Zum Nachweis der Einhaltung der Datenschutz-Grundverordnung (DSGVO) muss jeder Verantwortliche gemäß Art. 30 Abs. 1 DSGVO ein sog. Verzeichnis von Verarbeitungstätigkeiten führen. In diesem Verzeichnis sind sämtliche Verarbeitungen zu dokumentieren, bei denen personenbezogene Daten verarbeitet werden.

Grundsätzlich trifft die Pflicht alle Verantwortlichen im Sinne des Datenschutzes. Hierzu zählen nicht nur Unternehmen, sondern auch Freiberufler, Schulen, Behörden, Vereine und sonstige Stellen bzw. Einrichtungen, die personenbezogene Daten selbst verarbeiten oder durch andere Stellen verarbeiten lassen.

Zur Veranschaulichung der Dokumentationspflicht wird diese anhand eines fiktiven Kleinunternehmens dargestellt, namentlich der „Datenschutz mit Augenmaß GmbH“, die rund 50 Mitarbeitende beschäftigt und sich auf die Entwicklung, den Vertrieb und Support einer Projektmanagement-Software spezialisiert hat.

Muss die „Datenschutz mit Augenmaß GmbH“ trotz ihrer Größe ein Verzeichnis von Verarbeitungstätigkeiten führen?

Grundsätzlich muss jedes Unternehmen, das personenbezogene Daten selbst verarbeitet oder durch andere Stellen verarbeiten lässt ein Verarbeitungsverzeichnis führen. Ausgenommen von der Pflicht sind nach Art. 30 Abs. 5 DSGVO jedoch Unternehmen mit weniger als 250 Mitarbeitenden. Sinn und Zweck dieser Ausnahmeregelung ist, es Kleinst-, kleine und mittlere Unternehmen nicht mit einem unangemessenen Bürokratieaufwand zu belasten. In der Praxis läuft die Ausnahme jedoch regelmäßig ins Leere, wie nachfolgend anhand unseres Beispielunternehmens deutlich wird.

Eigentlich würde die „Datenschutz mit Augenmaß GmbH“ unter die Ausnahmeregelung des Art. 30 Abs. 5 DSGVO fallen, da sie lediglich 50 Mitarbeitende beschäftigt und müsste damit kein Verarbeitungsverzeichnis führen.

Hat ein Unternehmen weniger als 250 Mitarbeitende greift die Ausnahmeregelung jedoch nicht, wenn das Unternehmen

  1. Datenverarbeitungen mit besonderen Datenschutzrisiken für Rechte und Freiheiten der betroffenen Personen durchführt oder
  2. personenbezogene Daten nicht nur gelegentlich, sondern regelmäßig verarbeitet oder
  3. besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (wie beispielsweise Gesundheitsdaten) oder personenbezogene Daten im Sinne des Art. 10 DSGVO (hierzu zähen Daten über strafrechtliche Verurteilungen und Straftaten) verarbeitet.

In der Regel verarbeiten nahezu alle Unternehmen, unabhängig ihrer Größe und ihres Geschäftsfeldes, personenbezogene Daten in zumindest einer der vorgenannten Formen. Bei der „Datenschutz mit Augenmaß GmbH“ sind sogar gleich alle drei Rückausnahmen einschlägig:

Zum einen verarbeitet das Unternehmen personenbezogene Daten ihrer Kunden zum Zwecke des Bonitätsscoring und führt damit Datenverarbeitungen mit besonderen Datenschutzrisiken für Rechte und Freiheiten der betroffenen Personen durch (Ziffer 1). Zudem erbringt das Unternehmen Support- und Fernwartungsleistungen an ihrer Software. Die Verarbeitung personenbezogener Daten gehört damit quasi zum Kerngeschäft des Unternehmens und erfolgt nicht bloß gelegentlich (Ziffer 2). Schließlich verarbeitet die „Datenschutz mit Augenmaß GmbH“ in der Personalabteilung regelmäßig auch Gesundheitsdaten ihrer Beschäftigten, beispielsweise im Rahmen des BEM-Verfahrens (Betriebliches Eingliederungsmanagement -Verfahren, Ziffer. 3).

Unabhängig ihrer Größe muss damit auch die „Datenschutz mit Augenmaß GmbH“ ein Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO führen. Bei der Erstellung und Pflege des Verzeichnisses muss das Unternehmen folgendes beachten:

Form und Mindestinhalt des Verarbeitungsverzeichnis

Hinsichtlich der Form und des (Mindest-)Inhaltes macht Art. 30 DSGVO klare Vorgaben. So ist das Verzeichnis gemäß Art. 30 Abs. 3 DSGVO schriftlich oder in elektronischer Form zu führen und muss sämtliche der in Art. 30 Abs. 1 Satz 2 lit. a bis g DSGVO genannten Angaben enthalten. Hierzu gehören insbesondere:

Name und Kontaktdaten des Unternehmens und des Datenschutzbeauftragten, sofern ein Datenschutzbeauftragter bestellt wurde

Damit die Aufsichtsbehörde den Verantwortlichen bzw. Datenschutzbeauftragten auf einfachen und bei Bedarf auf unterschiedlichen Wegen erreichen kann, sind neben der Anschrift auch eine E-Mail-Adresse sowie eine Telefonnummer anzugeben.

