Kostenloser Download: Muster-Verzeichnis von Verarbeitungstätgkeiten für Auftraggeber bzw. die verantwortliche Stelle

Datei-Typ Microsoft Word
Version 2.1 (Changelog)
Aktualisiert 6. November 2018
Sprachen Deutsch

Kostenloser Download: Muster-Verzeichnis von Verarbeitungstätgkeiten für Auftragsverarbeiter

Datei-Typ Microsoft Word
Version 2.0 (Changelog)
Aktualisiert 31. Januar 2018
Sprachen Deutsch
Bewertungen
[189 Bewertung(en)/ratings]

Alle Datenschutz-Themen

  • Der betriebliche Datenschutzbeauftragte

  • Grundsätze der DSGVO

  • Verzeichnis von Verarbeitungstätigkeiten

  • Datenschutzfolgenabschätzung (DSFA)

  • Auftragsverarbeitung

  • Betroffenenrechte

  • Datenschutzaudit

  • Aufsichtsbehörden

  • Datenpanne / Datenschutznotfall

  • Beschäftigtendatenschutz

  • Datenschutz im Marketing

  • Technischer Datenschutz

  • Datentranfer

Die EU-Datenschutz-Grundverordnung (DSGVO) weitet die Nachweispflichten bei der Verarbeitung personenbezogener Daten gegenüber den bisherigen Anforderungen nach deutschem Recht deutlich aus. Nach Erwägungsgrund 82 der DSGVO soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten führen. Dieses wird Artikel 30 DSGVO spezifiziert und ersetzt das bisherige Verfahrensverzeichnis bzw. die Verarbeitungsübersicht nach altem deutschen Datenschutzrecht.

Ein Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO muss erheblich umfangreicher ausfallen, als das bisherige Verfahrensverzeichnis, wenn es als Grundlage dienen soll, um den Nachweispflichten der DSGVO nachzukommen. Das Verzeichnis kann durch die zuständige Aufsichtsbehörde jederzeit angefordert werden und es drohen empfindliche Bußgelder, falls das Verzeichnis von Verarbeitungstätigkeiten nicht und unvollständig vorliegt.

Die beiden kostenlosen Muster für das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO der activeMind AG helfen Ihnen sowohl als verantwortliche Stelle als auch als Auftragsverarbeiter, die neuen datenschutzrechtlichen Vorschriften zu erfüllen.

Bisherige und neue Rechtslage zum Verzeichnis der Verarbeitungstätigkeiten

Das alte Bundesdatenschutzgesetz (BDSG) schrieb in § 4g Abs. 2 und 2a eine allgemein öffentliche Übersicht (Jedermannsverzeichnis) und ein detaillierteres internes Verfahrensverzeichnis vor. Damit wurde eine Vorgabe der Art. 18 und 19 der EU-Datenschutz-Richtlinie (95/46/EG) umgesetzt. Zusätzlich regelten §§ 4d und 4e BDSG Meldepflichten von manchen Unternehmen an die Aufsichtsbehörde.

Die DSGVO enthält weder die Möglichkeit zur Einsichtnahme für jedermann noch eine Meldepflicht der Verfahren für die verantwortliche Stelle. Verantwortlich für das Erstellen und Führen eines Verarbeitungsverzeichnisses ist sowohl die verantwortliche Stelle (Art. 30 Abs. 1 DSGVO), als auch – und das ist neu – jeder Auftragsverarbeiter für die Auftragsverarbeitung (Art. 30 Abs. 2 DSGVO, siehe auch unser Artikel zu den Pflichten des Auftragsverarbeiters). Allerdings müssen Verantwortliche und Auftragnehmer den Aufsichtsbehörden das Verzeichnis jederzeit auf Anfrage zur Verfügung stellen (Art. 30 Abs. 4 und Erwägungsgrund 82 DSGVO).

Da eine allgemeine Nachweis- und Dokumentationspflicht für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten in den Vordergrund rückt (z. B. Art. 5 Abs. 2 DSGVO), wird das Verzeichnis der Verarbeitungstätigkeiten in Zukunft eine große Rolle spielen, um diesen Anforderungen nachzukommen.

Sofern Sie den Anforderungen des BDSG bereits nachgekommen sind und ein internes Verfahrensverzeichnis geführt haben, können Sie daraus vergleichsweise einfach ein Verzeichnis der Verarbeitungstätigkeiten nach DSGVO erstellen.

Was ist das Verzeichnis der Verarbeitungstätigkeiten?

Artikel 30 DSGVO verpflichtet Unternehmen zum Führen eines „Verzeichnisses von Verarbeitungstätigkeiten“. Dieses Verzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens.

Ein Verzeichnis von Verarbeitungstätigkeiten enthält mehrere Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Aus den Dokumenten muss hervorgehen, welche personenbezogene Daten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten dabei getroffen wurden.

Hierzu empfiehlt sich eine Übersicht aller im Unternehmen eingesetzten Anwendungen und Tools (IT-Verfahren und Dateien), in denen personenbezogene Daten verarbeitet werden, zu erstellen. Typische Beispiele sind Zeiterfassungssysteme, E-Mailverarbeitungen, CRM-Systeme, Personalverwaltung und Websitebesucheranalysen.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses ergibt sich aus Art. 30 DSGVO. Der Umfang der Dokumentation umfasst alle Verarbeitungstätigkeiten des Verantwortlichen.

