DSGVO in einfachen Worten

Verarbeitungsverzeichnis

Friedrich Howanietz

Ich habe auch ohne diese DSGVO genug zu tun!

Noch ein Verzeichnis?

Die gute Nachricht: Es gibt ab Mai 2018 kein Verfahrensverzeichnis mehr. Die schlechte Nachricht es gibt dann ein neues Verzeichnis und zwar: „Verzeichnis der Verarbeitungstätigkeiten“. Die Kurzform ist dann „Verarbeitungsverzeichnis“.

In Österreich gab es kein Verfahrensverzeichnis sondern ein Datenverarbeitungsregister (DVR). Wenn Du Österreicher bist und ein Datenverarbeitungsregister geführt hast, wird das Verzeichnis der Verarbeitungstätigkeiten für Dich keine Hexerei sein, weil es dem sehr ähnlich ist.

Muss ich das Verzeichnis führen?

Wenn Du Dich fragst, ob Du dieses Verzeichnis nun führen mußt oder nicht, dann kürze ich gleich mal hier ab: „Du mußt das Verzeichnis führen!“. Damit ist alles gesagt.

Auch wenn sich bei Dir sofort die Frage „Warum?“ aufdrängt, unterdrücke sie noch ein wenig, die Antwort kommt in diesem Artikel.

Ich bin doch nur ein kleiner Betrieb, muss ich das trotzdem machen?

In der Verarbeitung von personenbezogenen Daten nimmt der Datenschutz eine immer wichtiger werdende Rolle ein. Die DSGVO, wie die Datenschutz Grundverordnung abgekürzt genannt wird, kann als unnötige Belastung, oder als willkommenes Daten-Sicherheits-System angesehen werden.

Es spielt es keine Rolle, ob es sich um ein großes oder kleines Unternehmen handelt.

Wenn Du Dich einmal mit dem Bundesdatenschutz-Gesetz beschäftigt hast oder in Österreich mit dem BSG, dann  möchte ich ein paar Begriffe abklären. Früher gab es das Verfahrensverzeichnis jetzt ist es das Verarbeitungsverzeichnis, die verantwortliche Stelle ist jetzt der Verantwortliche, der Auftrgasdatenverarbeiter ist jetzt der Auftragsverarbeiter.

Das Verarbeitungsverzeichnis als Dokumentationsform

In der Anwendung der DSGVO spielt das Verarbeitungsverzeichnis eine zentrale Rolle. Zum besseren Verständnis, kannst Du dieses Verzeichnis als Buchhaltung Deiner Datenverarbeitung sehen.

Die personenbezogenen Daten sind die Belege und die Verwendung dieser Daten sind die Buchungssätze.

Auch das ist eine Dokumentation

Welchen Inhalt hat das Verzeichnis?

  • Kontaktdaten des Verantwortlichen (Das bist Du der Unternehmer)
  • Kontaktdaten vom Datenschutzbeauftragten (wenn Du einen hast)
  • Und dann sind wir schon beim Inhalt wie im oben beschriebenen Beispiel.
  • (Beschreibung der personenbezogenen Daten die verarbeitet werden, welcher Vorgang, Zweck usw.)
  • Wer sonst noch auf diese Daten zugreift (eventuell Mutterkonzern)
  • Wenn Daten in Drittländern verarbeitet werden, dann kommt das auch noch hinzu.
  • Falls Daten von einem Auftragsverarbeiter verarbeitet werden, dann wird das auch hier eingetragen.
  • Und zu guter Letzt noch die technischen Maßnahmen inklusive einer Risikobewertung.

