Verarbeitungsverzeichnis: Die Schlüsselrolle für Datenschutz und Transparenz in der modernen Arbeitswelt

Die moderne Datenverarbeitung hat in der Arbeitswelt eine herausragende Rolle eingenommen und somit auch an wirtschaftlicher Bedeutung. Die vermehrte Wahrnehmung der Betroffenenrechte führt zu einer vermehrten Nachfrage zu den Themen Auskunftsrecht und Transparenz gegenüber Betroffenen. Zur Erfüllung einer aussagekräftigen und aktuellen Dokumentation ist hierbei das Verarbeitungsverzeichnis ein Kerninstrument zur Umsetzung der Datenschutz- und Transparenzpflichten.

Nahezu jedes Unternehmen ist rechtlich verpflichtet ein korrektes Verarbeitungsverzeichnis zu führen, wenn es mit personenbezogenen Daten und deren Verarbeitung in Berührung kommt. Das Verarbeitungsverzeichnis stellt sich somit als Dokumentation dar, die grundsätzlich den Umgang mit personenbezogenen Daten innerhalb der Unternehmung aufzeigt. Durch die Verschriftlichung von Sicherheitsmaßnahmen werden datenschutzkonforme Methoden aufgezeigt, die den Schutz von Daten und Informationen definieren und somit eine Prüfung der Aufsichtsbehörden absichert. Dies ist ein wichtiger Punkt, da bei jeder Beschwerde oder Prüfung der erste Kontrollblick auf das Verarbeitungsverzeichnis gerichtet ist.

Das Verarbeitungsverzeichnis – die Grundlagen

• Ein Verarbeitungsverzeichnis ist von jeder datenverarbeitenden Stelle zu führen
• Das Verzeichnis muss in schriftlicher Form geführt werden. Eine elektronische Dokumentation ist gesetzeskonform
• Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten führen
• Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder mit 2 % des Jahresumsatzes (vorangegangenes Geschäftsjahr) bestraft werden

Wann benötigt ein Unternehmen ein Verarbeitungsverzeichnis?

Nach der DSGVO benötigt nahezu jedes Unternehmen ein ausführliches Verzeichnis, das die Verarbeitungstätigkeiten aufzeigt. Diese Vorgabe betrifft alle natürlichen Personen, Vereine, Unternehmen und Behörden, welche personenbezogene Daten verarbeiten. Auch Auftragsverarbeiter oder deren Vertreter sind verpflichtet ein Verzeichnis über alle beauftragten Verarbeitungstätigkeiten zu führen und unterliegen denselben datenschutzrechtlichen Auflagen, die auch der Auftraggeber erbringen muss.

Ist ein Unternehmen zur Führung eines Verarbeitungsverzeichnisses (VVT) verpflichtet, sollten Möglichkeiten sondiert werden, um die Einhaltung der DSGVO sicherzustellen. Als Verantwortlicher kann man das Verzeichnis selbständig erstellen, aber dies stellt sich zumeist als schwer zu meisternde Hürde dar, da dies mit viel Zeitaufwand und hohem Risiko verbunden ist. Die sicherste Methode, die auch Ihr Kerngeschäft nicht beeinflusst, ist die Beauftragung eines Spezialisten!

heyData bietet sich hier gerne als Ihr kompetenter Partner an! Sprechen Sie uns einfach an!

Unter speziellen Umständen kann die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses hinfällig sein. Ein Verarbeitungsverzeichnis muss nach Art. 30 Abs. 5 der DSGVO nur geführt werden, wenn eines der folgenden Kriterien erfüllt wird:

• Das Unternehmen hat mindestens 250 Mitarbeiter
• Die Datenverarbeitung birgt ein Risiko hinsichtlich der Rechte und Freiheit betroffener Personen
• Es werden besonders sensible Daten verarbeitet (Religion, politische Einstellung, sexuelle Orientierung…)
• Daten über Verurteilungen oder Straftaten verarbeitet werden; oder
• eine interne Datenverarbeitung nicht nur gelegentlich erfolgt

Besonders der letzte Punkt ist für kleinere Unternehmen schwer greifbar, da es keine genaue Definition über eine regelmäßige oder gelegentliche Verarbeitung von personenbezogenen Daten gibt. Hier gibt sich die Rechtsprechung und die einschlägige Literatur bedeckt.

