Das Verarbeitungsverzeichnis

Zweck, Aufbau, Form des Verarbeitungsverzeichnisses

Unter Art. 30 in der DSGVO wird das „Verzeichnis von Verarbeitungstätigkeiten“ aufgeführt.

Links

„Verarbeitungsverzeichnis“ in der DSGVO
Art. 30 in der DSGVO

Hinweise, Muster, Leitfäden zum Verarbeitungsverzeichnis
bfdi.bund.de
activemind.de
datenschutz.sachsen-anhalt.de
bitkom.org
datenschutz.hessen.de
dr-datenschutz.de
lfd.niedersachsen.de

Brauche ich ein Verarbeitungsverzeichnis?

Die meisten Verantwortlichen stellen sich vor allem folgende Frage: Brauche ich ein Verarbeitungsverzeichnis?

Laut Art. 30 (5) der DSGVO gilt die Verpflichtung zum Führen eines Verarbeitungsverzeichnisses „[…] nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeitende beschäftigen […]“. Das würde viele Klein- und Kleinstunternehmen von dieser Verpflichtung ausnehmen. Allerdings ist diese Vorgabe an weitere Einschränkungen gekoppelt:

„[…] es sei denn, die von ihnen (den Unternehmen) vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen […]“

Was bedeutet das? Wenn Verantwortliche personenbezogene Daten erheben, was vermutlich der Fall sein wird, dann müssen diese Daten in irgendeiner Logik verarbeitet und gespeichert werden. Ob für Rechnungen, Angebote oder zur Kontaktaufnahme – bestimmte, personenbezogene Daten werden eigentlich immer benötigt. In dem Moment, in dem Daten gespeichert und verarbeitet werden, können hier Risiken für die Rechte (und Freiheiten) der betroffenen Menschen entstehen. In den meisten Fällen sollte diese Einschränkung also als erfüllt betrachtet werden. Die nächste Einschränkung lautet wie folgt:

„[…] die Verarbeitung erfolgt nicht nur gelegentlich […]“

Aber was bedeutet denn „regelmäßig“, bzw. wie im Original „nicht nur gelegentlich“. So richtig definiert ist das leider in der DSGVO nicht. Am ehesten kann man sich hier der allgemeinen Auffassung anschließen, die in etwa lautet: „In dem Moment, in dem regelmäßig personenbezogene Daten verarbeitet werden (was bei Unternehmer*innen, wie vorhin erwähnt, eigentlich immer der Fall ist), ist auch das Verarbeitungsverzeichnis verpflichtend.“

Übrigens: In dem Moment, in dem personenbezogene Daten besonderer Kategorie verarbeitet werden, gilt die Regelung bzgl. Unternehmensgröße ebenfalls nicht mehr.

Funfact: Manchmal stolperst du vielleicht über den Begriff „Verfahrensverzeichnis“. Der ist inzwischen veraltet, meint aber im Grundsatz das gleiche. Mit Einführung der DSGVO wurde aus dem Verfahrensverzeichnis das „Verarbeitungsverzeichnis“.

Was gehört in ein Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis versteht man am besten als „Katalog“ aller Verarbeitungsprozesse, die in einem Unternehmen vorgenommen werden. Verarbeitungsprozesse? Damit ist jede Art der Verarbeitung personenbezogener Daten gemeint. Zum Beispiel das Empfangen von Name und Telefonnummer über einen Messenger, das Erstellen einer Rechnung oder der Chat auf einem sozialen Netzwerk.

Allgemeine Angaben

Die allgemeinen Angaben umfassen Name und Kontaktdaten der/des Verantwortlichen, falls vorhanden einer*s weiteren gemeinsamen Verantwortlichen, falls vorhanden Vertreter*in der/des Verantwortlichen und so vorhanden der/des Datenschutzbeauftragten.

Spezifische Angaben

Die spezifischen Angaben sind der Zweck der Verarbeitung sowie eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten.

Als Beispiel lässt sich eine E-Mail-Adresse heranziehen (Hinweis: Damit es übersichtlich bleibt, wird an dieser Stelle stark vereinfacht).

Zweck der Verarbeitung wäre hier z.B. „Kommunikation intern/extern, elektronisch“. Die Kategorie betroffener Personen könnte lauten „Interessent*innen, Kund*innen, Bewerbende, Mitarbeitende, Dienstleister*innen“. Die Kategorie des personenbezogenen Datums lässt sich als „Kommunikationsdaten: E-Mailadresse“ beschreiben.