Zwecke der Datenverarbeitung

Damit die Aufsichtsbehörde im Falle einer Prüfung die Zulässigkeit der Datenverarbeitung und Angemessenheit der getroffenen Schutzmaßnahmen besser beurteilen kann, sind im Verarbeitungsverzeichnis die Zwecke zu nennen, zu denen die Daten verarbeitet werden. Dabei sollten die Datenverarbeitungszecke möglichst eindeutig und aussagekräftig formuliert werden.

Im Rahmen des Einstellungsverfahrens erhebt die „Datenschutz mit Augenmaß GmbH“ beispielsweise lohn- und gehaltsabrechnungsrelevante Daten aller neuen Mitarbeitenden, um diesen das arbeitsvertraglich vereinbarte Gehalt auszahlen zu können. Die personenbezogenen Daten werden hier zum Zwecke der ordnungsgemäßen Lohn- und Gehaltsabrechnung erhoben und verarbeitet. Weitere Zwecke der Datenverarbeitung können beispielsweise die Personalaktenführung, Arbeitszeiterfassung oder Kundendatenverwaltung sein.

Kategorien der personenbezogenen Daten

Zum Zwecke der ordnungsgemäßen Lohn- und Gehaltsabrechnung darf die „Datenschutz mit Augenmaß GmbH“ all jene personenbezogenen Daten verarbeiten, die zu Abrechnungszwecken benötigt werden. Dies sind beispielsweise: Personalstammdaten, wie Namen, Arbeitszeiten, Steuermerkmale, Lohngruppen und Bankverbindungsdaten der Mitarbeitenden. Im Verarbeitungsverzeichnis sind diese Daten bzw. die Datenkategorien sodann zu benennen.

Angaben zur Speicherdauer bzw. Löschfristen

In Bezug auf die einzelnen Datenkategorien ist zudem anzugeben, wie lange diese gespeichert bzw. wann sie gelöscht werden.

Nach dem Grundsatz der Speicherbegrenzung sind personenbezogene Daten grundsätzlich zu löschen, wenn sie für die Zwecke, für die sie erhoben worden sind, nicht mehr benötigt werden. Neben diesem Grundsatz sollten bei der Bestimmung der Löschfristen zudem etwaige gesetzliche Aufbewahrungsfristen (z.B. solche aus dem Handels- oder Steuerrecht) berücksichtigt und nach Möglichkeit konkret genannt werden.

Lohnabrechnungsrelevante Daten der Mitarbeiterin, Frau Müller, darf die „Datenschutz mit Augenmaß GmbH“ zumindest solange speichern und verarbeiten, wie sie verpflichtet ist, Gehalt an Frau Müller auszuzahlen, mithin zumindest für die Dauer des Beschäftigungsverhältnisses. Darüber hinaus kann das Unternehmen gesetzlich verpflichtet sein, bestimmte Unterlagen bzw. personenbezogenen Daten zu Frau Müller über das Beschäftigungsverhältnis hinaus aufzubewahren, beispielsweise weil sie steuerrechtliche Informationen enthalten, die gesetzlichen Aufbewahrungsfristen unterliegen.

Entsprechende gesetzliche Aufbewahrungspflichten sollten identifiziert und im Verarbeitungsverzeichnis bei der Nennung der Speicherdauer dokumentiert werden.

Kategorien der betroffenen Personen

Daneben sind die Kategorien der Personen, deren Daten verarbeitet werden (betroffene Personen) im Verarbeitungsverzeichnis anzugeben.

Bei der Verarbeitungstätigkeit Lohn- und Gehaltsabrechnung sind dies naturgemäß die Beschäftigten. Daneben verwaltet die „Datenschutz mit Augenmaß GmbH“ ihre Kundendaten in einem CRM (Customer-Relationship-Management) -System. Betroffene Personen sind bei der Verarbeitungstätigkeit „Kundendatenverwaltung“ folglich die Kunden und – sofern vorhanden bzw. im dem CRM-System gepflegt – auch deren Ansprechpartner.

Kategorien von Empfänger, einschließlich Datenempfängern im Drittland

In dem Verarbeitungsverzeichnis sind zudem die Kategorien der Empfänger zu nennen, an die personenbezogene Daten übermittelt bzw. denen gegenüber personenbezogene Daten offengelegt werden.

