Verfahrensverzeichnis
Document ring binders in business office with clock on the wall as conceptual image for fiscal year bookkeeping and tax accounting with copy space included

Verfahrensverzeichnis

Verfahrensverzeichnis – einfach umgesetzt!

Das Verfahrensverzeichnis nach der europaweit geltenden Datenschutzgrundver­ordnung (DSGVO) ist eine Dokumentation aller Verarbeitungstätigkeiten von personenbezogenen Daten in einem Unternehmen. Es muss den Aufsichtsbehörden auf Verlangen zur Verfügung gestellt werden und dient als Beleg dafür, dass alle Maßnahmen des geltenden Datenschutzes eingehalten werden. Die mit dem Datenschutz beauftragten Personen in einem Unternehmen müssen dieses Verzeichnis erstellen und aktuell halten, um zu zeigen, dass die Verarbeitung von personenbezo­genen Daten gemäß der im Artikel 5, Absatz 1 DSGVO genannten Grundsätze erfolgt ist. Dazu gehören die

·         „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“;

·         „Zweckbindung“;

·         „Datenminimierung“;

·         „Richtigkeit“;

·         „Speicherbegrenzung“;

·         „Integrität und Vertraulichkeit“

der Daten. Die entscheidende Neuerung findet sich im Artikel 5, Absatz 2 der DSGVO. In diesem Absatz wird die sogenannte „Rechenschaftspflicht“ geregelt. Konkret bedeutet dies, dass die für die Verarbeitung der personenbezogenen Daten Verantwortlichen – also die datenverarbeiten­den Unterneh­men und deren Auftragsverarbeiter – die Pflicht haben, den Aufsichtsbehör­den auf Anfrage die Einhaltung der Datenschutzprinzipien nachzuweisen.

Außerdem greift hier der Artikel 24 DSGVO, der bestimmt, dass alle technischen und organisa­to­ri­schen Maßnahmen ergriffen werden müssen, um den Schutz der personenbezogenen Daten sicher­zustellen. Darunter fällt beispielsweise eine sichere Verschlüsselung der Daten und deren Pseudo­nymisierung, die Sicherstellung der Datenintegrität und die Entwicklung von Verfahren zur Prüfung, Einschätzung und Bewertung der Wirksamkeit.

Unterschiede des Verfahrensverzeichnisses der DSGVO und BDSG

Das interne und das externe Verfahrensverzeichnis im Bundesdatenschutzgesetz (BDSG) wurde im Mai 2018 vom Verzeichnis der Verarbeitungstätigkeiten (VVT) der DSGVO abgelöst, in dem beide Formen vereint sind. Beide Verfahrensverzeichnisse haben allerdings das gleiche Ziel: die personenbezo­genen Daten konform mit den aktuell gültigen Regelungen des Datenschutzes zu verarbeiten und den gesamten Verarbei­tungspro­zess detailliert zu dokumentieren.

Dennoch gibt es gravierende Unterschie­de zwischen bei­den Formen, sodass es sich lohnt, einen Blick auf die wichtigsten Änderungen zu werfen:

  1. Kein öffentlicher Zugang für alle mehr notwendig

Während es nach dem BDSG noch Vorschrift war, die im externen Verfahrensverzeichnis erfassten Daten allen dritten Parteien zur Verfügung zu stellen, die eine Auskunft verlangten, muss das VVT der DSGVO ausschließlich den zuständigen Auf­sichtsbehörden auf Anfrage zugänglich gemacht werden. Damit ist die Nachweispflicht auf die Aufsichtsbehörden begrenzt.

  1. Auftragsverarbeiter werden in die Pflicht genommen

Seit Inkrafttreten der DSGVO tragen externe Unternehmen – die sogenannten Auftragsver­arbeiter – wie Marketingagenturen, Finanzdienstleister oder Callcenter, die für das datenverantwortliche Unternehmen tätig sind, deutlich mehr Verantwortung im Daten­schutz. Im Artikel 28 DSGVO werden die neuen Anforderungen an die Auftragsverarbeiter näher erläutert, es geht vorrangig darum, den technischen Datenschutz sicherzustellen.

Bei einem Verstoß gegen den Datenschutz wurden bereits bei Anwendung des BDSG empfindliche Bußgelder in einer Höhe von bis zu 300.000 Euro verhängt. Bei der nun geltenden DSGVO werden die finanziellen Strafen bei einem Verstoß wesentlich verschärft – laut Artikel 83, Absatz 4 a DSGVO können sie nun bis zu 20 Millionen Euro bzw. 4% des weltweit erzielten Jahresumsatzes betragen.

Das „Verzeichnis zu Verarbeitungstätigkeiten“ richtig aufbauen – so geht‘s

Das VVT wird im Kern in Artikel 30 DSGVO geregelt. Es dient der strukturierten Datenschutzdoku­mentation, um der Rechenschaftspflicht gegenüber den Aufsichtsbehörden zu genügen. Sowohl die datenver­antwortlichen Unternehmen als auch die Auftragsverarbeiter benötigen es, um gemäß Artikel 5 der DSGVO jederzeit nachweisen zu kön­nen, dass sowohl die (teil)automatisierte als auch die nicht-au­tomati­sierte Verarbeitung personenbezogener Daten, die digital gespeichert sind oder gespeichert werden sollen, konform zu den Maßgaben des Daten­schut­zes erfolgt. Der Zweck zur Füh­rung des Verzeichnisses ergibt sich aus Erwägungsgrund 82 zu Artikel 30 DSGVO. Es handelt sich hier­bei um ein Kernelement für den Aufbau eines umfas­senden Managementsystems für Datenschutz und Informationssicherheit.

