Artikelbild von The Descrier (descrier.co.uk), lizenziert via CC BY 2.0
Recht

DSGVO: Alles was Sie über das Verzeichnis der Verarbeitungstätigkeiten („Verfahrensverzeichnis“) wissen müssen

Michael Jaros

Einer der ersten Schritte in jeder Roadmap zur DSGVO sollte das Verzeichnis der Verarbeitungstätigkeiten (alias Verfahrensverzeichnis) sein, weil es einen guten Einstieg in die Thematik bietet, und weil es ohnehin von den meisten Unternehmen geführt werden muss. Wir beantworten die wichtigsten Fragen zu diesem Verzeichnis.

Was ist ein „Verfahrensverzeichnis“, und was ist das andere?

Der korrekte Begriff „Verzeichnis der Verarbeitungstätigkeiten“ und das kürzere „Verfahrensverzeichnis“ werden häufig synonym verwendet. Das liegt daran, dass das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO weitgehend dem bisher bekannten Verfahrensverzeichnis nach dem deutschen §4 BDSG (Bundesdatenschutzgesetzes) entspricht. In Österreich gab es so ein Verfahrensverzeichnis bisher nicht, stattdessen mussten gegebenenfalls Meldungen an das Datenverarbeitungsregister (DVR) vorgenommen werden.

Muss mein Unternehmen so ein Verzeichnis führen?

Die Antwort lautet in den allermeisten Fällen ja. Die DSGVO bestimmt, dass Ihr Unternehmen das Verzeichnis nur dann nicht führen muss, wenn jede der folgenden Bedingungen zutrifft:

  • Sie verarbeiten Daten nur gelegentlich.
  • Sie beschäftigen weniger als 250 Mitarbeiter.
  • Die von Ihrem Unternehmen vorgenommene Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen.
  • Die von Ihrem Unternehmen vorgenommene Verarbeitung schließt nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 ein.

Die meisten Unternehmen werden bereits aus gesetzlichen Gründen (zB Finanzbuchhaltung) regelmäßig personenbezogene Daten verarbeiten.

Wozu das Ganze?

Die DSGVO verpflichtet Sie, dieses Verzeichnis zu führen. Auf Anfrage der Aufsichtsbehörde müssen Sie es ihr zur Verfügung stellen.
Doch darüber hinaus ist das Verzeichnis aber auch der perfekte Ausgangspunkt für eine Positionsbestimmung: Welche Datenschutz-Maßnahmen müssen Sie noch umsetzen, damit Sie Ihre Pflichten erfüllen und von Ihren Verarbeitungen Betroffene ihre Rechte ausüben können?
Das Verzeichnis der Verarbeitungstätigkeiten ist das beste Instrument, einen Überblick über den Datenschutz im eigenen Unternehmen zu erhalten.

Was steht in diesem Verzeichnis?

Das Verzeichnis der Verarbeitungstätigkeiten enthält vereinfacht gesagt die folgenden Informationen:
•    Verarbeitungstätigkeiten, die Sie durchführen oder durchführen lassen, inklusive deren Zwecke, Weitergaben im In- und Ausland, und Löschfristen
•    Verantwortliche, für die Sie Verarbeitungstätigkeiten durchführen
•    Technische und organisatorische Maßnahmen für Datenschutz und Datensicherheit
•    Kontaktdaten bezüglich Datenschutz in ihrem Unternehmen

Was ist eine Verarbeitungstätigkeit?

Die DSGVO bestimmt den Begriff der Verarbeitung als so ziemlich alles, das Sie mit personenbezogenen Daten „mit oder ohne Hilfe automatisierter Verfahren“ anstellen können. Darunter fallen zB „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Eine häufige Frage ist die Granularität, in der Sie Verarbeitungstätigkeiten anführen. Hier ein kurzes Beispiel: Es wäre durchaus möglich, den Vorgang „Eingangsrechnung einbuchen“ als eine Verarbeitungstätigkeit anzusehen, empfehlenswert ist es aber, diesen Vorgang mit vielen anderen unter „Finanzbuchhaltung“ zusammenzufassen. Sie sollten von Ihren Unternehmensprozessen ausgehen und dabei die Verarbeitungstätigkeiten so bündeln, dass Sie Vorgänge mit ähnlichen Zwecken, Daten, Betroffenen und Maßnahmen als eine einzige Verarbeitungstätigkeit betrachten.

Welche Form muss das Verzeichnis haben?

Das Verzeichnis der Verarbeitungstätigkeiten ist schriftlich zu führen, eine bestimmte Form ist nicht vorgeschrieben. Auch die Datenschutzbehörde schlägt keine solche Form vor, sondern betont, dass die Führung des Verzeichnisses in den Verantwortungsbereich des Unternehmens fällt [1].

Falls Sie bereits DVR-Meldungen für Ihre Datenanwendungen abgegeben haben, gibt es noch eine gute Nachricht: Diese können aus dem DVR-Online-Meldebereich exportiert und in ein Verzeichnis nach Artikel 30 übertragen werden.

Bildnachweis: Artikelbild von The Descrier (descrier.co.uk), lizenziert via CC BY 2.0

Referenzen

[1] Schmidl: DSGVO Leitfaden, S. 27, http://bit.ly/2kVWCKE