Verarbeitungsverzeichnis in der Praxis

Übersicht, Dienstanweisung und Checkliste

Jeder Betrieb braucht ein Verarbeitungsverzeichnis (VVZ) nach Art. 30 DSGVO. Das VVZ ist eine Sammlung aller Verfahren eines Betriebes angereichert durch die datenschutzrechtlichen Besonderheiten. Sie ist daher ein Unterfall des Qualitätsmanagements.

Im Folgenden wird das VVZ nicht in der durch Art. 30 DSGVO verpflichtenden Minimalform behandelt. In der Praxis hat es sich bewährt, weitere Pflichten der DSGVO hier zusammenzuführen, um Doppelungen in anderen Bereichen zu vermeiden. Insbesondere dient es in der hier beschriebenen Ausformung der Rechenschaftspflicht nach § 5 Abs. 2 DSGVO, die eine weit über Art. 30 DSGVO hinausgehende Dokumentation erfordert.

Alle im Folgenden genannten Artikel und Erwägungsgründe (EG) sind solche aus der DSGVO. Der alternative Begriff „Verfahrensverzeichnis“ stammt noch aus der Zeit vor 2018 und wird heute weniger verwendet.

1. Übersicht – guter Eindruck

Das Verarbeitungsverzeichnis ermöglicht es dem Landesdatenschutzbeauftragten im Fall einer Prüfung, schnell eine Übersicht dazu zu gestatten, was ein Betrieb datenschutzrelevant unternimmt. Es ist also ratsam, das VVZ gleich aus seiner Sicht zu schreiben, um im Falle einer Prüfung einen ersten guten Eindruck zu machen.

2. Dienstanweisung

Die einzelnen Verfahren enthalten knapp zusammengefasst das Wichtigste dazu, welche Daten wie verarbeitet werden sollen. Man muss es nicht als Dienstanweisung verwenden, aber es enthält die Inhalte, die der jeweilige Vorgesetzte anweisen muss. Daher sollte man die einzelnen Verfahren mit diesem erarbeiten. Wenn man vereinbart, dass die einzelnen Verfahren als Dienstanweisung gelebt werden, ist die Chance höher, dass der Datenschutzbeauftragte bei Veränderungen rechtzeitig eingebunden wird. Wenn kein Verantwortlicher benannt ist, ist nach §§ 278, 831 BGB immer die Geschäftsführung verantwortlich.

3. Dokumentation – Checkliste VVZ

Lassen Sie sich von den vielen Punkten nicht entmutigen! Die Dokumentation wird gewöhnlich vom Datenschutzbeauftragten in Kommunikation mit dem Verantwortlichen oder den einzelnen Abteilungsleitern erstellt. Das braucht zwar ein wenig Zeit, ist aber mit seiner Hilfe nicht schwer.

Die Dokumentation startet nach Art. 30 Abs. 1 a) mit den globalen Kontaktdaten für Geschäftsführung. Danach wird jeweils für jedes einzelne Verfahren beschrieben:

1. Name des Verfahrens, Kurzbeschreibung

2. Abteilung und intern Verantwortlicher für dieses Verfahren – Im Zweifel Geschäftsführung

3. Zwecke dieses Verfahrens [Art. 30 Abs. 1 b), Art. 5 Abs. 1 b)]

4. Verarbeitungsart – Welche Programme oder anderen Hilfsmittel werden einsetzt?

5. Verarbeitungsort – Im Betrieb oder bei Dritten?

6. Datenquellen – Von Betroffenen, aus Datenbank oder von Dritten?

7. Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 DSGVO. Die Gängigen sind:

   1. Einwilligung,

   2. Vertrag (oder Vertragsanbahnung, wie Bewerbung)

   3. Gesetzliche Pflichten wie Steuer, Sozialversicherung…

   4. [eher selten]

   5. [eher selten]

   6. berechtigtes Interesse – Nur nach Prüfung der Verhältnismäßigkeit!

8. Kategorien Betroffener und von Daten [Art. 30 Abs. 1 c)]

9. Datenempfänger [Art. 30 Abs. 1 d), e)]

   1. intern (Kategorien meist ausreichend)

   2. Dritte sortiert nach

      1. Verantwortlichen

      2. Auftragsverarbeitern (bitte Drittlandtransfers bedenken)

10. Löschfristen je Datenkategorie [Art. 25 Abs. 1 f)]

11. Technisch-Organisatorische Maßnahmen (TOM) [Art. 30 Abs. 1 g), Art. 25, EG 78]

12. Signaturen und Vermerke

    1. Prüfvermerk – Hat der Datenschutzbeauftragte das Verfahren freigegeben? Mit welchen Auflagen?

    2. Beteiligung Dritter, wie Mitarbeitervertretung, sonstige Beauftragte

    3. Ggf. Unterschrift des Verantwortlichen und Ausfertigung als Dienstanweisung

Im Durchschnitt haben kleine und mittlere Unternehmen nach unserer Einteilung zwischen 80 und 120 solcher Verfahren. Externe Datenschützer können das Ausfüllen sehr erleichtern, weil sie einen Fundus besitzen, mit dessen Hilfe sie Standardantworten für die meisten Fragen jedes Verfahrens vorschlagen können.

Es bietet sich an, bei der ersten Erarbeitung im ständig fortgeschriebenen Inhaltsverzeichnis des VVZ festzuhalten, wie viel Prozent der Verfahren bereits zum ersten Mal freigegeben wurden, um so den Fortschritt zu verfolgen.

Austausch und weitere Dokumente

Um das Verarbeitungsverzeichnis gemeinsam zu erstellen und zu dokumentieren, müssen viele Dokumente und Entwürfe mit dem ggf. externen Datenschutzbeauftragten und anderen internen und externen Personen ausgetauscht werden. Wir bei der bbg bitbase group nutzen dazu kameon PLC Drive. Über den Internet-Browser oder mit den zugehörigen Mobil-Apps kann man mit jeder Person Dokumente einfach fotografieren, sicher verschicken oder erbitten und automatisch im richtigen Ordner speichern, so dass alles jederzeit übersichtlich bleibt.

Es bietet sich an, einerseits längere Dokumente auszulagern und andererseits weitere anzufügen, damit das Verarbeitungsverzeichnis beherrschbar bleibt.

Aus dem Verarbeitungsverzeichnis ergibt sich ganz natürlich, wer die Auftragsverarbeiter sind, so dass man in einem Anhang zusammenfassen kann, wer sie sind und in wieweit man Ihre Auftragsverarbeitungsverträge sowie Drittlandverarbeitungen geprüft hat. Soweit man selbst Auftragsverarbeiter ist, kann man daraus (aus Sicht des Auftragsgebers) automatisiert seine Liste der eigenen „Unterauftragsgeber“ anfertigen, die man, wie die TOM, jedem eigenen AVV anhängen muss.

Die Löschfristen und die Auflistung der TOM kann man gut in gesonderten Dokumenten zusammenfassen, auf die man im VVZ nur verweist.

Wenn man nun noch alle im Unternehmen eingesetzte Richtlinien in einer Liste zusammenfasst, hat man mit diesem Verarbeitungsverzeichnis einen guten Gesamtüberblick.

Weiterführend

• Für größere Unternehmen: Überblick Konzerndatenschutz

• Zum 1. Juli 2023 wurde Google Analytics 3 endgültig durch Google Analytics 4 ersetzt.

• Immer aktuell Datenpannen: Richtige Reaktion auf einen Datenschutzvorfall

Autor: Florian Thomas Hofmann, Data Privacy Consultant, 03.07.2023