Um das VVT anlegen zu können, muss das datenverantwortliche Unternehmen zunächst eine Bestandsaufnahme der Daten vornehmen. So erhält der Datenverantwortliche auch einen Überblick über den Status Quo der Datensicherheit im Unternehmen. Unternehmen, die zum Führen eines VVT nach Artikel 30 DSGVO verpflichtet sind, müssen die folgenden Daten SCHRIFTLICH (digital oder auf Papier) aufnehmen und speichern/aufbewahren, um sie den Aufsichtsbehörden jederzeit zur Verfügung stellen zu können:

Datenerhebung seitens der datenverantwortlichen Unternehmen

  • Namen und Kontaktdaten des Datenverantwortlichen, seines Vertreters und ggf. des Datenschutzbeauftragten
  • Zweck(e) der Verarbeitung
  • Eine Beschreibung der Kategorien der betroffenen Personen und der personenbezogenen Daten
  • Die Empfänger der personenbezogenen Daten, d.h. wem sie offengelegt wurden und werden, einschließlich Ländern und Organisationen im Ausland
  • Die vorgesehenen Fristen für die Löschung dieser personenbezogenen Daten
  • Eine Beschreibung der technischen und organisatorischen Maßnahmen, die ergriffen werden, um den Datenschutz zu gewährleisten

Datenerhebung seitens der Auftragsverarbeiter

  • Namen und Kontaktdaten des Auftragsverarbeiters, jedes datenverantwortlichen Unterneh­mens, für das der Auftragsverarbeiter tätig ist sowie den Vertreter des Verantwortlichen
  • Die Kategorien der Verarbeitungen, die der Auftragsverarbeiter für jeden Datenverant­wortlichen
  • Personenbezogene Daten, die in ein Drittland übermittelt werden, einschließlich der Angabe des Drittlands sowie die Absicherung des Übermittlungsprozesses
  • Eine Beschreibung der technischen und organisatorischen Maßnahmen, die ergriffen werden, um den Datenschutz zu gewährleisten

Das sachgemäße Führen eines VVT kann komplex werden und sollte am besten von einem profes­sionellen Daten­schutz­beauf­tragten durchgeführt werden, auch weil es sich um einen kontinuier­lichen Prozess handeln, bei dem die Daten immer wieder in die Hand genommen werden müssen.  Über alle Änderun­gen und Aktualisierungen muss eine sogenannte Änderungshistorie angelegt werden, die sämtliche Änderungen dokumentiert und nachvollziehbar macht. Sie sollte für ein Jahr aufbewahrt werden.

In der DSGVO sind zwar keine genauen Maßnahmen für die Umsetzung der Nachweispflicht gegenüber den Aufsichtsbehörden festgelegt. Allerdings wird im Artikel 24 DSGVO festgelegt, dass das datenverarbeitende Unternehmen angemessene technische und organisatorische Maßnahmen ergriffen haben muss, um die Einhaltung des Schutzes von personenbezogenen Daten sicherzustellen.

Neben den Artikeln 24 und 30 DSGVO spielen noch andere Regulierungen eine Rolle, die auch für die Dokumentation im VVT relevant sind. So befindet sich die Rechtsgrundlage für die Verarbeitung der Daten im Artikel 6 DSGVO, die Vertragsgestaltung mit Auftragsverbeitern in Artikel 28 DSGVO, die mögliche Notwendigkeit der Erstellung einer Datenschutzfolgenabschätzung wird in Artikel 35 geregelt.

Unternehmensinterne Risiken mit Auswirkungen auf das VVT

Für alle Unternehmen, die nach Inkrafttreten der DSGVO ihre Unternehmensprozesse umstellen müssen, sind die gleichgültige oder fahrlässig handelnde Mitarbeiter die größte Gefahr. Wenn sie nicht ausreichend geschult werden, betriebliche Geräte auch für private Zwecke nutzen, zu unachtsam mit personenbezogenen Daten umgehen – die durchaus auch auf Briefen oder Akten zu finden sein können –  oder keine sicheren Passworte benutzen, können wesentlich dazu beitragen, dass die Anforderungen des Datenschutzes nach DSGVO nicht gewährleistet werden können, selbst wenn es nicht absichtlich geschieht.

Gerade Mitarbeiter aus Unternehmensbereichen wie der Einkaufsabteilung, dem Sales oder der Buchhaltung, die viel mit personenbezogenen Daten umgehen, sollten unbedingt für das Thema Datenschutz sensibilisiert und über die Folgen der DSGVO bei fehlerhaftem Umgang mit personenbezogenen Daten aufgeklärt werden.

schließen