Vorwort
Es geht weiter mit dem zweiten Teil unserer Selbsthilfeserie “Wie kriegen wir die Seiten voll?”.
Ziel der Serie ist es über das bloße Teilen von Informationen hinaus zu unterstützen, indem wir Ihnen auch das Werkzeug für die praktische Umsetzung datenschutzrechtlicher Verpflichtungen zur Verfügung stellen. Wissensbibliotheken zum Datenschutz gibt es wirklich schon genug. Auf unseren Social Media Kanälen wird jede Woche ein neuer Teil gepostet.
Teil 2 Verzeichnis der Verarbeitungstätigkeiten
Bevor es losgeht, ein Disclaimer: Dieser Text kann eine Rechtsberatung nicht ersetzen. Es handelt sich um einen Vorschlag, wie man bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten vorgehen könnte. Auslassungen, Verkürzungen und Vereinfachungen sind beabsichtigt. Bei Unsicherheiten empfehle ich ein Gespräch mit einem Rechtsanwalt oder Datenschutzbeauftragten.
Vereine, Unternehmen, Kindertagesstätten, Rechtsanwaltskanzleien und Behörden (und viele andere) haben eines gemeinsam: Sie sind Verantwortliche im Sinne der DSGVO, denn sie verarbeiten personenbezogene Daten und bestimmen dabei, für welchen Zweck und mit welchen Mitteln das geschieht. Die allermeisten Verantwortlichen müssen ein Verzeichnis der Verarbeitungstätigkeiten oder englisch Record of Processing Activities, kurz ROPA (im Folgenden: VVT) führen. Dabei handelt es sich um eine Sammlung aller Tätigkeiten im Unternehmen (oder eben im Verein oder in der Behörde), im Rahmen derer personenbezogene Daten verarbeitet werden. So entsteht eine abschließende Übersicht über die datenschutzrechtlich relevanten Prozesse.
Zwar kann die Erstellung und Pflege eines VVT je nach Unternehmensgröße ziemlich aufwändig sein, aber es schafft Klarheit und Struktur, erleichtert die Beantwortung von Betroffenenanfragen und dient außerdem der Erfüllung der datenschutzrechtlichen Rechenschaftspflicht.
Nicht zuletzt ist es auf Anfrage der Datenschutzbehörde vorzulegen. In dieser Situation ist man froh, wenn man eines hat.
Die Form ist frei: Man kann das Verzeichnis als Tabelle in Excel führen oder ein Word-Dokument anlegen, es gibt aber auch entsprechende Software, die vor allem in größeren Unternehmen nach meiner Erfahrung eine große Hilfe darstellt.
Wer zum ersten Mal mit dieser Aufgabe konfrontiert wird, fühlt sich schnell überfordert – das ging mir auch so. Je größer das Unternehmen, umso länger wird es dauern. Wichtig ist, dass man anfängt. Fertig wird es ohnehin nie, denn wie das Unternehmen entwickelt sich auch das VVT stetig weiter.
Wir gehen strukturiert vor:
- Was muss ins VVT?
- Was sollte darüber hinaus rein?
- Wie bauen wir es auf?
