlich sein. Der Datenschutzaufsichtsbehörde – und nur ihr – muss Einblick gewährt werden. Diese muss anhand des Verarbeitungsverzeichnisses idealerweise ohne Rückfragen erkennen können, ob das betreffende Unternehmen rechtskonform aufgestellt ist. Ansonsten droht eine DSGVO-Abmahnung durch die Datenschutzaufsicht.
Ob das Verzeichnis der Datenverarbeitungsprozesse nun aber in Papierform abgelegt ist oder es sich in Word- bzw. Excel-Dateien in einem speziellen Ordner auf der Festplatte befindet, ist nicht vorgegeben. Allerdings dürfte es aus praktischen Gesichtspunkten vorteilhaft sein, wenn das Verarbeitungsverzeichnisin elektronischer Form geführt wird. Zudem kann vor allem bei größeren Unternehmen eine spezielle Datenschutzmanagement-Software bzw. ein Informationssicherheitsmanagement-System hilfreich sein.
Der Aufbau des Verarbeitungsverzeichnisses
Wie sieht nun der grundsätzliche Aufbau des Verarbeitungsverzeichnisses aus? Grob lässt sich dieser in drei Bereiche unterteilen:
- Als Erstes sollte das Verarbeitungsverzeichnis mit einer Art Deckblatt beginnen, auf dem Sie die Daten der verantwortlichen Stelle, also Ihres Unternehmens, sowie eines eventuell vorhandenen Datenschutzbeauftragten aufführen. Hier müssen Sie jeweils Name, Anschrift und Kontaktdaten nennen.
- Der Mittelteil des Verarbeitungsverzeichnisses besteht aus den Beschreibungen der einzelnen Verarbeitungstätigkeiten, die es in Ihrem Unternehmen gibt. Es geht im Kern also um die Analyse der eigenen Geschäftsprozesse sowie deren Beschreibung gemäß den Vorgaben aus der DSGVO (Art. 30). Alle einzelnen Beschreibungen der Verarbeitungstätigkeiten bilden gemeinsam den zweiten Teil.
- Im letzten Teil führen Sie die technischen und organisatorischen Maßnahmen (kurz: TOM) auf, die für alle Verarbeitungstätigkeiten gelten. Dort finden sich beispielsweise Angaben zu Maßnahmen der IT-Sicherheit, um Datenschutzrisiken zu minimieren, der Gebäudesicherheit, aber ggf. auch Arbeitsanweisungen - wie etwa eine Clean-Desk-Policy - oder eventuelle Betriebsvereinbarungen etc.
Alle drei Bereiche zusammen bilden das Verarbeitungsverzeichnis.
Tipp
Muster Verarbeitungsverzeichnis
Nutzen Sie unser kostenloses Muster, um ganz einfach Ihr eigenes Verarbeitungsverzeichnis zu erstellen – rechtssicher nach den Vorgaben der DSGVO.
Inhalt und Umsetzung des Verarbeitungsverzeichnisses
Eine Schwierigkeit liegt häufig darin, dass die Verantwortlichen nicht wissen, was überhaupt als Prozess bzw. Verarbeitungstätigkeit hinsichtlich des Verarbeitungsverzeichnisses gilt und wie fein aufgegliedert die Datenverarbeitungsvorgänge dort aufgeführt werden müssen.
Eine verlockende Herangehensweise könnte daraus bestehen, sich an eingesetzter Software zu orientieren. Hierbei könnte man beispielsweise davon ausgehen, dass es sich bei der Verwendung von „Outlook“ um einen Prozess in Form eines Bereichs handelt, bei dem verschiedene personenbezogene Daten verarbeitet werden. Allerdings ist von dieser Einteilung abzuraten, da gerade bei Outlook und ähnlichen Programmen unterschiedliche Daten- und Verarbeitungsformen eingebunden sind (z.B. E-Mails, Termine, Kontakte, Aufgaben etc.). Somit ist dieser Ansatz mit Blick auf die Datenschutzverordnung nicht empfehlenswert.
Gehen Sie stattdessenvon den einzelnen Bereichen – wie eben E-Mails, Termine, Kontakte usw. – aus und legen Sie fest, dass dies einzelne Prozesse, bzw. Verarbeitungstätigkeiten sind. Outlook ist hierbei nur das „Werkzeug“, das Sie für diese Vorgänge einsetzen. Und dieses Werkzeug tauschen Sie vielleicht irgendwann einmal aus; aber der Vorgang an sich bleibt gleich.
Für die konkrete Umsetzung des Verarbeitungsverzeichnisses (nach Erstellung des Deckblatts) können Sie als Sofortmaßnahme z.B. eine Excel-Tabelle anlegen. Die erste Spalte im Excel-Dokument befüllen Sie untereinander mit den Abteilungen, die in Ihrem Unternehmen existieren; also beispielweise mit „Geschäftsführung“, „Marketing“, „IT“, „Buchhaltung“, „Personalabteilung“ etc.
Damit haben Sie zumindest schon einmal ganz grob eine Unterteilung in verschiedene Prozesse durchgeführt, die Sie später dann „nur“ noch mit den Pflichtangaben aus Art. 30 DSGVO versehen müssen. Zu diesen Angaben gehören:
- Zweck der Verarbeitungstätigkeit (also z.B. Kundenbetreuung, Personalverwaltung oder Werbezwecke)
- Kategorien der betroffenen Personen (beispielsweise Kunden, Mitarbeiter, Lieferanten etc.),
- Kategorien der von der Datenverarbeitung betroffenen Daten (wie etwa Name, Adressdaten, Kontaktdaten, Vertragsdaten usw.)
- evtl. auch die Kategorien von besonders sensiblen Daten im Sinne von Art. 9 DSGVO (also z.B. Gesundheitsdaten)
- Kategorien von Empfängern der Daten (z.B. Bank, Finanzamt, Krankenkasse o.ä.),
- eine evtl. geplante Übermittlung der Daten in Drittländer außerhalb der EU
- einschlägige Lösch- bzw. Aufbewahrungsfristen (z.B. 10 Jahre gem. Steuerrecht, 6 Monate für Daten abgelehnter Bewerber, 2 Jahre bei bestehenden Gewährleistungspflichten usw.).
Mit einer solchen Tabelle verfügen Sie bereits über ein in Grundzügen vorhandenes Verarbeitungsverzeichnis, auf das Sie nun aufbauen können. Natürlich ist es sinnvoll und aus juristischer Sicht auch ratsam, die Prozesse noch feiner und spezifischer aufzuschlüsseln.
Welche unterschiedlichen Informationen Sie pro Person angeben sollten, erfahren Sie hier in unserem kostenlosen Muster Verarbeitungsverzeichnis zum Herunterladen. Wie ein Verfahrensverzeichnis gemäß DSGVO zum Beispiel ausgefüllt aussehen kann, sehen Sie auch auf der Website des Bayerischen Landesamt für Datenschutz (LDA Bayern). Dort finden Sie spezielle Vorlagen von Verarbeitungsverzeichnissen für Handwerksbetriebe, Einzelhändler oder für Vereine.