Die „Datenschutz mit Augenmaß GmbH“ hat für die Lohn- und Gehaltsabrechnung beispielsweise eine Steuerberaterkanzlei beauftragt und hostet ihr CRM-System auf den Servern eines US-Hosting-Dienstleisters. In Falle der Lohn- und Gehaltsabrechnung werden personenbezogene Daten der Mitarbeitenden damit an die Steuerberaterkanzlei weitergegeben, während die Daten der Kunden bzw. Ansprechpartner dem US-Dienstleister gegenüber offengelegt werden. Die Steuerberaterkanzlei und der Hosting-Dienstleister sind damit Datenempfänger, die im Verarbeitungsverzeichnis genannt werden müssen.

Übermittlungen in Länder außerhalb der EU bzw. des EWR (sog. Drittländer)

Sofern Datenempfänger ihren Sitz in Ländern außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraumes (EWR), also in einem sog. Drittland haben, ist auch dieser Umstand im Verarbeitungsverzeichnis zu erwähnen. Konkret anzugeben ist neben dem Datenempfänger (vgl. vorstehend) auch das Drittland, in dem dieser seinen Sitz hat, damit überprüft werden kann, ob in dem Drittland ein mit der EU vergleichbares Datenschutzniveau vorliegt.

Bei der Dokumentation der Verarbeitungstätigkeit „Kundendatenverwaltung“ muss die „Datenschutz mit Augenmaß GmbH“ den Hosting-Dienstleister folglich nicht nur als Datenempfänger aufführen, sondern auch angeben, dass personenbezogene Daten in den USA gehostet, mithin in die USA übermittelt werden. Zudem ist anzugeben, ob in den USA ein mit der EU vergleichbares Datenschutzniveau besteht. Falls dem nicht so ist, ist anzugeben, ob geeignete Garantien nach Art. 46 DSGVO getroffen wurden, um die Datenübermittlung und Verarbeitung in den USA abzusichern oder ob die Datenübermittlung auf eine Ausnahme nach Art. 49 DSGVO gestützt werden kann (Anmerkung: Um diesen  Betrag nicht zu überfrachten, wird auf weitere Ausführungen zur Frage der Zulässigkeit der Datenübermittlung in Drittländer, wie die USA, verzichtet.).

Beschreibung der getroffenen technischen und organisatorischen Maßnahmen

Schließlich sind die technischen und organisatorischen Maßnahmen, die Bezug auf die dokumentierte Verarbeitungstätigkeit getroffen wurden, allgemein zu beschreiben. Hierzu gehören Maßnahme, die in technischen und/oder organisatorischen Hinsicht getroffen wurden, um die personenbezogenen Daten vor unbefugten Zugriffen, Verlust, Zerstörung etc. zu schützen.

Unter technischen Maßnahmen sind alle Schutzmaßnahmen zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie etwa bauliche Maßnahmen in Form von Umzäunungen, Sicherungen von Türen und Fenstern, Alarmanlagen oder Maßnahmen die in Soft- und Hardware umgesetzt werden, wie etwa zugriffsgeschätzte Benutzerkonten, Passworterzwingung, Logging (Protokolldateien) oder biometrische Benutzeridentifikationen. Als organisatorische Maßnahmen sind solche Schutzmaßnahmen zu verstehen, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Beispiele hierfür sind interne Richtlinien oder Arbeitsanweisungen.

Als anschauliches Beispiel für die Dokumentation technischer und organisatorischer Maßnahmen eignet sich die Verarbeitungstätigkeit „Personalaktenführung“. Diese erfolgt bei der „Datenschutz mit Augenmaß GmbH“ klassisch in Papierform. Um die Personalakten vor unbefugten Zugriffen zu schützen, werden diese in dem Büro der Personalabteilung, in einem abschließbaren Aktenschrank aufbewahrt. Der Zutritt zum Personalbüro ist durch ein mechanisches Schloss gesichert. Schlüssel zum Büro sowie dem Personalaktenschrank besitzen nur die beiden Personalreferentinnen. Bei Abwesenheit der Personalreferentinnen wird das Büro nebst Personalaktenschrank verschlossen. Zudem wurde eine unternehmensinterne „Clean-Desk-Policy“ erlassen. Um die Personalakten zusätzlich vor Beschädigungen und Feuer zu schützen, verwendet das Unternehmen zur Aufbewahrung spezielle Feuerschutz-Stahlbüroschränke.

Zum Schutz der personenbezogenen Daten, die sich in den Personalakten befinden hat die „Datenschutz mit Augenmaß GmbH“ folglich sowohl technische als auch organisatorische Maßnahmen getroffen. Diese sind im Verarbeitungsverzeichnis bei der Verarbeitungstätigkeit „Personalaktenführung“ zu dokumentieren.