- Erfassen der Verarbeitungstätigkeiten im Unternehmen
- Übertragung der Informationen
- Pflege des VVT
1. Was muss ins VVT?
Wer nicht weiß, wo er hinwill, weiß nicht, wo er anfangen soll. Ziel ist ein Verzeichnis, das alles enthält, was die DSGVO in Art. 30 Abs. 1 von dem Verantwortlichen (also dem Unternehmen) verlangt:
- Name und Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten, falls vorhanden
Da hier für jede Verarbeitungstätigkeit dieselben Daten anzugeben sind, kann man diese Informationen „vor die Klammer ziehen“ und z.B. auf einem Deckblatt aufführen. - Zwecke der Verarbeitung
Jede Verarbeitung personenbezogener Daten darf nur zu einem bestimmten Zweck erfolgen. Dieser Zweck ist jeweils anzugeben. Für die Tätigkeit „Bewerbermanagement“ könnte das z.B. „Durchführung von Bewerbungsverfahren“ sein. - Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
Beschäftigte, Kunden, Interessenten, usw. sind Kategorien betroffener Personen. Beispiele für Kategorien personenbezogener Daten sind Name, E-Mailadresse, IBAN, etc. Es gibt auch sog. besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), zu denen z.B. solche Daten gehören, aus denen religiöse Überzeugungen hervorgehen, oder Gesundheitsdaten. - Kategorien von Empfängern der Daten
Wer hat die Daten bereits erhalten und wer erhält sie in Zukunft? Anzugeben sind sowohl interne (z.B. zuständige Abteilung), als auch externe Empfänger (z.B. Geschäftspartner, Auftragsverarbeiter) - Ggfs. Übermittlungen an ein Drittland oder eine internationale Organisation
Drittland ist jedes Land außerhalb der EU. Das ist relevant, da die EU – insbesondere dank der DSGVO – ein besonders hohes Datenschutzniveau hat. Falls für die einzelne Verarbeitungstätigkeit nicht zutreffend, streichen. Falls zutreffend, wird es etwas kompliziert, daher nur der Vollständigkeit halber und für Fortgeschrittene: Es ist das Drittland bzw. die internationale Organisation jeweils anzugeben und außerdem die geeigneten Garantien, die zur Absicherung der Datentransfers erforderlich sind, wenn es keinen Angemessenheitsbeschluss der Kommission, keine SCC oder BCR und keine Einzelfallausnahme gibt. Puh. Da sieht man, warum das Datenschutzniveau in der EU so hoch ist. - Löschfristen
Wie lange werden die Daten aufbewahrt, wann werden sie gelöscht? Grundsätzlich dann, wenn der Zweck erreicht wurde, den man mit ihrer Verarbeitung verfolgt hat. Hat z.B. ein Kunde gekündigt, benötigt man seine personenbezogenen Daten nicht mehr, die man zur Erfüllung des Vertrags verarbeitet hatte. Dennoch kann aufgrund gesetzlicher, insbesondere steuer- und handelsrechtlicher Vorschriften eine Speicherung über das Vertragsende hinaus eine Pflicht zur Speicherung von Daten bestehen. Hier würde auch ein Löschkonzept helfen (bei Interesse bitte Google fragen). - TOM
Schließlich müssen die technischen und organisatorischen Maßnahmen (TOM) allgemein beschrieben werden. Am besten fügt man die TOM als Anlage zum VVT bei und verweist an dieser Stelle auf diese Anlage
2. Was sollte darüber hinaus rein?
Mit den unter 1. genannten Informationen sind die Voraussetzungen von Art. 30 Abs. 1 DSGVO an ein VVT erfüllt. Allerdings kann es sinnvoll sein, bestimmte Dinge zusätzlich aufzunehmen. Ein paar Beispiele:
- Laufende Nummer der Tätigkeit
Es bietet sich an, jeder Verarbeitungstätigkeit eine Nummer zuzuweisen. Das macht es übersichtlicher. - Das Datum von 2 Tagen: Einführung der Verarbeitunsgtätigkeit und letzte Bearbeitung
So kann man dokumentieren, wann Änderungen vorgenommen worden sind. - Beschreibung der Tätigkeit
Wenn man nicht hineinschreibt, was man im Rahmen einer bestimmten Verarbeitungstätigkeit tatsächlich macht, fällt es insbesondere Außenstehenden wie einem externen Datenschutzbeauftragten oder einer Datenschutzbehörde schwer, das VVT nachzuvollziehen und zu prüfen. Was passiert z.B. bei Durchführung der Verarbeitungstätigkeit mit dem Titel „Marketing“? Werden Lokalzeitungen mit der Veröffentlichung von Anzeigen beauftragt, oder schreibt man potenzielle Kunden per E-Mail an? Da eine werbliche Kontaktaufnahme ohne Einwilligung der Angeschriebenen nicht in Ordnung ist, müsste dann nämlich geprüft werden, ob eine solche Einwilligung vorliegt und dokumentiert ist. - Zuständige Fachabteilung
Wer eine Frage hat, kann sich direkt an diejenigen wenden, die sich auskennen. Sehr praktisch. - Rechtsgrundlagen
Personenbezogene Daten dürfen nur verarbeitet werden, wenn man sich auf eine der Rechtsgrundlagen stützen kann, die in Art. 6 Abs. 1 DSGVO genannt sind. Zur Erfüllung der bereits angesprochenen Rechenschaftspflichten trägt es bei, wenn man zu den Verarbeitungstätigkeiten jeweils schreibt, aufgrund welcher Rechtsgrundlage die Verarbeitung erfolgt. - Datenschutzfolgenabschätzung (DSFA)
Zu erklären, was das ist, würde den Rahmen dieses Beitrags sprengen. Bei Interesse bitte googlen. Nur so viel: Es macht Sinn, Informationen zur DSFA dort vorzuhalten, wo die Verarbeitungstätigkeit dokumentiert ist, deretwegen man die DSFA durchführen musste. Also: Braucht es eine? Wenn nein, warum nicht? Wenn ja, Verweis auf eine Anlage