Eine gelegentliche Datenverarbeitung definiert sich aber aus der Grundlage, dass eine Datenverarbeitung nur in großen Zeitintervallen stattfindet oder eine unvorhersehbare Folge des Kerngeschäftes darstellt.

Eine regelmäßige Datenverarbeitung liegt in diesen Fällen vor:

• Eine fortlaufende oder klar definierte (Zeitaspekt) Datenverarbeitung
• eine fortlaufende Datenverarbeitung
• eine Datenverarbeitung zu bestimmten Zeitpunkten

Ist einer dieser Punkte erfüllt, ist das Unternehmen zur Führung eines Verarbeitungsverzeichnisses verpflichtet!

Die dadurch resultierende Dokumentation aller Verarbeitungsvorgänge ist ein wichtiges Standbein einer Datenschutzkonformität, da das zu führende Verarbeitungsverzeichnis den Nachweis erbringt, dass alle Vorschriften der DSGVO eingehalten worden sind.

Die Inhalte eines Verarbeitungsverzeichnisses

Als inhaltliche Anforderung werden in einem Verarbeitungsverzeichnis alle automatisierten, oder auch nicht automatisierte Datenverarbeitungsvorgänge von personenbezogenen Daten erfasst. Zu definieren sind alle gespeicherten oder noch zu speichernden Daten. Jede auf diese Daten bezogene Tätigkeit ist stets in dem Verarbeitungsverzeichnis zu dokumentieren.

Bei der ersten Erstellung eines Verarbeitungsverzeichnisses sollten ein Augenmerk auf Dateneingänge und Datenausgänge gelegt werden. Für jede einzelne Datenverarbeitungstätigkeit sollte eine neue Beschreibung angelegt werden. Sollten Bestandsdaten zu einem anderen Zweck verarbeitet werden, dann wird dieser neue Verarbeitungsvorgang auch schriftlich festgehalten!

„Müssen wirklich alle Kundendaten in einem Verarbeitungsverzeichnis erfasst werden“? – diese Frage wird oft an heyData herangetragen. Die Antwort ist einfach: Nein, in einem Verarbeitungsverzeichnis werden Datenschutzvorgänge und Datenkategorien erfasst, die intern personenbezogene Daten verarbeiten und speichern, aber keine einzelnen Kundendaten!

Als Beispiele für Tätigkeiten und Datenarbeiten sind zu nennen:

• Verarbeitung von Bewerber- und Personalinformationen
• interne und externe (betriebliche) Kommunikationsvorgänge
• Daten und Tätigkeiten aus der Kundenbetreuung
• Marketingaktivitäten
• Tätigkeiten aus der Finanzabteilung und Buchhaltung
• Video- und Audioüberwachung
• die Abläufe der Datenvernichtung

Jedes Verarbeitungsverzeichnis sollte folgende Punkte beinhalten:

1. Kontaktdaten und Benennung aller Verantwortlichen in Bezug auf Datenverarbeitung
2. Die Kontaktdaten des bestellten Datenschutzbeauftragten
3. Den Zweck der Datenverarbeitung (Personal, Urlaub, Verträge…)
4. Kategorie der zu verarbeitenden Daten betroffener Personen (z. B. Kunde, Angestellter…)
5. Empfängerkategorien, bei denen eine Offenlegung von Daten erfolgt oder erfolgen soll (z. B. Lieferanten, Behörden oder Kreditinstitute…)
6. Daten, die an ein Drittland oder an eine internationale Organisation übermittelt werden. Die Drittländer und die internationalen Organisationen müssen hierbei benannt werden
7. Angaben über die vorgesehenen Löschfristen der jeweiligen Datenkategorien.
8. Alle Beschreibungen der technisch- und organisatorischen Maßnahmen (TOM) sollten in einem Verarbeitungsverzeichnis definiert werden. Hier sollten alle durchgeführten Sicherheitsmaßnahmen aufgezeigt werden (z. B. IT-Sicherheit, Videoüberwachung…)