Verarbeitungsverzeichnis als Teil des Datenschutzmanagements

Während Art. 30 Abs. 1 Satz 2 lit. a bis g DSGVO Vorgaben im Hinblick auf den Mindestinhalt eines Verarbeitungsverzeichnisses macht, kann es unter Umständen sinnvoll sein, darüberhinausgehende zusätzliche Informationen in das Verzeichnis aufzunehmen. Dies ist insbesondere dann zu empfehlen, wenn das Verzeichnis als Teil des Datenschutzmanagements (auch) dazu dienen soll andere, sich aus der DSGVO ergebende Dokumentations- und Rechenschaftspflichten zu erfüllen.

Die „Datenschutz mit Augenmaß GmbH“ hat von dieser Möglichkeit Gebrauch gemacht und führt ihr Verarbeitungsverzeichnis als Teil eines umfassenden Datenschutzmanagementsystems. Hierfür erfasste das Unternehmen neben den Pflichtangaben aus Art. 30 Abs. 1 DSGVO weitere datenschutzrelevante Informationen zu den Verarbeitungstätigkeiten, wie beispielsweise Angaben zur Herkunft der Daten, zur Umsetzung der Informationspflichten nach Art. 13 ff. DSGVO und zu den Rechtsgrundlagen, auf die die jeweilige Datenverarbeitung gestützt wird. Auf Grundlage der Dokumentation kann das Unternehmen eine Risikobewertung vornehmen, die abhängig vom Ergebnis, für die Durchführung einer sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO genutzt werden kann. Daneben dokumentiert das Unternehmen in ihrem Datenschutzmanagementsystems nicht nur die technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten getroffen wurden, sondern auch Betroffenenanfragen und meldepflichtige Datenschutz-Vorfälle und führt eine Liste ihre Auftragsverarbeiter samt Auftragsverarbeitungsverträge.

Pflege und stetige Aktualisierung des Verarbeitungsverzeichnisses

Mit der Erstellung des Verarbeitungsverzeichnisses ist es jedoch nicht getan. Da sich Prozesse und Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden, im Laufe des Lebenszyklus eines Unternehmens stetig ändern, sollte das Verarbeitungsverzeichnis in regelmäßigen Abständen evaluiert und auf Aktualität geprüft werden. Zudem sollten unternehmensinterne Prozesse für die Meldung neuer Verarbeitungstätigkeiten und Systeme, mit denen personenbezogene Daten verarbeitet werden, definiert und implementiert werden. So kann gewährleistet werden, dass neue Verarbeitungstätigkeiten zeitnah auf Datenschutzkonformität geprüft und im Verarbeitungsverzeichnis dokumentiert werden können. Es empfiehlt sich insoweit unternehmensinterne Zuständigkeiten und Verantwortlichkeiten festzulegen und nach Möglichkeit auch technische Maßnahmen zu treffen, die ein schnelles und einfaches Bereitstellen aller für die Dokumentation relevanten Daten ermöglichen.

Die „Datenschutz mit Augenmaß GmbH“ hat eigens hierfür einen unternehmensinternen Datenschutzkoordinator benannt. Zu den zentralen Aufgaben des Datenschutzkoordinators zählt die Pflege und fortlaufende Aktualisierung des Verarbeitungsverzeichnisses. Daneben dient der Datenschutzkoordinator als interner Ansprechpartner bei datenschutzrechtlichen Fragen und als Schnittstelle zum externen Datenschutzbeauftragten.

Fazit

Um die Pflicht zum Führen eines Verarbeitungsverzeichnisses werden die wenigsten Unternehmen herumkommen. Daneben legt die DSGVO Unternehmen mitunter umfangreiche Nachweis- und Rechenschaftspflichten auf. So muss beispielsweise jedes Unternehmen, das personenbezogene Daten selbst verarbeiten oder durch andere Stellen verarbeiten lässt, sicherstellen und den Nachweis erbringen, dass geeignete technische und organisatorische Maßnahmen getroffen wurden, um den Datenschutz nach Maßgabe der DSGVO zu gewährleisten.

Es empfiehlt sich daher das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO als Teil eines gut strukturierten Datenschutzmanagementsystems zu implementieren. Ein solches kann den Verantwortlichen bei der Einhaltung, der sich aus der DSGVO ergebenden umfangreichen Nachweis,- Dokumentations- und Rechenschaftspflichten, unterstützen.

Als datenschutz nord Gruppe nutzen wir hierfür im Übrigen das hauseigene Datenschutzmanagementsystem privacy port, das auch als Lizenzmodel von externen Stellen erworben werden kann.