3. Wie bauen wir das VVT auf?
Nun wissen wir, was wir hineinschreiben wollen/müssen. Überlegen wir uns als nächstes einen sinnvollen Aufbau.
Oder wir orientieren uns an einem Muster, z.B. eines der unter den folgenden Links verfügbaren.
- Muster der Datenschutzkonferenz: https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_verantwortliche.pdf
- Muster des Bayerischen Landesamtes für Datenschutzaufsicht: https://www.lda.bayern.de/de/muster.html
Kleinere Unternehmen mit relativ wenigen Verarbeitungstätigkeiten fahren auch mit einer simplen Tabelle (z.B. Excel) häufig ganz gut. Hier kann man die Tätigkeiten einfach (vertikal) auflisten und die notwendigen Informationen jeweils in entsprechenden Spalten (horizontal) einfügen. Die Muster des Bayerischen Landesamtes für Datenschutzaufsicht sind so gestaltet.
4. Erfassen der Verarbeitungstätigkeiten im Unternehmen
Nun beginnt der Teil, der Spaß macht: Es sind Gespräche mit allen Fachabteilungen im Unternehmen zu führen, um herauszufinden, was sie im Zusammenhang mit personenbezogenen Daten tun. Personalmanagement, IT, Vertrieb, etc. – sie alle verarbeiten diese Daten und sämtliche Tätigkeiten sind in das VVT aufzunehmen.
5. Übertragung der Informationen in das VVT
Schließlich sind die in Zusammenarbeit mit den Kollegen gewonnenen Erkenntnisse in die gewünschte Form zu bringen.
6. Pflege des VVT
Bei zu vielen Unternehmen ist das „Erstellungsdatum“ des VVT gleichzeitig das Datum der letzten Änderung am Dokument. Wenn es „fertig“ ist, wird es vergessen. Das ist einerseits nachvollziehbar, weil man froh sein kann, ein Mammutprojekt wie der Erstellung eines VVT abgeschlossen zu haben. Andererseits ist es eine enorme Verschwendung. Wenn man es nicht pflegt, kann man nach ein paar Jahren von vorne anfangen. Dann haben sich Prozesse weiterentwickelt, es gab Personalwechsel, neue Tools wurden eingeführt. Das Dokument bildet dann nicht mehr das Leben im Unternehmen ab und ist nur noch Anhaltspunkt für einen Neustart. Wieder muss jede Fachabteilung kontaktiert werden, etc. Diesen enormen Aufwand spart man sich, wenn man am Ball bleibt.
Es bietet sich z.B. an, jährlich eine Mail an die zuständigen Fachabteilungen zu schicken mit der Frage, ob sich Änderungen in ihrem Arbeitsalltag ergeben haben. Die Antworten kann man dann ins VVT einpflegen. Anpassungen sind schnell vorgenommen, eine erneute Aufnahme aller Verarbeitungstätigkeiten nicht. Dieser Text macht das hoffentlich deutlich.
Alle Beiträge der Reihe:
Teil 1 Datenschutzerklärung
Teil 2 Verzeichnis der Verarbeitungstätigkeiten (VVT)
Teil 3 Videoüberwachung
Sonderbeitrag 1: KI-generierte Datenschutzunterlagen
Teil 4 Vorgehen bei Datenpannen
Teil 5 Einwilligung bietet keine ultimative Sicherheit
Teil 6 Cookie-Banner
Teil 7 Auftragsverarbeitungsvertrag (AVV)
Teil 8 Vorgehen bei Betroffenenanfragen
Teil 9 Datenschutzbeauftragter (DSB)