In einem Verarbeitungsverzeichnis ist eine Änderungsdokumentation zu führen. Ändert sich beispielsweise die Verantwortlichkeit oder der benannte Datenschutzbeauftragte, muss dies in der Änderungshistorie dokumentiert werden.

Die Frage nach dem Umfang des Verarbeitungsverzeichnisses ist gesetzlich nicht festgelegt und wird im Einzelfall bewertet. Allerdings drohen bei einem lückenhaften oder bei einem fehlenden Verarbeitungsverzeichnis Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des Jahresumsatzes (vorangegangenes Geschäftsjahr).

Das Verarbeitungsverzeichnis und der externe Datenschutzbeauftragte

Ein externer Datenschutzbeauftragter ist für die sichere und rechtskonforme Umsetzung des Datenschutzes im Unternehmen zuständig und steht mit der Geschäftsleitung und den beteiligten Fachabteilungen im ständigen Austausch. Der Vorteil eines qualifizierten Datenschützers liegt klar auf der Hand – er besitzt die berufliche und fachliche Expertise und trägt das Risiko innerhalb seiner Aufgabenerfüllung. Um dies zu erfüllen, muss sich der externe Datenschutzbeauftragte mit regelmäßigen Fortbildungen und mit kontinuierlichem Wissensaufbau beweisen.

In der Bearbeitung eines Verarbeitungsverzeichnisses sollte der externe Datenschutzbeauftragte unterstützend zu Rate gezogen werden. Er besitzt die notwendige Expertise und Praxiserfahrung. In Zusammenarbeit mit den jeweiligen Fachabteilungen und der Geschäftsführung können alle Verarbeitungstätigkeiten erkannt und somit in dem Verarbeitungsverzeichnis dokumentiert werden.

Da der externe Datenschützer innerhalb des Unternehmens quasi als externer Mitarbeiter agieren muss, kennt er alle datenschutzrelevanten Vorgänge und kann somit für eine sichere Dokumentation sorgen. In dem Verarbeitungsverzeichnis bündelt er alle Erkenntnisse und sorgt somit für ein lückenloses Protokoll, welches einer Prüfung der Aufsichtsbehörden standhält.

heyData – für ein rechtssicheres Verarbeitungsverzeichnis

Nur ein ordentlich geführtes Verarbeitungsverzeichnis führt zu Rechtssicherheit! Durch ein sachgemäß geführtes Verzeichnis wird aber nicht nur dem Gesetzgeber entsprochen, sondern es spart auch innerbetrieblich Zeit und bietet den Ansatz für wirtschaftliche Vorteile.

heyData bietet euch eine langfristige Prozessoptimierung und eine beruhigende Rechtssicherheit.

Mit heyData bist du in der Lage, das Verarbeitungsverzeichnis auf eine gewissenhafte Art und Weise zu führen und hast mehr Spielraum für dein eigentliches Kerngeschäft. Siehst du in dem Verarbeitungsverzeichnis keine lästige Pflicht – es ist einer der Nachweise, dass dein Unternehmen der Rechenschaftspflicht im Datenschutz nachkommt! Dies stärkt deine Rechtssicherheit, aber auch dein inner- und außerbetriebliches Image. Durch ein anfallendes Change Management wird auch die Belegschaft in die Pflicht genommen und sorgt für ein „Wir-Gefühl“, welches auch auf der wirtschaftlichen Seite Pluspunkte verschafft.

Kontaktiere heyData und lass dich von unseren Datenschutzexperten beraten.