Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Verzeichnis von Verarbeitungstätigkeiten nach DS-GVO

Veröffentlicht am 11. Januar 2021 von Dr. DSGVO · Zuletzt aktualisiert am 22. Februar 2021
0

Kategorien: Datenschutz und Retrospektive

Dies ist ein älterer Beitrag, der nicht unbedingt die aktuelle Haltung des Autors darstellt. Insbesondere zu den Themen Datenschutz, Google und Social Media ist der Autor aufgrund mittlerweile gewonnener Erkenntnisse anderer Meinung als früher! Was Web Hosting angeht, empfehle ich Strato, 1&1 und andere große nicht mehr.

Die Datenschutzgrundverordnung löst mit dem Verzeichnis von Verarbeitungstätigkeiten das Verfahrensverzeichnis des Bundesdatenschutzgesetzes ab.

Das Datenschutz-Verzeichnis nach DS-GVO

Seit langem herrscht in Deutschland eine Pflicht zum Führen eines Verfahrensverzeichnisses nach Bundesdatenschutzgesetz (BDSG). Es legt insbesondere dar, wie und warum personenbezogene Daten im Unternehmen erhoben, verarbeitet und weitergegeben werden. Die Datenschutzgrundverordnung (DS-GVO) der EU löst die altern Verzeichnisse ab und ersetzt sie durch ein Verzeichnis von Verarbeitungstätigkeiten. Nicht nur verantwortliche Stellen, sondern auch Auftragsverarbeiter müssen ein solches Verzeichnis ab dem 25. Mai 2018 führen (Artikel 4 Nr. 8 DSGVO). Verantwortliche Stellen sind alle Unternehmen (und sogar Privatleute), die personenbezogene Daten erheben, das dürfte quasi jedes Unternehmen sein.

Beispiele für Verarbeitungstätigkeiten

Je nach Tätigkeitsbereich fallen unterschiedliche Verarbeitungstätigkeiten an. Hier einige Beispiele, denen der Bereich vorangestellt ist.

  • Marketing: Gewinnspiel-Durchführung, Rückrufservice, Webtracking
  • Personalwesen: Arbeitssicherheit, elektronische Zeiterfassung, Urlaubsplanung, Verbandbuch
  • IT-Management: VOIP (Voice over IP), IT-Administration, Home Office, elektronisches Adressbuch, E-Mail Archivierung, Backups

Auskunft über gespeicherte Daten

Das Verzeichnis betrifft alle in einem Dateisystem gespeicherten personenbezogenen Daten. Ein Dateisystem ist eine strukturierte Sammlung von Daten, also eine digitale Datei auf einem Speichermedium wie einer Festplatte oder auch ein Aktenordnung mit abgehefteten Blättern. Dabei ist es unerheblich, ob diese Daten automatisiert, teilautomatisiert oder händisch gespeichert werden. Auf Anfrage sind alle Verzeichnisse dieser Art den Aufsichtsbehörden in angemessener Zeit zur Verfügung zu stellen. Die Sprache ist deutsch. Es gilt die Schriftform. Eine digitale Bereitstellung, etwa als PDF Dokument, ist zulässig. Allerdings kann die Aufsichtsbehörde festlegen, ob sie eine ausgedruckte oder eine digitale Form wünscht.

Pflicht für Webseitenbetreiber

Änderungen sind zu dokumentieren und ein Jahr lang vorzuhalten. Dies ergibt sich auch aus der Rechenschaftspflicht gemäß Artikel 5 Nr. 2 DSGVO. Jedes Unternehmen mit einer Webseite ist quasi zum Führen eines DSGVO-Verzeichnisses verpflichtet, weil die Verarbeitung personenbezogener Daten auf Websites zwangsläufig für jeden Besucher erfolgt. Vergleiche hierzu den Artikel zu IP-Adressen als personenbezogenes Datum.

Inhalt des Verzeichnisses

Das Verzeichnis enthält Informationen zu Tätigkeiten der Verarbeitung personenbezogener Daten. Dabei ist es unerheblich, ob die Verarbeitung automatisch, manuell oder in einer Mischform betrieben wird. Je nach Umfang der Dokumentation kann eine Gliederung in mehreren Verzeichnissen sinnvoll sein. Den Inhalt regelt Artikel 30 Abs. 1 S. 2 a-g DSGVO. Alle Angaben müssen dieser Vorgabe folgen. Die zu dokumentierenden Informationen sind im folgenden abschnittsweise dargestellt.

Namen und Kontaktdaten

Postalische, elektronische und telefonische Erreichbarkeit von Verantwortlichen, von Vertretern für Drittstaaten und eines Datenschutzbeauftragten, sofern vorhanden.