Dieser Datensatz wird jetzt erweitert um die „Kategorien von Empfänger*innen“, gegenüber denen diese personenbezogenen Daten offengelegt wurden oder werden, inkl. Empfänger*innen in Drittländern.

Damit sieht das Verzeichnis aus wie folgt:

  • Zweck: Kommunikation intern/extern, elektronisch
  • Kategorie betroffener Personen: Interessent*innen, Kund*innen, Bewerbende, Mitarbeitende, Dienstleister*innen
  • Kategorie d. personenbezogenen Datums: Kommunikationsdaten: E-Mailadresse
  • Offenlegung/Empfänger*innen: Mitarbeitende, E-Mailprovider, E-Mailprogrammanbieter, Buchhaltungssoftware

Neu ist also, wer potentiell dieses Datum einsehen kann.

Optionale Angaben

Art. 30 in der DSGVO führt noch zwei weitere Punkte als „wenn möglich“ an. Auf diese sollte nicht verzichtet werden, weil diese helfen können, die Datensicherheit in Unternehmen o.a. besser aufzustellen.

Zum einen werden hier die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien genannt. Das bedeutet in vielen Fällen schlicht: entsprechend der gesetzlichen Aufbewahrungsfristen. Je nachdem, um welche Daten es sich handelt, können diese aber sehr unterschiedlich ausfallen. Daten, die Buchhaltung/Rechnungen betreffen, müssen zehn Jahre aufbewahrt werden. Geht es um Bewerbungen, dann müssen diese gelöscht werden, wenn der Zweck entfällt. Wird also einem*r Bewerbenden zu- bzw. abgesagt, dann müssen auch die Bewerbungsdaten gelöscht werden. Verantwortliche können hier aber auch einen Zeitraum von bis zu sechs Monaten geltend machen, um sich gegen Rechtsansprüche von Bewerbenden abzusichern.

Das „wenn möglich“ Nummer zwei wird als „allgemeine Beschreibung der technischen und organisatorischen Maßnahmen […]“ in Art. 30 (1) g) formuliert. Unter technischen und organisatorischen Maßnahmen versteht die DSGVO die Maßnahmen, die ergriffen werden, um personenbezogene Daten in Unternehmen möglichst sicher zu verarbeiten. Hier könnte man sehr ins Detail gehen und z.B. Transportverschlüsselung, regelmäßige Software-Updates, verschlüsselte PCs und Smartphones und vieles mehr anführen. Ein guter Mittelweg ist aus meiner Perspektive hier, Punkte aufzuführen, die klar mit dem jeweiligen Datum in Verbindung stehen. Bei der E-Mailadresse könnte das z.B. „Firewall, Antivirensoftware“ sein.

Die Basisstruktur eines Verarbeitungsverzeichnisses ist dargestellt.
© Datenschutzhelden

Form des Verarbeitungsverzeichnisses

Grundsätzlich bleibt es dem*der Verantwortlichen überlassen, ob ein Verarbeitungsverzeichnis schriftlich oder elektronisch geführt wird. Inzwischen gibt es aber dafür jede Menge Handreichungen, Beispiele und Muster, die du in der Infobox findest.

Infobox Verarbeitungsverzeichnis

  • Hinweise und Muster, BfDi, bfdi.bund.de
  • Muster zum Verarbeitungsverzeichnis, activeMind.AG, activemind.de
  • Hinweise und Muster, Word/PDF, Landesbeauftragter für Datenschutz Sachsen-Anhalt, datenschutz.sachsen-anhalt.de
  • Leitfaden Verarbeitungsverzeichnis, bitkom, bitkom.org
  • Hinweise und Muster für Auftragsverarbeiter*innen/Verantwortliche, Word, Hessische Beauftragte für Datenschutz und Informationsfreiheit, datenschutz.hessen.de
  • Erweitertes Verarbeitungsverzeichnis, Artikel von Dr. Datenschutz, dr-datenschutz.de
  • Handlungsempfehlungen und Hinweise, Landesbeauftragte für den Datenschutz Niedersachsen, lfd.niedersachsen.de

►►►Tipp: Wenn du eher der digitale Typ bist, dann lässt sich ein Verarbeitungsverzeichnis natürlich auch „volldigital“ mit passender Software führen. Es bleibt also ganz deinem Gusto überlassen. Nur weglassen ist keine gute Idee.