Verfahrensverzeichnis

 

Worum geht es?

Das Verfahrensverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten ist ein Herzstück der Datenschutzdokumentation. Es dient mehreren Zwecken: Einerseits umfasst dieses Verzeichnis alle Verarbeitungsabläufe personenbezogener Daten und schafft Transparenz für den Verantwortlichen. Andererseits beinhaltet es unterschiedliche gesetzliche Pflichtangaben und dient dazu, die Rechenschaftspflichten zu erfüllen. Also, wie gesetzliche Anforderungen konkret in einem bestimmten Ablauf (z.B. Umgang mit Bewerbungen) umgesetzt sind.

Die Rechtsgrundlage für nicht-öffentliche Stellen ist Art. 30 Datenschutz-Grundverordnung (DS-GVO) und für evangelische kirchliche Stellen § 31 im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Dem Verständnis halber sei noch erwähnt, dass der Begriff Verfahrensverzeichnis noch aus dem alten Bundesdatenschutzgesetz stammt und Verzeichnis der Verarbeitungstätigkeiten der aktuelle Begriff der DS-GVO ist. Heute verwendet man die Begriffe häufig deckungsgleich.

Wer muss ein Verfahrensverzeichnis führen?

Die Pflicht gilt für Verantwortliche (also z.B. Unternehmen und Soziale Einrichtungen) wenn sie mehr als 250 Personen beschäftigen. Damit müssten sich viele kleinere und mittlere Unternehmen nicht damit beschäftigen. Abweichend davon ist das Verfahrensverzeichnis jedoch zu führen, wenn sie Verarbeitungsvorgänge durchführen, die mit Risiken behaftet sind, regelmäßig stattfinden oder dabei Gesundheitsdaten oder Daten zu strafrechtlichen Verurteilungen verarbeiten. Im Ergebnis ist das Verfahrensverzeichnis für fast alle kleineren Unternehmen und Soziale Einrichtungen verpflichtend, da in der Regel immer Risiken vorhanden sind und sie Gesundheitsdaten im Personalbereich verarbeiten.

Was sind die Pflichtinhalte?

Ein Verfahrensverzeichnis nach DS-GVO muss enthalten:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Das Verfahrensverzeichnis nach DSG-EKD weicht minimal davon ab: Ergänzend ist die Verwendung von Profiling zu dokumentieren (§ 31 Abs. 1 Nr. 4 DSG-EKD).

Für Auftragsverarbeiter gilt ebenfalls die Pflicht ein Verfahrensverzeichnis zu führen. Die Pflichtinhalte sind reduziert:

  1. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
  2. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Worin besteht der Nutzen des Verfahrensverzeichnis?

Auch wenn viele ein Verfahrensverzeichnis als unnötige Bürokratie betrachten mögen, so bietet es erhebliche Vorteile. Wie oben beschrieben, schafft es Transparenz zu den Verarbeitungsabläufen. Nur wenn diese bekannt sind, können diese auch im Detail überprüft werden. Im Rahmen der Dokumentation der Verfahren bietet sich diese Detailprüfung an. Anhand der Inhalte können weiter zu regelnde Sachverhalte entdeckt werden. So hilft die Frage nach externen Beteiligten, Auftragsverarbeiter zu identifizieren, die vielleicht vorher noch unbekannt waren. Ist ein neuer Dienstleister identifiziert, so ist auch mit diesem der Abschluss einer Vereinbarung zur Auftragsverarbeitung möglich. Grundsätzlich ist das Verfahrensverzeichnis wertvolles Hilfsmittel, um die Rechenschaftspflichten zum korrekten Umgang mit Daten nachzuweisen.

Sie wissen nicht, wie Sie das Verfahrensverzeichnis erstellen oder wie Sie dabei vorgehen? Sprechen Sie uns gerne an!

Hilfreiche Links:

Verfasser: Julian Häcker, 23.04.2020