Aktualität des Verarbeitungstätigkeitenverzeichnis

Die DSGVO führt dazu, dass fast jeder Unternehmer ab 25.05.18 verpflichtet ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Wer ist zur Erstellung verpflichtet?

Gemäß Art. 30 Abs. 5 DSGVO muss nicht jedes Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten anlegen. Die Pflicht entfällt, wenn weniger als 250 Mitarbeiter beschäftigt werden und

  • kein Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht
  • die Verarbeitung nur gelegentlich erfolgt
  • keine besonderen Kategorien personenbezogener Daten werden verarbeitet

Da jedes in Deutschland ansässige Unternehmen im Rahmen der monatlichen Lohnbuchhaltung personenbezogene Daten verarbeitet und dazu insbesondere die Informationen zur Kirchenangehörigkeit fallen (Religionszugehörigkeit als besondere Kategorie), muss jedes deutsche Unternehmen ab dem ersten Angestellten ein solches Verzeichnis der Verarbeitungstätigkeiten führen. Nicht von dieser Pflicht betroffen scheinen somit lediglich Einzelunternehmer zu sein.

Oft wird übersehen, dass diese Verpflichtung Glück im Unglück darstellen könnte: Gemäß Art. 5 Abs. 2 DSGVO unterliegt jedes Unternehmen einer Rechenschaftspflicht. Es bietet sich daher ohnehin an jeden einzelnen Prozess minuziös zu dokumentieren, um im Zweifel die Rechtmäßigkeit der Datenverarbeitung nachweisen zu können.

Im Folgenden schildere ich welche organisatorischen und technischen Maßnahmen man ergreifen kann, um das Verzeichnis der Verarbeitungstätigkeiten zu erstellen und es mit geringem personellen Aufwand aktuell zu halten.

Inhalt

Im Verzeichnis der Verarbeitungstätigkeiten müssen zunächst der Verantwortliche, d.h. das Unternehmen und sein rechtlicher Vertreter, und der Datenschutzbeauftragte (falls vorhanden) benannt werden.

Weiterhin ist für jede Tätigkeit festzuhalten

  • Bezeichnung der Verarbeitungstätigkeit
  • Zweck der Verarbeitung
  • Verantwortliche Abteilung
  • Ansprechpartner
  • Liste der Kategorien personenbezogener Daten (exakt)
  • Liste der Kategorien betroffener Personen (grob)
  • Liste der Kategorien von Empfängern  (exakt)
  • Informationen zur Drittlandsübermittlung
  • Löschfristen*
  • Allgemeine Angaben zu technischen und organisatorischen Maßnahmen (TOM)*

Bei den mit Stern versehenen Angaben verweist der Gesetzestext darauf, dass diese nur „wenn möglich“ aufgelistet werden müssen. Ich würde das auf jeden Fall tun und das Verzeichnis um weitere Angaben ergänzen, damit andere Pflichten der DSGVO in einem Rutsch erledigt werden.

Erweiterung

Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu genügen, wäre es ratsam weitere Aspekte zu erfassen. Die folgende Liste erhebt keinen Anspruch auf Vollständigkeit:

  • Rechtsgrundlage der Verarbeitung (idR. einer der Buchstaben a-f in Art. 6 Abs. 1)
  • Verweis auf die Originaldokumentation der Einwilligung (falls zutreffend)
  • Dokumentation der Informationspflichten (Art. 12 – Art. 14)
  • Exakte Dokumentation der technischen und organisatorischen Maßnahmen (TOM):
    • Sicherheit der Verarbeitung (Art. 32)
    • Speicherbegrenzung (Art. 5 Abs. 1 e)
    • Technikgestaltung und Voreinstellungen (Art. 25)
  • Dokumentation des Meldeverfahrens im Falle eines Datenschutzvorfalls
  • Dokumentation des Rechtes aus Auskunft (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Sperrung) (Art. 15 – Art. 21)
  • Risikobewertung, ggf. Datenschutzfolgenabschätzung (Art. 35)
  • Dokumentation der Mitarbeiterschulungen zum Datenschutz
  • Auflisten der Auftragsverarbeiter mit Verweis auf die geschlossenen Verträge (Art. 28)

Technische Umsetzung

Zur technischen Umsetzung bietet sich eine kollaborative Software, wie z.B. ein Wiki an. Auf dieses könnte aus dem Intranet des Unternehmens zugegriffen werden, wobei es sich anbietet für jeden Prozess eine eigene Seite, ggf. mit weiteren Unterseiten, im Wiki zu erstellen. Diese Seite kann dann von allen Mitarbeitern einer Abteilung eingesehen und von ausgewählten Mitarbeitern editiert werden, um Veränderungen an den Abläufen zeitnah zu dokumentieren.

Die Bewertung kann man als hierarchischen Prozess gestalten: Jeder Abteilungsleiter bestätigt die inhaltlich korrekte Gestaltung aller Seiten seiner Mitarbeiter. Der Datenschutzbeauftragte betrachtet alle Seiten unter Aspekten des Datenschutzes und setzt die Abteilungsleiter und die Geschäftsführung über Änderungsbedarf in Kenntnis.

Es ist empfehlenswert regelmäßige Snapshots des Wikis zu erstellen, indem alle Inhalte  als übersichtliches PDF exportiert werden, welches der zuständigen Datenschutzbehörde bei einer Überprüfung ausgeliefert werden kann.