Die Datenschutz-Grundverordnung (DSGVO) schreibt Unternehmen vor ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen (Art. 30 DSGVO). Das VVT muss integraler Bestandteil eines jeden Datenschutzmanagementsystems (DSMS) sein, richten sich doch zahlreiche Rechte und Pflichten (z. B. Betroffenenrechte, Datenschutz-Folgenabschätzung) nach den Eingaben im VVT. Erst durch ein akkurates VVT ist es möglich, die in einem Unternehmen stattfindenden Verarbeitungsvorgänge zu überschauen, zu kontrollieren, auf ihre Zulässigkeit hin zu überprüfen und damit alle verbundenen Risiken zu bewerten sowie diesbezüglichen Handlungsbedarf zu erkennen und in angemessener Art umzusetzen. Sinn und Zweck von Art. 30 DSGVO ist zum einen dem Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO bzw. Art. 24 Abs. 1 DSGVO Rechnung zu tragen, denen jeder Verantwortliche unterliegt zum anderen die Effektivität der Kontrollorgane durch ein Mehr an Transparenz zu steigern. Das VVT ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG-alt). Wer also bereits vor der Geltung der DSGVO ein Verfahrensverzeichnis geführt hat, sollte auf dessen Grundlage das VVT inzwischen aufgebaut und weiterentwickelt haben. In diesem Artikel soll insbesondere geklärt werden, wer ein VVT führen muss, was in ein VVT gehört und wie es aufgebaut wird. Ferner werden praxisnahe Tipps, Beispiele und eine Checkliste für ein gelungenes VVT an die Hand gegeben.
Wer ist zur Führung eines VVT verpflichtet?
Art. 30 DSGVO bestimmt die grundsätzliche Pflicht jedes Verantwortlichen und jedes Auftragsverarbeiters, ein VVT zu erstellen und zu führen.
Das Verarbeitungsverzeichnis von Verantwortlichen ist in Art. 30 Abs. 1 DSGVO geregelt und unterscheidet sich von denen der Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO.
Für den aufzuzeichnenden Inhalt eines VVT bezieht sich die DSGVO maßgeblich auf die Legaldefinitionen des Art. 4 DSGVO. Verantwortliche sind nach Art. 4 Nr. 7 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Hierzu zählen primär der Name und die Adresse, aber auch die IP-Adresse einer betroffenen Person.
Auftragsverarbeiter sind nach Art. 4 Nr. 8 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des jeweiligen Verantwortlichen gemäß dessen Weisungen verarbeiten, wobei der Verantwortliche Mittel und Zweck der Verarbeitung festlegt. Der Auftragsverarbeiter hat keine Entscheidungsbefugnis über die Verarbeitungszwecke und -mittel und verfolgt mit diesen keine eigenen Geschäftszwecke; das trifft beispielsweise auf Cloud-Anbieter und Callcenter zu.
Wann ist man von der Pflicht befreit?
Unternehmen oder Einrichtungen müssen grundsätzlich kein VVT führen, wenn sie weniger als 250 Mitarbeiter beschäftigen. Ausnahmen bestehen, wenn der Verantwortliche eine Verarbeitung durchführt, die
- ein Risiko für Rechte und Freiheiten der Betroffenen birgt (z. B Scoring oder Überwachungsmaßnahmen),
- nicht nur gelegentlich erfolgt (z. B. bei regelmäßiger Verarbeitung von Kundendaten) oder
- eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (z. B. Religions- oder Gesundheitsdaten) bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten i. S. d. Art. 10 DSGVO beinhaltet.
Die oben genannten Rück-Ausnahmen sind alternativ zu verstehen. Liegt auch nur eine der genannten gesetzlichen Rück-Ausnahmen vor, so muss ein VVT geführt werden.
Aufgrund des Merkmals der regelmäßigen Verarbeitung ist die oben erwähnte Ausnahme von der Verpflichtung zur Führung eines VVT in praxi nahezu obsolet. In der Regel findet nämlich bei fast jedem Unternehmen zumindest ein Personal- oder Kundenmanagement statt, welches das Führen von Personalakten, das Verwalten einer Kundendatenbank oder den Versand von Newslettern umfasst. Damit liegt dann eigentlich immer eine regelmäßige Verarbeitung von personenbezogenen Daten vor, so dass dann auch immer eine Verpflichtung zur Führung eines VVT besteht. Somit sind in der Regel auch viele Selbstständige, Handwerker und Arztpraxen zum Führen eines VVT verpflichtet. Deshalb werden sich auch Unternehmen mit weniger als 250 Mitarbeitern kaum von der Pflicht, ein VVT zu erstellen, befreien können.
Was passiert, wenn ich kein VVT habe oder es unvollständig ist?
