Verzeichnis von Verarbeitungstätigkeiten (VVT) sinnvoll und praktisch erstellen und einsetzen

Das Verzeichnis von Verarbeitungstätigkeiten

Wer sich mit dem Thema Datenschutz beschäftigt, stößt ziemlich schnell auf Art. 30 DSGVO „Verzeichnis von Verarbeitungstätigkeiten“ (externer Link). In Abs. 1 heißt es:

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“

Diese Formulierung lässt wenig Spielraum dafür, ob die eigene Organisation von dieser Verpflichtung betroffen ist oder nicht. Gerne schielt der eine oder andere auf Art. 30 Abs. 5 DSGVO, steht doch da etwas von Ausnahmen ab 250 Mitarbeitern. Doch mit der Freude ist’s schnell vorbei. Denn sowohl § 70 BDSG (externer Link) als auch die diversen Landesgesetze setzen diese Ausnahme umgehend wieder aus. Wobei schon die weitere Formulierung des Art. 30 Abs. 5 DSGVO schnell klar macht, das Schlupfloch ist gar keins.

„Alles kein Problem, das Verzeichnis der Verarbeitungstätigkeiten erstellt schließlich der Datenschutzbeauftragte“

Leider knapp daneben, denn genau das zählt NICHT zu den Aufgaben des oder der Datenschutzbeauftragten. Die Aufgaben sind in Art. 39 DSGVO (externer Link) recht konkret beschrieben und das Führen der Verzeichnisses der Verarbeitungstätigkeiten ist nicht enthalten. Durchaus sinnvoll ist jedoch, die Pflege des Verzeichnisses der Verarbeitungstätigkeiten dem Datenschutzbeauftragten zu übertragen. Als zentraler Ansprechpartner und als Kontrollinstanz benötigt er diese Übersicht für die tägliche Arbeit. Das setzt jedoch voraus, dass die Verantwortlichen in den Fachbereichen den Datenschutzbeauftragten frühzeitig in neue Verarbeitungstätigkeiten einbinden, über Änderungen an bestehenden Verarbeitungen informieren oder auch mal Signal geben, wenn eine Verarbeitungstätigkeit entfällt. Damit sind wir schnell im Prozess- und Änderungsmanagement für Ihre Organisation. Doch das ist eine andere Aufgabe.

Für was ist das Verzeichnis von Verarbeitungstätigkeiten denn überhaupt gut?

Gute Frage 🙂 Art. 30 DSGVO lässt sich dazu nicht weiter aus. Auch die nationalen Datenschutzgesetze bringen kein Licht ins Dunkel. In Art. 30 steht zumindest noch der Hinweis, dass dieses Verzeichnis der jeweiligen Aufsichtsbehörde (und auch nur der) auf Verlangen vorzulegen ist. Lassen Sie sich nicht beirren, sollte mal jemand anderes das Verzeichnis sehen wollen (Auftraggeber beispielsweise). Für diese ist dieses Verzeichnis nicht gedacht und dort auch nicht vorzulegen. Wirklich nicht. Für den Fall gibt es das sog. Verzeichnis von Verarbeitungen für Auftragsverarbeiter. Weniger umfangreich und ziemlich easy in Erstellung und Pflege.

Erwägungsgrund 82 DSGVO (externer Link) hat etwas mehr Input zum Zweck des Verzeichnisses von Verarbeitungstätigkeiten:

Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen.

Seien wir mal ehrlich: Wir erstellen also so ein Verzeichnis und dann haben wir den Nachweis, die DSGVO einzuhalten? Nicht wirklich. „Doch“, mag der eine oder andere jetzt einwerfen, der schon mal Kontakt zu verschiedenen Datenschutzaufsichten hatte. Zumindest stellt sich das gelegentlich schon mal in Stellungnahmen und Aussagen der Aufsichtsbehörden so dar. Ohne dieses Verzeichnis gibt es keinen Datenschutz in der Organisation 😉 Doch kann Formalismus Datenschutz, vielleicht noch im weiteren Sinne einer „Sicherheitskultur“ erzeugen? Indirekt sicherlich, als Mittel zum Zweck. Aber ein reines Verzeichnis von Verarbeitungstätigkeiten im Sinne des Art. 30 DSGVO ist kein Datenschutz und erzeugt keinen Datenschutz. Das wird auch schnell klar, wenn man sich die seitens des Gesetzgebers geforderten Inhalte anschaut.

Welche Angaben sind in einem Verzeichnis von Verarbeitungstätigkeiten aufzuführen?

Art. 30 Abs. 1 DSGVO führt dazu weiter aus:

Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Viel Content, jedoch kein gelebter Datenschutz. Für einen ersten Überblick, wo und wie welche personenbezogenen Daten in einer Organisation verarbeitet werden, recht hilfreich. Doch dann ist die Luft schnell raus. Das merken auch die verantwortlichen Fachbereichsleiter, wenn man diese mit den Standardmustern aus dem Fundus der verschiedenen Aufsichtsbehörden konfrontiert. Diese Muster fragen nämlich genau diese Punkte ab. Nur diese Punkte. Und jetzt? Für was?

Also wie kann man aus dem Verzeichnis von Verarbeitungstätigkeiten einen praktischen Nutzen ziehen?

