Datenschutzrecht: Anleitung zur Erstellung eines Verarbeitungsverzeichnisses

Ab 25.05.2018 gelten die Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz unmittelbar für alle Unternehmen in Deutschland.

Damit einhergeht die Pflicht ein sog. Verarbeitungsverzeichnis zu führen. Geregelt ist das „Verzeichnis von Verarbeitungstätigkeiten“ in Art. 30 DSGVO.  Zwar ist Art. 30 Abs. 5 DSGVO zu entnehmen, dass diese Pflicht nicht für Unternehmen gilt, die weniger als 250 Mitarbeiter beschäftigen, die Regelung dürfte aber weitestgehend ins Leere gehen. In Art. 30 Abs. 5 DSGVO heißt es nämlich weiter, „Pflicht gilt nicht (…) es sei denn, (…) die Verarbeitung erfolgt nicht nur gelegentlich“.

Damit dürfte kaum ein Betrieb von der Pflicht zum Führen eines Verarbeitungsverzeichnisses befreit sein, denn jeder Betrieb und jedes Unternehmen verarbeitet zumindest Kundendaten regelmäßig und nicht nur gelegentlich.

Wie sieht ein derartiges Verzeichnis aus? 

Bei kleineren Unternehmen und Betrieben, die keine umfangreiche Verarbeitungen mit hohen Risiken durchführen, erweisen sich Tabellen, zum Beispiel in Form von Word- oder Excel-Tabellen, als praktikabel.

Legen Sie also eine Tabelle an, in deren Kopfzeile der für die Datenerhebung Verantwortliche (Angaben aus Ihrem Impressum) genannt wird.

Die Tabelle sollte mindestens über 11 Spalten verfügen. Diese bezeichnen Sie wie beispielsweise wie folgt:

1. Spalte: Verarbeitungstätigkeit

Hier wird der Verarbeitungsprozess kurz und zusammengefasst beschrieben.

Bsp: „Personalverwaltung“.

2. Spalte: Ansprechpartner

Nennen Sie hier den Ansprechpartner für den Verarbeitungsprozess.

Bsp: Max Müller, Personalabteilung

3. Spalte: Zweck der Verarbeitung 

Beschreiben Sie hier kurz und prägnant den Zweck, für den die Daten erhoben werden.

Bsp: Personalführung, Personalbeschaffung, Arbeitszeitverwaltung, etc.

4. Spalte: Kategorie betroffener Personen

Notieren Sie, welche Personen (in Kategorien) von der Datenerhebung betroffen sind.

Bsp: Beschäftigte, Auszubildende, Bewerber, etc.

5. Spalte: Kategorien von personenbezogenen Daten

Beschreiben Sie kurz und zusammenfassend, welche personenbezogenen Daten im Rahmen dieses Verarbeitungsprozesses betroffen sind.

Bsp: Name und Anschrift, Lebenslauf und Bewerbungsunterlagen, etc.

6. Spalte: Kategorien von Empfängern der Daten:

Notieren Sie in dieser Spalte, wer die Daten extern ggfs. erhalten soll.

Bsp: Bei der Personalverwaltung: niemand

Bei der Lohnbuchhaltung: Steuerberater, ext. Lohnbuchhaltungsbüro etc.

7. Spalte: Rechtsgrundlage 

Nennen Sie die Rechtsgrundlage für die Datenerhebung (Rechtsgrundlagen sind in Art. 6 DSGVO aufgelistet).

Bsp: Zur Durchführung des Arbeitsvertrags, Art. 6 Abs. 1 lit. b) DSGVO.

Verarbeitung dient Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c) DSGVO.

8. Spalte: Geplante Übermittlung in Drittland?

Notieren Sie, ob ein Datentransfer in sog. Drittländer außerhalb der EU / des EWR geplant ist u. wenn ja, in welches Land.

Bsp: Keine Datenübermittlung in Drittland.

Datenübermittlung in USA, Voraussetzungen (privacy shield und Auftragsverarbeitungsvertrag) liegen vor.

9. Spalte: Löschfristen

Dokumentieren Sie –sofern möglich-, welche Löschfristen einzuhalten sind.

Bsp: Beschäftigendaten in der Regel drei Jahre nach Ausscheiden; Bewerberdaten nach Abschluss des Bewerberverfahrens; etc.

10. Spalte: Liste getroffener technischer u. organisatorischer Maßnahmen (TOM) zum Schutz von pb. Daten

Welche Maßnahmen haben Sie zum Schutz der Daten getroffen? Hier genügt ein Verweis auf Ihren TOM-Katalog (Liste mit allen getroffenen Maßnahmen).

Bsp: Siehe IT-Sicherheitskonzept, Siehe TOM Katalog vom ….

11. Spalte: Version / letzte Überarbeitung

Da das Verzeichnis aktualisiert werden muss, erscheint ratsam das letzte Überarbeitungsdatum mit der Person, die an dem Verzeichnis gearbeitet hat, zu notieren.

Ein Verfahrensverzeichnis stellt also zusammenfassend eine „Inventarliste der Datenverarbeitungsprozesse“ in Ihrem Unternehmen dar und dürfte in kleineren Unternehmen mit geringem Aufwand zu erstellen sein.

Benötigen Sie zu diesem Rechtsgebiet weiteren Beratungsbedarf, sprechen Sie mich gerne an.