Der Verstoß gegen die Pflicht, ein VVT gemäß Art. 30 DSGVO zu führen, stellt nach Art. 84 Abs. 4 lit. a DSGVO eine Ordnungswidrigkeit dar und ist damit bußgeldbewehrt. Das von der zuständigen Behörde verhängte Bußgeld kann einen Umfang von bis zu 10 Mio. Euro umfassen oder im Fall eines Unternehmens bis zu 2 Prozent des gesamten im vorangegangenen Jahr weltweit erzielten Jahresumsatzes betragen.
Wie wird das VVT aufgebaut?
Das VVT lässt sich grob in zwei Blöcke gliedern:
- Name und Kontaktdaten (sowie ggf. weitere Basisdaten) des jeweiligen Verantwortlichen bzw. Auftragsverarbeiters;
- Darstellung der einzelnen Verarbeitungstätigkeiten
Im Folgenden liegt das Augenmerk auf den Anforderungen eines VVT für einen Verantwortlichen (Art. 30 Abs. 1 DSGVO). Für Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) gelten die Anforderungen an das VVT in etwas reduzierter Form. Dies liegt an deren Weisungsgebundenheit. Der Verantwortliche hat nach Art. 24 Abs. 1 DSGVO die Pflicht, organisatorische Maßnahmen umzusetzen, um sicherzustellen und nachzuweisen, dass die Verarbeitung durch den Auftragsverarbeiter gemäß der DSGVO erfolgt. Hierzu gehören auch adäquate Weisungen.
Wie beginne ich mit der Erstellung eines VVT?
Das VVT beginnt mit den Namen und Kontaktdaten des Verantwortlichen und seines Vertreters. Bei einer gemeinsamen Verantwortlichkeit („Joint Control“) sind entsprechende Angaben zu allen Verantwortlichen zu tätigen. Im Rahmen der Vereinbarung zur gemeinsamen Verantwortlichkeit ist festzulegen, wer von den gemeinsamen Verantwortlichen das VVT zu führen hat. Gemeinsame Verantwortlichkeit liegt etwa vor, wenn ein Arbeitgeber mit einem Personalvermittlungs-Dienstleister zusammenarbeitet, der für diesen Bewerber sichtet und ggf. erste Gespräche führt. Sie kann nach der Rechtsprechung aber auch schon beim Betrieb einer Facebook-Fanpage vorliegen.
Sofern ein Datenschutzbeauftragter benannt werden muss, sind dessen Name und Kontaktdaten im VVT aufzuführen.
Ein Datenschutzbeauftragter ist obligatorisch, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (vgl. Art. 37 DSGVO i. V. m. § 38 Abs. 1 Satz 1 BDSG) oder bei einem Datenverarbeitungsprozess eine Datenschutz-Folgenabschätzung durchgeführt werden muss (§ 38 Abs. 1 Satz 2 Fall 1 BDSG). Sofern kein interner oder externer Datenschutzbeauftragter bestellt worden sein sollte und keine Pflicht zur Bestellung besteht, können diese Angaben im VVT weggelassen werden. Stattdessen kann vermerkt werden, dass kein Datenschutzbeauftragter bestellt werden musste.
Auftragsverarbeiter müssen ihren Namen und Kontaktdaten, die Namen und Kontaktdaten ihrer jeweiligen Auftraggeber sowie etwaiger Datenschutzbeauftragter nennen.
Das könnte Sie auch interessieren:
- Videoüberwachung und Datenschutz: Worauf es wirklich ankommt
- Effizienter Datenschutz durch Datenschutzmanagementsysteme
Was sind Verarbeitungstätigkeiten und welche gibt es?
Der Ausdruck „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Soll mit der Eintragung der einzelnen Verarbeitungstätigkeiten begonnen werden, hat man sich zunächst zu vergegenwärtigen, welche Verarbeitungstätigkeiten im Unternehmen überhaupt existieren. Um dies herauszufinden, kann es hilfreich sein, das Unternehmen in organisatorische Bereiche einzuteilen und dementsprechend jeden Bereich nacheinander abzuarbeiten.
Dafür muss geklärt werden, welche Software verwendet wird und welche davon personenbezogene Daten automatisch verarbeitet. Vielfach wird auf US-Dienstleister als Auftragsverarbeiter zurückgegriffen.
Typische Verarbeitungsprozesse, die in eigentlich jedem Unternehmen vorkommen, sind etwa:
- Personalverwaltung
- Lohn- und Gehaltsabrechnung
- Bewerbermanagement
Es kann Sinn machen, die Verarbeitungstätigkeiten in übergeordnete Gruppen einzuteilen:
- Buchhaltung
- Personal
- Marketing
- Kunden
- IT
Hierdurch wird das VVT übersichtlicher gestaltet. Es soll sich nicht zuletzt an Aufbau und Komplexität des Unternehmens orientieren und strukturiert sein.
