DSGVO: Verarbeitungsverzeichnis

VerarbeitungsverzeichnisPhoto by Viktor Talashuk on Unsplash

von Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht.

Was ist das Verarbeitungsverzeichnis DSGVO? Brauche ich ein DSGVO Verarbeitungsverzeichnis? Wo kriege ich ein Verarbeitungsverzeichnis Muster und wenn ja, was mache ich damit? Hier findest Du Antworten auf Deine Fragen zum Verarbeitungsverzeichnis.

Einleitung

Die Datenschutzgrundverordnung bringt nicht nur in Bezug auf die Website neue Pflichten wie etwa eine neu gefasste und erweiterte Datenschutzerklärung, sondern auch weiter gehende Pflichten für die Dokumentation und die Absicherung der Datenverarbeitung in Deinem Unternehmen. Das betrifft insbesondere das Verarbeitungsverzeichnis und die die auf der Basis dieses Verzeichnisses herzustellende Datensicherheit.

Inhalt

I. Was ist ein Verarbeitungsverzeichnis?

Neu durch die DSVGO ist die Pflicht aus Art. 30 DSGVO, ein Verarbeitungsverzeichnis zu erstellen. Abs. 1 lautet (teilw. gekürzt):
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen … sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind ….
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland …..
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.“

1. Muss ich ein Verarbeitungsverzeichnis haben?

Derzeit ist der Anwendungsbereich der Norm aber noch unklar. Art. 30 Abs. 5 DSGVO lautet:

Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Da es keine Website gibt, die nur gelegentlich Daten sammelt, bleibt offen, wo überhaupt Ausnahmen existieren. Erst recht macht mit einer derart weit gefassten Unterausnahme die eigentliche Grenze von sogar mehr als 250 Mitarbeitern keinen Sinn, da weit vorher immer die Unterausnahme erfüllt sein dürfte. Von daher würde die Unterausnahme zur Regel.

Hier wird man die künftige Rechtsentwicklung im Auge behalten müssen, es wird sicher noch Klarstellungen geben. Einstweilen muss jeder Betreiber einer Website davon ausgehen, dass er ein Verarbeitungsverzeichnis braucht.

2. Wo muss ich das Verarbeitungsverzeichnis führen?

Das Verzeichnis ist jedoch nicht öffentlich und muss auch nicht den Nutzern der Website ausgehändigt werden, sondern nur auf Anfrage an die Behörde. Dann aber muss man das Verzeichnis sehr kurzfristig vorlegen, um eine Auflage oder ein Bußgeld zu vermeiden. Wenigstens sollte man sich also darauf vorbereiten, ein solches Verzeichnis kurzfristig zu erstellen.

3. Wo finde ich ein Verarbeitungsverzeichnis Muster?

Muster für ein Verarbeitungsverzeichnis kannst Du Dir hier nebst einer Anleitung für die Erstellung eines solchen Verarbeitungsverzeichnisses nach DSGVO runterladen. Ansonsten findet Du auch hier das Verarbeitungsverzeichnis Muster der Aufsichtsbehörden, welches ich recht übersichtlich finde oder hier eine DSGVO Vorlage aus Österreich (geht durch EU Recht genauso gut – ich finde das dortige Muster aber etwas unübersichtlich).

4. Lohnt sich ein Verarbeitungsverzeichnis Generator?

Die Verzeichnisse zu erstellen, ist eine komplexe Aufgabe. Gerade für kleinere und mittlere Unternehmen bietet sich eine automatisierte Lösung mit einem Verarbeitungsverzeichnis Generator an. Das spart nach meiner Erfahrung viel Zeit. Weiter erhält man durch die Abfolge der Formulare immer wieder Beispielformulierungen, von denen man die viele übernehmen kann. Das macht es viel einfacher. Schließlich werden auch noch die verschiedenen Kategorien abgefragt, so dass man nichts übersieht. Eine empfehlenswerte Lösung für einen Verarbeitungsverzeichnis Generator findest Du etwa hier. (*)

II. Datensicherheit

Das Verfahrensverzeichnis hat aber nicht nur den Selbstzweck, erstellt zu werden, damit es der Behörde übergeben werden kann. Vielmehr dient es der Überprüfung des gesamten Datenverkehrs im Unternehmen auf Datensicherheit, inzwischen als „gap analysis“ bekannt.

1. Was muss ich mit dem Verarbeitungsverzeichnis machen?

Es gilt damit, die Lücken zu suchen – und zu beseitigen – die sich aus dem Verarbeitungsverzeichnis ergeben. Jedes einzelne Datenverarbeitungsverfahren (der Kundendaten, der Websitedaten, der Mitarbeiterdaten etc.) muss daraufhin untersucht werden, ob es in datenschutzrechtlicher und -technischer Hinsicht optimiert werden kann oder muss.

2. Worauf muss ich meine Datenverarbeitung optimieren?

Derartige gaps können sich vor allem aus den datenschutzrechlichen Grundsätzen und den Grundsätzen zur Datensicherheit gem. Art. 32 DSGVO ergeben:

  • Datensparsamkeit: Ist die Speicherung der je betroffenen Daten und ihre Verarbeitung wirklich notwendig?
  • Datenrichtigkeit: sind die Daten auf dem neuesten Stand? Gibt es eine Fehlerkorrektur und werden unrichtige Daten gelöscht?
  • Rechtmäßigkeit: Ist die Verarbeitung der Daten aus einem Grund gem. Art. 6 Abs. 1 DSGVO gerechtfertigt (vor allem Vertragsdaten, Einwilligung und berechtigtes Interesse)?
  • Speicherdauer: Werden Daten gelöscht, wenn sie nicht mehr notwendig sind? Gibt es eine Automatik, die für eine rechtzeitige Löschung sorgt?
  • Rechte: Sind möglichst wenig Mitarbeiter mit den Daten in Kontakt, sind diese in Fragen der DSGVO unterweisen?
  • Sicherheit: Sind die Datenverarbeitungsanlagen hinreichend gegen unbefugten Zugang geschützt?
  • Verschlüsselung: Sind personenbezogene Daten soweit als möglich verschlüsselt. Sind Datenübertragungswege verschlüsselt (E-Mail? Eine allgemeine Verschlüsselungspflicht besteht aber nicht, für sensible Daten wird sie aber angeraten).
  • Datenstabilität: Sind die Datenverarbeitungssysteme hinreichend stabil und zukunftssicher?
  • Wiederherstellung: Sind die Systeme hinreichend gegen Datenverlust geschützt? Gibt es eine funktionierende Datensicherung?
  • Überprüfung: Gibt es eine regelmäßige Prüfung auf Datensicherheit?
  • Dokumentation: Gibt es eine Dokumentation dieser Maßnahmen (soweit nicht im Verarbeitungsverzeichnis beschrieben)?

III. Ergebnis

Insgesamt kann das Verarbeitungsverzeichnis bereits einigen Aufwand erfordern. Noch mehr gilt das für die Herstellung der Datensicherheit. Mit einem Verarbeitungsverzeichnis lässt sich die Analyse aber vereinfachen und sicher werden in nächster Zeit viele Tools auf den Markt kommen, die die Herstellung der erforderlichen Datensicherheit vereinfachen.  

Mehr über die DSGVO erfährst du hier.


Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

(*) Affliatelink

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.