Zwecke der Datenverarbeitung

Die verarbeiteten Daten liegen meist in unterschiedlichen Einzelverzeichnissen vor, beispielsweise

  • Personalakte
  • Abwesenheitsliste
  • Vertreterliste
  • Gehaltsabrechnung
  • Zuständigkeiten und Tätigkeitsfelder

Für alle Einzelverzeichnisse sind vorher die Zwecke in eindeutiger und transparenter Weise festzulegen, damit eine Aufsichtsbehörde die Zulässigkeit prüfen kann. Auch müssen getroffene Schutzmaßnahmen aus dem Verzeichnis hervorgehen, beispielsweise abschließbare Büros oder Ausweiskontrollen an der Eingangstür.

Kategorien von Personen und Daten

Die Kategorien betroffener Personen und von personenbezogenen Daten sind zu nennen. Beispiele für Personenkategorien:

  • Mitarbeiter
  • Auftragsverarbeiter
  • Kunden
  • Lieferanten
  • Besucher der Website
  • Newsletter-Abonnenten

Beispiele für Datenkategorien:

  • Adressdaten
  • Bankverbindungen
  • Kontaktdaten
  • Umsatz
  • Bonität
  • Lieferkonditionen
  • Zahlungskonditionen

Kategorien von Empfängern

Empfänger von personenbezogenen Daten sind in Kategorien zu gliedern und zu nennen. Beispiele für Empfängerkategorien:

  • Steuerberater
  • Banken
  • Mitarbeiter
  • Kunden
  • Lieferanten
  • Vertriebsmitarbeiter
  • Webmaster / Webagentur
  • Finanzamt

Ein Empfänger kann auch Teil eines Unternehmens sein, etwa eine Abteilung oder eine Zweigstelle. Neben Empfängerangaben müssen Zugriffsberechtigte in Form von eindeutigen Rollenbeschreibungen genannt werden. Existieren keine Empfänger in Drittländern, sollte dies explizit erwähnt werden. Vorhandene Empfänger müssen genannt sein. Empfänger kann auch ein Server in einem Drittland sein, auf dem Daten gelagert werden. Hierzu zählen insbesondere der Betrieb von Webseiten oder Cloud-Lösungen. Es sind nicht nur aktuelle und zulünftige, sondern auch frühere Empfänger zu benennen.

Datenübermittlung in Drittländern

Hier werden keine Empfängerkategorien unterschieden. Für den Empfänger sind geeignete Garantien zu dokumentieren, dass er sich an die Datenschutzrichtlinien der EU hält. Deswegen empfehlen wir unter anderem, auf den Einsatz von Google Analytics zu verzichten. Die daraus entstehenden Pflichten und Gefahren im Rahmen der DS-GVO sind weit höher als der Nutzen gegenüber anderen Tools wie Piwik.

Speicherdauer / Löschfristen

Pro Datenkategorie sind die Löschfristen anzugeben, also der Zeitraum, nach dem die Speicherung der Daten beendet ist. Hierzu sind gesetzlich geregelte Aufbewahrungs- und Löschfristen anzugeben ebenso wie selbst festgelegte Fristen. Allgemeine Angaben zu gesetzlichen Pflichten reichen nicht aus, sie müssen konkret benannt werden.

Technische und Organisatorische Maßnahmen

Die Technischen und Organisatorischen Maßnahmen werden oft mit TOM abgekürzt. Enthält Verweise auf vorhandene Dokumente und Konzepte zur Sicherhstellung einer adäquaten Datenverarbeitung. Ein Sicherheitskonzept muss vorliegen. Standarddatenschutzmodelle sind anzugeben. Weitere geeignete Maßnahmen sind insbesondere:

  • Verschlüsselung von Daten
  • Backup-Mechanismen
  • Pseudonymisierung und Anonymisierung von personenbezogenen Daten
  • Fail-Over Mechanismen (etwa zur Vermeidung von Unverfügsarkeiten)
  • Verfahren zur Sicherstellung der TOMs

Auftragsverarbeiter

Auftragsverarbeiter führen ein eigenes Verzeichnis, welches deutlich weniger Informationen enthalten muss. Der Inhalt besteht aus Namen und Kontaktdaten, Beschreibungen zur Verarbeitung von Daten, Übermittlung an Drittländer und TOMs.

Eempfehlungen

Man sollte sich zunächst die wichtigsten Prozesse in seinem Unternehmen anschauen und diese so gestalten, dass möglichst keine Konflikte mit der DS-GVO entstehen. Danach kommen die weniger wichtigen Prozesse an die Reihe. Was in jedem Fall wichtig ist, ist die erwähnte Vereinbarung zur Auftragsverarbeitung mit Dritten und ein Datenschutz-Management-System.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/verzeichnis-von-verarbeitungstaetigkeiten-dsgvo
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

    Schreiben Sie einen Kommentar

    Ihre Mail-Adresse wird nicht veröffentlicht.

    Nächster Beitrag

    Artikel 4 DSGVO: Begriffsbestimmungen