Ein guter DSB oder auch Datenschutzberater wird Sie auf die Zusammenhänge innerhalb der DSGVO hinweisen. Und hier finden sich weiter vorne in der DSGVO zwei Artikel, die direkt mit dem Verzeichnis von Verarbeitungstätigkeiten verzahnt werden können und die sich wunderbar ergänzen. Die Rede ist von Art. 13, 14 DSGVO Informationspflichten (externer Link). Darin sind Angaben benötigt, die dem Betroffenen gegenüber dargestellt werden müssen. So z.B. in Art. 13 Absatz 1 DSGVO

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

und ergänzend in Art. 13 Abs. 2 DSGVO noch folgende Angaben:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Einige wichtige Bestandteile dieser Angaben sollten sich im Verzeichnis von Verarbeitungstätigkeiten finden lassen. Doch was ist mit den anderen Angaben. Diese jetzt separat bei den Fachbereichen – möglicherweise noch in einem zeitlich versetzten Projekt – anfordern? Na, die werden sich freuen 🙂

Sinnvollerweise sollte man die Angaben für Art. 30 DSGVO sowie die Art. 13, 14 DSGVO in einem Rutsch bei den Fachbereichen erheben und zusammentragen. Dafür wäre eine Erweiterung der aktuellen Mustervorlagen der Aufsichtsbehörden notwendig. Übrigens dürfen Sie an diese ruhig Hand anlegen (also an die Vorlagen, nicht an die Vertreter der Aufsichtsbehörden 😉 ), denn was Sie dort als Vorlagen finden, sind Empfehlungen und nicht in Stein gemeißelt.

Verzeichnis von Verarbeitungstätigkeiten als Arbeitsdokument und nicht als reine Datensammlung verstehen

Noch wäre eine solche ausgefüllte Vorlage jedoch nicht mehr als eine erweiterte Datensammlung. Um sich einen Überblick über die Verarbeitung personenbezogener Daten zu verschaffen, sicherlich besser geeignet als die reine Anforderung aus Art. 30 DSGVO. Doch da geht noch was, oder? Genau. Ergänzen Sie doch diese Übersicht gleich um weitere Angaben wie Rechtsgrundlage bzw. Erlaubnistatbestand (Art. 6 DSGVO), involvierte externe Dienstleister (Art. 28 DSGVO Auftragsverarbeitung), Angaben zur Durchführung und den Ergebnissen einer DSFA (Art. 35 DSGVO) sowie für die Audit- und Kontrollaufgaben des DSB mit Überprüfungen z.B. der Berechtigungs- bzw. Löschkonzepte.

Warum das Verzeichnis von Verarbeitungstätigkeiten um diese Punkte ergänzen?

Sie ersetzen den reinen Übersichtscharakter (der ja alleine keinen Datenschutz in Ihrer Organisation schafft) durch einen Arbeitscharakter des Dokuments. Oder salopp gesagt, das Verzeichnis lebt und unterstützt Ihre Organisation bei der Umsetzung des Datenschutzes in der Organisation aktiv. Weiterhin haben Sie an zentraler Stelle nun definitiv einen Nachweis, dass Ihre Organisation das Thema Datenschutz ernst nimmt und lebt. Gleichzeitig können Sie anhand eines so aufgeppten Dokuments nun auch Aktivitäten und Wiedervorlagen sicherstellen.

Rechtsgrundlage: Stützt sich die Verarbeitung auf die korrekte Rechtsgrundlage? Besteht ein Vertragsverhältnis, ist womöglich die genutzte Einverständniserklärung obsolet und könnte entfallen. Sind Rechtsvorschriften der Auslöser, ergeben sich möglicherweise aus deren Kontext auch gleich die Angaben zu Aufbewahrungs- bzw. Löschfristen.

Externe Dienstleister bzw. Auftragsverarbeitung: Liegt die notwendige Vereinbarung zur Auftragsverarbeitung vor? Sind die TOM des Dienstleisters (interner Link) geprüft? Wurden diese bei längerer Zusammenarbeit schon mal auf Aktualität geprüft?

Datenschutzfolgenabschätzung: Wurde die DSFA durchgeführt? Wann und durch wen? Wie war das Ergebnis? Bei negativem Ergebnis, wurde die Verarbeitung dennoch in Betrieb genommen? Wer hat das entschieden? Wurde die DSFA regelmäßig aktualisiert und nachgeprüft im Hinblick auf Veränderungen bei Risiken und Schutzmaßnahmen?

Welche Kontrollen und Überprüfungen hat der DSB zu den einzelnen Verarbeitungen durchgeführt? Wann wäre welche Überprüfung als nächstes geplant?

Sie sehen, damit kann man jetzt arbeiten und etwas sinnvolles anfangen, oder?

Wo bekomme ich ein erweitertes Muster für ein solches Verzeichnis von Verarbeitungstätigkeiten her?

Eine schon mal um einige Punkte angepasste Vorlage für ein „aktives“ Verzeichnis von Verarbeitungstätigkeiten können Sie am Ende des Beitrags herunterladen. Konstruktives Feedback, Ideen und Anregungen  sowie Ergänzungen gerne willkommen.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.