Datenschutz und DSGVO (IV): Das Verzeichnis von Verarbeitungstätigkeiten

Woraus ergibt sich Pflicht zur Führung eines Verarbeitungsverzeichnisses?

Nach Art. 30 Abs. 1 der Europäischen Datenschutzgrundverordnung (DSGVO) haben alle Verantwortlichen ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.

Was ist Sinn und Zweck des Verarbeitungsverzeichnisses?

Das Verarbeitungsverzeichnis dient in erster Linie dem Nachweis, dass die Verarbeitung personenbezogene Daten durch den Verantwortlichen oder den Auftragsverarbeiter, im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt. In diesem Zusammenhang soll es der Aufsichtsbehörde eine erste Rechtmäßigkeitskontrolle ermöglichen (vgl. Erwägungsgrund 82 DSGVO). Das Verarbeitungsverzeichnis ist somit Grundlage und wesentlicher – jedoch nicht einziger – Baustein, um der in Art. 5 Abs. 2 DSGVO allgemein normierten „Rechenschaftspflicht“ des Unternehmens nachzukommen.

In welcher Form ist das Verarbeitungsverzeichnis zu führen?

Das Verarbeitungsverzeichnis ist schriftlich zu führen. Dies kann auch in einem elektronischen Format erfolgen (Art. 30 Abs. 3 DSGVO). Um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO Genüge zu tun, ist das Verzeichnis aktuell zu halten und somit im erforderlichen Umfang fortlaufend zu aktualisieren.

Was ist eine “Verarbeitungstätigkeit”?

Das Unternehmen hat ein Verzeichnis aller Verarbeitungstätigkeiten personenbezogener Daten, die seiner Zuständigkeit unterliegen zu führen (Art. 30 Abs. 1 Satz 1 DSGVO). Der Begriff „Verarbeitungstätigkeit“ umfasst alle Verarbeitungsvorgänge und Vorgangsreihen, die einem gemeinsamen, festgelegten Zweck dienen. Ausgehend von Sinn und Zweck des Verarbeitungsverzeichnisses sollte dieses alle Verarbeitungstätigkeiten hinreichend konkret, andererseits aber auch nicht zu kleinteilig abbilden, um der Aufsichtsbehörde – aber auch dem Verantwortlichen eine erste Rechtsmäßigkeitskontrolle anhand des Verzeichnisses zu ermöglichen. Ausreichend, aber auch erforderlich ist demnach ein zusammenfassender Verzeichniseintrag für die jeweilige Verarbeitungstätigkeit. Ausgehend von Ihrem jeweiligen Zweck sollte diese Verarbeitungstätigkeit verständlich und hinreichend konkret bezeichnet werden. Das Verarbeitungsverzeichnis stellt somit die Summe der Beschreibungen der einzelnen Verarbeitungstätigkeiten dar.

Welchen Inhalt muss das Verarbeitungsverzeichnis haben?

Zunächst sind im Verzeichnis die Grundangaben zum Verantwortlichen aufzunehmen, also Name und Kontaktdaten der natürlichen Person, der juristischen Person, der Behörde etc. Bei einer GmbH sind hier z.B. die Adresse des Unternehmens, der Name des/der Geschäftsführer, das Registergericht mit Registernummer, und die Kontaktdaten aufzunehmen. Wenn ein Datenschutzbeauftragter gem. Art. 37 DSGVO benannt ist, ist auch dieser mit Kontaktdaten aufzuführen.