Hier ein Beispiel wie das aussehen könnte:

Verarbeitungstätigkeit: Bestellung und Lieferung von online bestellten Waren

  • Betroffene Personen Kaufauftrag
  • Datenkategorien: Vor- und Nachame, Postadresse E-Mailadresse, Zeitpunkt der Anmeldung bzw. Vertragsdatum
  • Zweck: Lieferung der bestellten Ware, Rechnungsausstellung, Bezahlvorgang und Verifizierung, Lieferung der Ware, Wahrung von Garantieansprüchen und sonstige Rechte
  • Rechtsgrundlage: Erfüllung eines Vertrages
  • Datenquelle: Online-Bestellformular
  • Löschung: nach Ablauf der gesetzlichen Aufbewahrungspflichten

Das oben wäre die Beschreibung des Vorganges „Online-Handel-Bestellung und Lieferungsabwicklung“

So wie das obige Beispiel, so würdest Du jeden Deiner Verarbeitungstätigkeiten beschreiben und in das Verzeichnis eintragen.

Das Verfahrensverzeichnis  ist ein einheitlicher Standard für eine datenschutzrechtliche Dokumentation in der Eu. Vergleichbar mit dem Standard, wie man eine ordnungsgemäße Rechnung ausstellt.

Was hat man nun davon?

Du hast gleich einmal Deine Verpflichtung der Transparenz erfüllt. Aber nicht nur das, Du hast damit Deine Verpflichtung für eine ausreichende Dokumentation und Rechtfertigung umgesetzt. Wie Du am obigen Beispiel siehst, ist dort auch gleich der Rechtsgrund angegeben, aufgrund dessen Du die Daten verarbeitest.

Jetzt kann man sagen, dass Du das Verzeichnis nur wegen der Behörde machst, das wäre aber nur eine beschränkte Sicht der Dinge. Das wäre ungefähr so, wie wenn Du die Buchhaltung nur für das Finanzamt machen würdest.

Wie hängen Rechenschaftspflichten und Verfahrensverzeichnis zusammen?

Hier zur Erinnerung nochmals die Grundsätze nach denen die  Verarbeitung personenbezogener Daten zu geschehen haben:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Nehmen wir nochmals unser Beispiel von vorher und sehen uns an wie das ineinander greift:

Verarbeitungstätigkeit: Bestellung und Lieferung von online bestellten Waren

  • Betroffene Personen Kaufauftrag (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz)
  • Datenkategorien: Vor- und Nachame, Postadresse E-Mailadresse, Zeitpunkt der Anmeldung bzw. Vertragsdatum (Datenminimierung)
  • Zweck: Lieferung der bestellten Ware, Rechnungsausstellung, Bezahlvorgang und Verifizierung, Lieferung der Ware, Wahrung von Garantieansprüchen und sonstige Rechte (Zweckbindung)
  • Rechtsgrundlage: Erfüllung eines Vertrages (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz)
  • Datenquelle: Online-Bestellformular (Richtigkeit)
  • Löschung: nach Ablauf der gesetzlichen Aufbewahrungspflichten (Speicherbegrenzung)

In dem Beispiel fehlt uns jetzt noch „Integrität und Vertraulichkeit“. Diesen Punkt kannst du aber als einen Generalpunkt abhandeln. Unter diesen Bereich fallen alle IT- und EDV-Maßnahmen die die technische Datensicherheit betreffen.

Ein Beispiel für diesen Punkt wäre z.B. die sichere Aufbewahrung von Karteikarten.

Da würde dann im Verarbeitungsverzeichnis unter diesem Punkt stehen: „Karteikarten im versperrten Aktenschrank gelagert.“

Alles auf einen Blick

Ich empfehle immer das Verzeichnis eher genauer als oberflächlich zu machen. Für die Führung gibt es eigentlich keine besonderen Vorschriften oder Form. Also macht es doch für einen selber Sinn, das so genau wie möglich zu machen, weil Du  dann selber eine Übersicht hast, was im Unternehmen vor sich geht und welche Daten für welchen Zweck, in welcher Form verarbeitet werden.

Daraus lassen sich Checklisten für Risikoanalyse, Sicherheitschecks, Verfahrensabläufe und Datensicherheitsabläufe erstellen.

