Datentipp: Das Verzeichnis der Verarbeitungstätigkeiten im Griff

Warum ein Verzeichnis der Verarbeitungs­tätigkeiten?

Wenn Sie Datenschutz strukturiert so umsetzen wollen, wie die Datenschutz-Grundverordnung (DSGVO) das fordert, müssen Sie wissen, in welchen Prozessen Ihr Betrieb personenbezogene Daten verarbeitet. Aus diesem Grund fordert die DSGVO in Artikel 30, dass Verantwortliche ein Verzeichnis der betroffenen Verarbeitungs­tätigkeiten führen.

Um die Vorgaben des Artikels 30 erfolgreich umzusetzen, sollten Sie eine verbindliche Anleitung verfassen, wie das Verzeichnis der Verarbeitungstätigkeiten erstellt und gepflegt werden soll. Unsere Beobachtung aus dem Beratungsalltag: Erstaunlich wenige Verantwortliche haben eine solche verbindliche Anleitung.

Wenn Sie keine solche Anweisung haben, bedeutet das in der Regel, dass Sie zweierlei nicht sicherstellen können: zum einen, dass alle Verarbeitungstätigkeiten mit personenbezogenen Daten überhaupt erfasst sind. Zum anderen, dass das Verzeichnis der Verarbeitungstätigkeiten vollständig und aktuell ist. Es fehlt also eine wesentliche Grundlage, die Anforderungen der DSGVO strukturiert umzusetzen.

Faktisch ist das Verzeichnis der Verarbeitungstätigkeiten Voraussetzung für die Umsetzung der DSGVO. Wenn Datenschutzbeauftragte und Mitglieder des Datenschutzteams nicht wissen, in welchen Prozessen welche Daten wie verarbeitet werden, können Verantwortliche die Forderungen der DSGVO schlichtweg nicht oder nicht vollständig umsetzen.

Lückenhaftes oder veraltetes Verarbeitungsverzeichnis

Die niedersächsische Aufsichtsbehörde für den Datenschutz hat vor wenigen Monaten ihren Bericht für das Jahr 2021 veröffentlicht. Darin berichtet sie von Überprüfungen, die sie in 30 niedersächsischen Kliniken vorgenommen hat. Die Behörde wollte unter anderem wissen, wo die Kliniken beim Verzeichnis der Verarbeitungstätigkeiten stehen.

Für Insider war das Ergebnis nicht überraschend. Das kleinste Verzeichnis enthielt 17 Verarbeitungstätigkeiten, das größte mehr als 800. Natürlich gab es einen Zusammenhang zwischen der Größe der Klinik und der durchschnittlichen Zahl erfasster Verarbeitungstätigkeiten. Die Bandbreite ist allerdings so groß, dass die niedersächsische Aufsichtsbehörde für dieses Jahr weitere Untersuchungen in diesem Bereich angekündigt hat.

Wird das Verzeichnis der Verarbeitungstätigkeiten nicht oder nicht vollständig geführt und kann auf Anfrage der Aufsichtsbehörde nicht vorgelegt werden, liegt ein Datenschutzverstoß vor. Im schlimmsten Fall kann das zu einer Geldbuße führen. Hier gilt der „kleinere“ Bußgeldrahmen bis 10 Millionen Euro oder, bei verbundenen Unternehmen, bis 2 Prozent des Vorjahresumsatzes.

Allerdings: Da ein funktionierendes Verzeichnis der Verarbeitungstätigkeiten die absolute Grundlage für jede weitere Arbeit im Datenschutz ist, kommen in aller Regel ganz automatisch weitere Verstöße gegen die DSGVO hinzu. Das Risiko, in Konflikt mit der Aufsichtsbehörde zu geraten, ist also nicht von der Hand zu weisen.

Die Grundlage für guten Datenschutz

Funktionierender Datenschutz ist darauf angewiesen, dass Geschäftsprozesse hinreichend beschrieben sind. Dafür sind die Forderungen aus Artikel 30 nicht ausreichend. Tatsächlich hat die DSGVO an anderer Stelle weitere Forderungen für eine saubere Datenverarbeitung in den Geschäftsprozessen, die Artikel 30 unerwähnt lässt. Dazu gehört beispielsweise die Prüfung, ob im Prozess eine Datenschutzfolgenabschätzung vorzunehmen ist. Wo wird diese Prüfung dokumentiert, wenn nicht im Zusammenhang mit den Verarbeitungstätigkeiten? Eben. Es ist also ratsam, an einer Stelle zusammenzutragen, welche Personendaten in welchem Prozess wie verarbeitet werden und wie dabei die Anforderungen der DSGVO erfüllt werden können.