Welche Angaben gehören zu den einzelnen Verarbeitungstätigkeiten?
Die (Mindest-)Pflichtinhalte eines VVT sind in der DSGVO abschließend geregelt. Dem Verantwortlichen ist es anheimgestellt, zur weiteren internen Strukturierung zusätzliche Angaben an adäquater Stelle einzubauen.
Vom Verantwortlichen fordert Art. 30 Abs. 1 S. 2 DSGVO die folgenden Angaben:
- Zwecke der Verarbeitung
- Kategorien betroffener Personen (z. B. Beschäftigte, Bewerber, Kunden, Patienten, Minderjährige)
- Kategorien personenbezogener Daten (z. B. Kontaktdaten, Adressdaten, Umsatzdaten), insbesondere, ob es besondere Kategorien sind (z. B. Gesundheitsdaten)
- Kategorien von Empfängern der personenbezogenen Daten (z. B. bei Lohn- und Gehaltsabrechnung: Banken, Sozialversicherungsträger, Finanzamt)
- Angabe des Drittlands oder internationaler Organisation bei Übermittlung ins Nicht-EU-Ausland, ggf. samt geeigneter Garantien eines gleichwertigen Datenschutzniveaus
- Löschfristen, auch unter Beachtung von Aufbewahrungspflichten
- Beschreibung der technischen und organisatorischen Maßnahmen (TOM) und/oder Verweis auf vorhandenes Sicherheitskonzept mit TOM
Besonders virulent geworden ist die Frage der Zulässigkeit von Drittlandtransfers vor dem Hintergrund der Schrems II-Entscheidung des EUGH, durch die das EU-US Privacy Shield (ein bilateraler Angemessenheitsbeschluss) wegen eines nicht ausreichenden Datenschutzniveaus in den USA kassiert wurde. Es kommt damit nicht mehr als geeignete Grundlage für Datentransfers in die USA in Betracht. Die Richter monierten primär die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern.
Bei den Löschfristen und TOM findet sich im Gesetz die Formulierung „wenn möglich“ (vgl. Art. 30 Abs. 1 lit. f) und g) sowie Abs. 2 lit. d)). Dies insinuiert eine gewisse Freiwilligkeit dahingehend, dass man etwa auf die Angaben verzichten könne, wenn dies zu aufwendig wäre. Der Vorbehalt bezweckt aber in erster Linie eine Begrenzung des Umfangs im Sinne von „wie viel“ und „wie genau“.
Hilfreich kann es sein, innerhalb des VVT auf bereits vorhandene Dokumente wie ein Datenschutzkonzept, eine Übersicht über die TOM (Sicherheitskonzept), eine Datenschutz-Folgenabschätzung oder ein Löschkonzept zu verweisen, in welchem bereits Informationen für das VVT enthalten sind.
Auftragsverarbeiter müssen demgegenüber nur die Kategorien von Verarbeitungen, die im Auftrag eines Verantwortlichen durchgeführt werden, aufführen (Art. 30 Abs. 2 DSGVO). Zudem gelten für ihre VVT keine Löschfristen.
In welcher Form und Sprache muss das VVT geführt werden?
Das VVT ist schriftlich zu führen. Dies kann auch in einem elektronischen Format, etwa einer Excel-Tabelle, erfolgen (Art. 30 Abs. 3 DSGVO). Betroffenen Personen muss nicht Einsicht in das VVT gewährt und es muss auch nicht öffentlich verfügbar gehalten werden. Der Aufsichtsbehörde muss das VVT jedoch auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO). Ihr obliegt dann das Wahlrecht, das VVT entweder in elektronisch oder in gedruckter Form anzufordern. Der Detaillierungsgrad des VVT ist nicht durch die DSGVO bestimmt. Es sollte der Aufsichtsbehörde aber „so einfach wie möglich“ eine erste Prüfung ermöglichen. Dafür empfiehlt es sich, die jeweiligen Informationen geordnet nach den Kategorien von Verarbeitungstätigkeiten bereitzuhalten. Das VVT sollte zudem in deutscher Sprache geführt werden. Andernfalls müsste das VVT für die Behörde auf deren Anforderung gemäß § 23 Abs. 1 und Abs. 2 Satz 1 VwVfG ins Deutsche übersetzt werden.
Wie oft muss das VVT aktualisiert und überprüft werden?