Mit dem Verzeichnis kannst Du einen Datenschutzexperten genaue Anweisungen geben was er machen soll. In der Praxis scheiterte das immer an den mangelnden Aufzeichnungen und Verständnis.

Datenschutzbeauftragter?

Die wenigsten Firmen werden einen Datenschutzbeauftragten brauchen. Aber wenn es einen geben wird, dann ist das Verzeichnis für die Verarbeitungstätigkeiten sein unverzichtbares Werkzeug, so wie für die Finanzabteilung die Buchhaltung unverzichtbar ist.

Achtung, der Datenschutzbeauftragte ist nicht für die Führung und Richtigkeit des Verarbeitungsverzeichnisses verantwortlich. Es gehört nicht zu seinen Aufgaben aber wir haben in der betrieblichen Praxis den Datenschutzbeauftragen immer bei der Erstellung einbezogen.

Du bist zuständig – wer sonst?

Wer ist eigentlich für die Führung des Verarbeitungsverzeichnisses zuständig?

Verantwortlich für das Verarbeitungsverzeichnis, ist die Geschäftsführung oder Unternehmensleitung. Das ist aber keine Besonderheit, weil das auch schon für andere Bereiche wie z.B. Buchhaltung gilt.

Vielleicht ist es an der Zeit an dieser Stelle den Begriff des Verantwortlichen zu erklären. Der Verantwortliche, ist jene natürliche oder juristische Person, Einrichtung, Behörde oder Stelle, die selbständig oder gemeinsam mit anderen Verantwortlichen über die Verarbeitung von personenbezogenen Daten entscheidet. Das Schlüsselwort ist „entscheidet. Wer entscheidet ist verantwortlich – somit ist er der „Verantwortliche“.

Wie schaut das mit dem Auftragsverarbeiter aus?

Der Auftragsverarbeiter ist Dein Geschäftspartner, der in Deinem Auftrag personenbezogene Daten verarbeitet. So eine Arbeit ist z.B. der ausgelagerte Support oder der externe Lohnverrechner. Achtung der Steuerberater ist kein Auftragsverarbeiter.

Dieser Auftragsverarbeiter muss nun ein eigenes Verarbeitungsverzeichnis über seine Verarbeitung von Deinen personenbezogenen Daten führen. Es sieht so aus, dass er für jeden Kunden den er als Auftragsverarbeiter betreut ein eigenes Verarbeitungsverzeichnis führen muss. Das hört sich komplizierter an als es ist. Er wird ein Standardformular machen und einfach den Klientenamen einsetzen, weil er sehr wahrscheinlich in seiner Dienstleistung immer die gleiche Art der Verarbeitung machen wird.

Die Datenverarbeitung die Dein Auftragsverarbeiter für Dich übernimmt, trägst Du auch in Dein Verarbeitungsverzeichnis ein, dann ist es auch diesbezüglich vollständig.

Wenn Du Auftragsverarbeiter bist, hast Du ein Verzeichnis für Deine eigene Verarbeitungstätigkeit z.B.: Marketing, Kundenverwaltung; Aber natürlich für jeden Deiner Klienten das oben angesprochene Standardverzeichnis.

Das Verzeichnis kann Dir einiges an Arbeit sparen

In der DSGVO ist es nicht nötig Doppeldokumentationen zu haben. Du kannst auf bestehende Sicherheitskonzepte, technische und organisatorische Maßnahmen verweisen.

Auch wenn ich verstehe, warum es sinnvoll ist das Verzeichnis zu führen, würde mich doch interessieren, warum ich dazu verpflichtet bin?

Es gibt im Artikel 30 der DSGVO ein paar Punkte wo die Regelungen über die Verpflichtung zur Führung des Verarbeitungsverzeichnisses angegeben sind. Auch wenn Du weniger als 250 Mitarbeiter hast, so verarbeitest Du regelmäßig personenbezogene Daten. Und das alleine reicht schon als Grund für die Verpflichtung aus.

Ist eine Frage offen geblieben?

Können wir Dir beim Umsetzen helfen?