Sodann muss das Verarbeitungsverzeichnis Angaben zur Verarbeitungstätigkeit enthalten. Hier sollte eine Bezeichnung der dokumentierten Verarbeitungstätigkeit auf Grundlage eines Fachprozesses erfolgen. Es sollte die im Unternehmen alltägliche Bezeichnung des Fachprozesses gewählt werden, z.B.: E-Mail Verarbeitung, Personalmanagement (Lohnabrechnung, Arbeitszeiterfassung, Bewerber, Bewertung), allgemeine Kundenverwaltung, online Shop (Vertragsdaten, einzelne Käufe, Profiling zum Kaufverhalten), mobile Applikation (Vertragsdaten, Verhaltensprofile, Inhalte), Marketingmaßnahmen (Tracking und Remarketing, Newsletter, Postmailings), Sicherheit (Videoüberwachung, Chipkarten, Serverprotokollierung), Verarbeitung von Daten im Auftrag Dritter.

Auch sind die Zwecke der Erhebung, Verarbeitung oder Nutzung zu erfassen (Art. 30 Abs. 1 Satz 2 lit. b) DSGVO), also z.B. hinsichtlich des Zwecks E-Mail Verarbeitung: Durchführung der elektronischen Kommunikation, hinsichtlich des Zwecks allgemeine Kundenverwaltung: Auftragsbearbeitung, Buchhaltung, Inkasso usw.

Weiterhin müssen die Art der gespeicherten Daten bzw. Datenkategorien aufgeführt werden (Art 30 Abs. 1 Satz 2 lit. c) DSGVO), z.B. bei Daten: Abrechnungsdaten, Adressdaten, Bankverbindungen/Kreditkartendaten, Bonitätsdaten, Geburtsdatum, IT-Nutzungsdaten/Log. Daten/Protokolldateien, IP-Adresse,  Interessen-Präferenzen, Kontaktdaten, Lohn- und Gehaltsdaten, Lebenslauf, Name/Vorname/Anrede/Titel, Qualifikationsdaten/Leistungs- und/oder Potentialbeurteilung, Sozialversicherungsdaten, Standortdaten, Vertragsdaten, Vertragsstammdaten, Zahlungsdaten, Zeiterfassungdaten. Beispiele für Datenkategorien sind: Beschäftigtenstammdaten (Namen, Adressen, Lohngruppe, Steuermerkmale), Bewerberdaten (Namen, Kontaktdaten, Qualifikation, Bewerbungsunterlagen),  Kundenstammdaten (Namen, Adressen, Kontaktdaten, Zahlungsinformationen, Kundenkategorie, Bonitätsdaten), Nutzungsdaten (z.B. Klickverhalten, Kaufverhalten, Interessen), Meta-Kommunikations-Daten (z.B. Geräte ID`s, IP-Adressen, Standortdaten).

Erfasst werden muss auch der Kreis der betroffenen Personen oder Personengruppe (Art 30 Abs. 1 Satz 2 lit. c) DSGVO), also z.B. Kunden, Auftraggeber, Interessenten, Mitarbeiter, Bewerber.

Aufzuführen sind auch die Kategorien von Empfängern, denen die personenbezogenen Daten mitgeteilt werden können (Art. 30 Abs. 1 Satz 2 lit. d) DSGVO), z.B. intern: Personalabteilung, IT-Abteilung, Marketing, Einkauf, Buchhaltung, Auftragsdatenverarbeitung und z.B. extern: Konzerngesellschaft, Geschäftskunde, Finanzamt, MailChimp (Privacy Shield, DPA).

Gegebenenfalls sind Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation aufzuführen (Art. 30 Abs. 1 Satz 2 lit. e) DSGVO).

Wenn möglich, sind die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien zu erfassen (Art. 30 Abs. 1 Satz 2 lit. f) DSGVO). Anzugeben sind hier die konkreten Aufbewahrungs- und Löschfristen, die in Verarbeitungstätigkeiten implementiert sind. Soweit diese in einem Löschkonzept dokumentiert sind, reicht der konkrete Verweis auf das vorhandene und umgesetzte Löschkonzept aus.

Wenn möglich sollte das Verarbeitungsverzeichnis schließlich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 Abs. 1 DSGVO enthalten (Art 30 Abs. 1 Satz 2 lit. g) DSGVO).