Wenn Datenschutzbeauftragte ihre Arbeit richtig machen wollen, muss sichergestellt sein, dass die Prozessverantwortlichen zusammen mit den Mitgliedern des Datenschutzteams die Geschäftsprozesse einheitlich beschreiben. Datenschutzbeauftragte haben zu überprüfen, ob die Umsetzung den Anforderungen des Artikel 30 DSGVO genügt.

Vergessen Sie aber nicht: Datenschutzbeauftragte sollten die Beschreibungen der Verarbeitungstätigkeiten nicht selbst vornehmen. Sie haben nämlich laut DSGVO (genauer beschreibt es Artikel 39) eine Überwachungsaufgabe und würden sich damit selbst kontrollieren. Dies schließt die DSGVO jedoch in den Artikeln 36 und 37 aus.

Datenschutzbeauftragte sollten beim Verantwortlichen also darauf hinwirken, dass die Beschreibungen der Verarbeitungs­tätigkeiten vollständig, aktuell und so klar sind, dass die Verarbeitungen in den Prozessen verstanden werden können. Zumindest so weit, dass die Anforderungen der DSGVO strukturiert und ohne Beanstandungen umgesetzt werden können, beispielsweise im Zusammenhang mit Betroffenenrechten. Das Verzeichnis der Verarbeitungstätigkeiten ist sodann von Datenschutzbeauftragten zu prüfen.

In 11 Schritten zum erfolgreichen Verarbeitungsverzeichnis

1.   Verfassen Sie eine verbindliche Anweisung zur Erstellung der Beschreibungen von Verarbeitungs­tätigkeiten
2.   Stellen Sie sicher, dass alle Prozessverantwortlichen diese verbindliche Anweisung kennen und anwenden
3.   Sorgen Sie systematisch dafür, dass alle Verarbeitungstätigkeiten erfasst und gemäß den Anforderungen der DSGVO im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.
4.   Falls sich Prozessverantwortliche und in den Prozessen tätige Personen nicht sicher sind, welche Infos alle in das Verzeichnis der Verarbeitungstätigkeiten eingebunden werden sollen, sollten sie Datenschutzbeauftragte fragen und hinzuziehen. Diese dürfen zwar nicht operativ tätig werden, können aber beantworten, welche Inhalte das Verzeichnis der Verarbeitungstätigkeiten haben muss und in welcher Form dies zu dokumentieren ist.
5.   Prüfen Sie regelmäßig, ob das Verzeichnis der Verarbeitungstätigkeiten vollständig ist.
6.   Prüfen Sie regelmäßig, ob das Verzeichnis der Verarbeitungstätigkeiten aktuell ist.
7.   Stellen Sie sicher, dass Änderungen, seien sie technischer Natur oder rechtlich bedingt, zu einer Aktualisierung der dokumentierten Verarbeitungstätigkeiten führen.
8.   Sorgen Sie dafür, dass Änderungen in den Geschäftsprozessen ebenfalls Niederschlag im Verzeichnis der Verarbeitungstätigkeiten finden.
9.   Stellen Sie sicher, dass neue Verarbeitungstätigkeiten auch zu einer Überprüfung und gegebenenfalls Ergänzung der Datenschutzinformationen („Informationspflicht“) führen.
10.   Vergewissern Sie sich, dass das Verzeichnis der Verarbeitungstätigkeit in einer Art und Weise geführt wird, die es erlaubt, es der Aufsichtsbehörde für den Datenschutz in geeigneter Weise zur Einsicht zu geben.
11.   Nutzen Sie die Erfahrung von langjährigen Datenschutz-Profis, um Ihr Verarbeitungsverzeichnis endlich optimal aufzustellen. Mit dem VVT-Check von Team Datenschutz erfahren Sie, wo Ihr Verzeichnis Handlungsbedarf hat und wie Sie es schnell und zielgerichtet auf einen Stand bringen, der sich in vielerlei Hinsicht bezahlt macht.

Bei Datenschutz-Fragen Team Datenschutz fragen.