Das VVT muss regelmäßig gepflegt und aktuell gehalten werden. Wann immer eine neue Verarbeitungstätigkeit mit personenbezogenen Daten hinzukommt, muss auch das VVT aktualisiert werden. Zusätzlich sollte das VVT auch in regelmäßigen Abständen auf die Aktualität aller Einträge überprüft werden. Auch hierfür ist ein gutes DSMS hilfreich und sinnvoll.
Darüber hinaus empfiehlt die Datenschutzkonferenz, Änderungen in dem VVT mit einer Speicherfrist von einem Jahr nachverfolgbar zu machen, um der Rechenschaftspflicht aus der DSGVO nachzukommen. Dies ist vor allem dann wichtig, wenn es in der Zwischenzeit Änderungen und Wechsel des Verantwortlichen gab.
Warum ist ein VVT außerdem sinnvoll?
Das VVT kommt als probate Grundlage für Auskunftsrechte betroffener Personen in Betracht. Auch unterstützt es dabei, die Datenschutzerklärung etwa auf einer Website vollständig zu halten, indem abgeglichen werden kann, welche Verarbeitungsvorgänge existieren. So kann den Informationspflichten leichter nachgekommen werden.
Wie sieht ein Beispiel für eine Verarbeitungstätigkeit im VVT aus?
Im Folgenden soll anhand eines Beispiels des Bewerbungsmanagements eine übliche Verarbeitungstätigkeit im VVT dargestellt werden:
- Zweck: Personalbeschaffung (Finden und Auswahl passender Bewerber)
- Kategorien der verarbeiteten personenbezogenen Daten: Vorname, Nachname, Adressdaten, Kontaktdaten, Daten über Leistungen und Fähigkeiten, Bewerbungsunterlagen (Anschreiben, Lebenslauf, Zeugnisse)
- Kategorien der von der Datenverarbeitung betroffenen Personen: Bewerber (typisierende Angaben genügen, da keine konkreten Personen erfasst werden müssen)
- Kategorien von Empfängern: Personalabteilung, Betriebsrat
- Übermittlung an Drittland oder internationale Organisation: keine
- Löschfristen: bis zu 6 Monate nach Beendigung des Bewerbungsverfahrens oder 2 Jahre bei Einwilligung zur weiteren Speicherung im Bewerberdatenpool
- TOM: siehe Sicherheitskonzept
Checkliste – An alles gedacht?
- Bin ich Verantwortlicher oder Auftragsverarbeiter?
- Brauche ich ein VVT oder falle ich unter die Ausnahme?
- Nenne ich die Namen und Kontaktdaten aller erforderlichen Personen?
- Habe ich alle Verarbeitungstätigkeiten meines Unternehmens im VVT aufgeführt?
- Als Verantwortlicher: Gebe ich die Zwecke der Verarbeitung, die Kategorien betroffener Personen, Daten und Empfänger an? Gebe ich Löschfristen an? Verarbeite ich Daten der besonderen Kategorien (Art. 9 DSGVO)?
- Als Auftragsverarbeiter: Gebe ich die Kategorien von Verarbeitungen an?
- Übermittle ich Daten ins Nicht-EU-Ausland, etwa indem ich US-Dienstleister nutze, und führe das im VVT aus?
- Werden die TOM beschrieben und/oder auf ein Sicherheitskonzept verwiesen?
- Ist das VVT auch in Deutsch verfügbar und kann im Zweifel ausgedruckt werden?
- Aktualisiere und prüfe ich das VVT regelmäßig?
Wer sich unsicher ist, ob und wie man ein VVT erstellen muss, sollte im Zweifel professionelle Beratung in Anspruch nehmen. Wir können Sie mit unserem hauseigenen Musterverzeichnis unterstützen und Ihnen zu einem gelungenen Datenschutzmanagement verhelfen. Die IT- und Rechtsexperten der ISiCO Datenschutz GmbH weisen langjährige Erfahrung im Erstellen von VVTs auf. Unsere Mandanten kommen aus vielen verschiedenen Branchen zu uns – vertrauen Sie uns! Wir freuen uns auf eine erfolgreiche Zusammenarbeit mit Ihnen in allen Fragen des Datenschutzes!
-
Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS
Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
-
Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits.
-
Datenschutz und Digitalisierung: EU-Datenregulierung im Überblick
Datengetriebene Unternehmen stehen vor der Herausforderung, ihre Geschäftsmodelle nicht nur an technologische Veränderungen, sondern auch an datenschutzrechtliche Anforderungen anzupassen. Dazu gehört auch das Verständnis der verschiedenen EU-Rechtsakte zur Datenregulierung wie: Data Governance Act (DGA), Data Act (DA), Digital Services Act (DSA), Digital Markets Act (DMA), AI Act (AIA) und dem European Health Data Space (EHDS).