Grundsätzlich unterliegt jede verantwortliche Stelle der Pflicht zur Erstellung und Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Eine gewisse Erleichterung gibt es für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern. Diese könnten laut Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit sein, sofern die Verarbeitungen von personenbezogenen Daten

  • kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen,
  • nur gelegentlich erfolgen oder
  • keine besonderen Datenkategorien gemäß 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten) oder strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO betreffen.

Da nur eine dieser Fallgruppen für eine Pflicht zur Verzeichnisführung erfüllt sein muss, werden nur wenige Unternehmen und Einrichtungen von der Pflicht zur Führung eines Verarbeitungsverzeichnisses entbunden sein. Vor allem die Ausnahme, dass die Verarbeitung nur gelegentlich erfolgen darf, wird dazu führen, dass ein Verzeichnis praktisch doch immer geführt werden muss. Alleine Lohn- und Gehaltsabrechnungen erfolgen regelmäßig und nicht nur gelegentlich und da dabei auch Religions- und Gesundheitsdaten (Krankheitstage) betroffen sind, wird in praktisch allen Unternehmen und Einrichtungen ein Verzeichnis für Verarbeitungsverzeichnissen erforderlich sein.

Für kleinere Unternehmen und Einrichtungen (z. B. Handwerker, Ärzte und vor allem Vereine) bedeutet dies einen erheblichen zusätzlichen bürokratischen Aufwand.

Inhalt, Form und Aufbau des Verzeichnisses von Verarbeitungstätigkeiten

Die Anforderungen an den Inhalt der Verzeichnisse für Verarbeitungstätigkeiten werden in Art. 30 DSGVO festgelegt und ähneln dem der bisherigen Verfahrensverzeichnisse nach BDSG. Die Anforderungen unterscheiden sich jedoch je nachdem, ob es sich um das Verzeichnis der verantwortlichen Stelle oder des Auftragsverarbeiters für die Auftragsverarbeitung handelt. Ersteres ist nach Art. 30 Abs. 1 zu erstellen und umfangreicher. Demnach müssen die wesentlichen Angaben zur Verarbeitung personenbezogener Daten gemacht werden, wie z. B. der Zweck der Verarbeitung, die Datenkategorien, der Kreis der betroffenen Personen und die Datenempfänger.

Die Anforderungen für das entsprechende Verzeichnis für Auftragsverarbeiter sind überschaubarer.

Allerdings muss jedes Verzeichnis eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO beinhalten. Die Beschreibung sollte so konkret erfolgen, dass die Aufsichtsbehörde sich einen guten Überblick über die angewendeten Datensicherheitsmaßnahmen machen kann.

Sowohl das Verzeichnis der Verarbeitungstätigkeiten der verantwortlichen Stelle als auch des Auftragsverarbeiter für die Auftragsverarbeitung sind gemäß Art. 30 Abs. 3 schriftlich oder in elektronischer Form (Textform) zu führen. Da nach deutschem Verwaltungsverfahrensrecht die Amtssprache deutsch ist, sollte das Verzeichnis in deutscher Sprache geführt werden. Internationale Unternehmen mit Englisch als Unternehmenssprache müssen demnach Übersetzungen anfertigen, sofern die Aufsichtsbehörde die Einsicht anfragt.

Bußgelder bei Pflichtverletzung

Die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen ist keine neue Anforderung der DSGVO. Allerdings wurde die die Erfüllung dieser Pflichten in vielen Unternehmen hintenangestellt, verschoben oder eher halbherzig erledigt. Bußgelder bei Verstößen lagen bisher zwischen 25.000 und max. 350.000 Euro.

Mit Einführung der DSGVO müssen sich Verantwortliche und Auftragsverarbeiter jedoch auf weitaus höhere Bußgelder einstellen, als bisher. Sollte das Verzeichnis unvollständig oder nicht vorhanden sein, droht ein Bußgeld, welches sich im Rahmen von bis zu 10 Mio. Euro oder bis zu 2 % des Jahresumsatzes bewegen dürfte (Art. 83 Abs. 4a DSGVO).

Praxistipp zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten

Das Vorgehen bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sollte sich am Aufbau und der Komplexität des Unternehmens orientieren. Gleichzeitig muss das Verarbeitungsverzeichnis so strukturiert sein, dass es den Anforderungen aus Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) sowie Art. 24 und 30 DSGVO genügt.

Um unnötige Dokumente zu vermeiden, wodurch eine Doppeldokumentation entstehen würde, empfiehlt es sich, im Verarbeitungsverzeichnis auf andere geforderte Dokumente zu verweisen, u.a. auf das Datenschutzkonzept oder das Löschkonzept. Diese Konzepte müssen im Bedarfsfall dann auch der Aufsichtsbehörde vorgelegt werden.

Bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sind Detailkenntnisse über die einzelnen Verfahren unabdingbar. Deshalb dürfte es für eine einzelne Person (z. B. den Datenschutzbeauftragten) unmöglich sein, das Verzeichnis für die verantwortliche Stelle alleine zu erstellen und pflegen.

Sie wollen den Datenschutz lieber in professionelle Hände legen? Dann bestellen Sie uns jetzt zum Festpreis als externen Datenschutzbeauftragten!

Changelog