Die nachfolgenden Ausführungen sollen einen möglichen Ansatz skizzieren, inwieweit das sogenannte Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Datenschutz-Grundverordnung (DS-GVO) (im Folgenden Verarbeitungsverzeichnis) möglichst effizient angelegt und im Wirkbetrieb stetig aktuell gehalten werden kann.
Hintergrund
Als Einstieg in diesen Themenkomplex soll zunächst einmal kurz auf den Hintergrund des Verarbeitungsverzeichnisses – in Form eines FAQs – eingegangen werden.
- Was ist das Verarbeitungsverzeichnis beziehungsweise warum ist ein Verarbeitungsverzeichnis zu führen?
Das Verarbeitungsverzeichnis ist zum einen eine strukturierte Übersicht sämtlicher Verarbeitungsvorgänge in einem Unternehmen, bei denen personenbezogene Daten betroffen sind. Das Verarbeitungsverzeichnis soll Transparenz über sämtliche Datenverarbeitungen herstellen.
Zum anderen soll es sicherstellen, dass sich Aufsichtsbehörden jederzeit über den Umgang beziehungsweise die Verarbeitung personenbezogener Daten einen Überblick verschaffen können.
Darüber hinaus dient das Verarbeitungsverzeichnis als zentrale Unternehmensdokumentation. Neben durchgehender Transparenz bezüglich des Umgangs mit personenbezogenen Daten ist ein wesentlicher Kernansatz der DS-GVO die Erfüllung von Rechenschaftspflichten gemäß Art. 5 Abs. 2 DS-GVO. Mithilfe der Nachweis- und Dokumentationspflichten soll jede verantwortliche Stelle die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu jeder Zeit dokumentieren können.
- Was ist Inhalt des Verarbeitungsverzeichnisses?
Das Verarbeitungsverzeichnis umfasst sämtliche Verarbeitungstätigkeiten personenbezogener Daten. Die Anzahl der einzelnen Verarbeitungsvorgänge ist nicht limitiert und kann beliebig viele Vorgänge beziehungsweise Prozesse beinhalten. In den unterschiedlichen Vorgängen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Bei einigen (Pflicht-)Angaben der einzelnen Prozesse kann auf übergreifende Informationen – wie beispielsweise den Namen und die Kontaktdaten des Verantwortlichen – herangezogen werden. Ein Großteil der Angaben ist jedoch individuell für jede Verarbeitung zu dokumentieren.
Die folgenden Grundbestandteile sind gemäß Art. 30 Abs. 1 DS-GVO in dem Verarbeitungsverzeichnis abzubilden:
- Wer muss ein Verarbeitungsverzeichnis führen?
Grundsätzlich ist ein Verarbeitungsverzeichnis von jedem Unternehmen zu führen. Diese Pflicht trifft gemäß Art. 30 Abs. 1 DS-GVO jeden Verantwortlichen. Darüber hinaus hat gemäß Art. 30 Abs. 2 DS-GVO jeder Auftragsverarbeiter die von der Auftragsverarbeitung umfassten Datenverarbeitungen ebenfalls zu dokumentieren.
Erleichterungen bezüglich der mitunter recht umfangreichen Dokumentationspflichten bestehen nach Art. 30 Abs. 5 DS-GVO zumindest für „kleinere“ Unternehmen bis 250 Mitarbeiter. Diese sind von der Pflicht zur Führung frei gestellt, sofern die zur Rede stehenden Verarbeitungen kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen; die Datenverarbeitungen nicht regelmäßig – sondern nur gelegentlich erfolgen; von der Verarbeitung keine besonderen Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (z. B. Gesundheitsdaten) oder strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DS-GVO betreffen. Praktisch dürften allerdings kaum Unternehmen unter diese Ausnahmeregelungen fallen, da alleine schon die Verarbeitung von Beschäftigtendaten – beispielsweise im Rahmen der Lohnabrechnung – regelmäßig erfolgen dürfte.
- In welcher Form ist das Verarbeitungsverzeichnis zu führen?
Die Darstellung der Datenverarbeitungen sollte so konkret sein, dass sich die Aufsichtsbehörde einen guten Überblick – mit überschaubarem Aufwand – über die Arten von Daten, die getroffenen Sicherheitsmaßnahmen und etwaige Restrisiken machen kann. Im Sinne des Art. 30 Abs. 3 DS-GVO ist das Verzeichnis der Verarbeitungstätigkeiten schriftlich oder in elektronischer Form (Textform) zu führen.
- Welche Bußgelder können bei fehlendem oder unvollständigem Verarbeitungsverzeichnis anfallen?
Sofern das Verzeichnis der Verarbeitungstätigkeiten nicht vorliegt oder nur in Teilen – also unvollständig – erstellt wurde, drohen empfindliche Bußgelder. Diese können sich nach Art. 83 Abs. 4a DS-GVO im Rahmen von bis zu 10 Mio. Euro oder bis zu 2 % des Jahresumsatzes bewegen. Sollte ein Verstoß gegen die Rechenschaftspflicht gem. Art. 5 Abs. 2 festgestellt werden, können die Bußgelder noch deutlich höher ausfallen.
Herangehensweise zur Erstellung eines Verarbeitungsverzeichnisses
Für die Anlage und die (nachgelagerte) regelmäßige Pflege eines Verarbeitungsverzeichnisses haben sich in der Praxis vornehmlich zwei Ansätze etabliert.
Zunächst besteht die Möglichkeit die Verarbeitungen aus dem Blickwinkel der eingesetzten IT-Systeme zu betrachten und zu dokumentieren. Dies bedeutet, dass die obenstehenden Fragen auf die Verarbeitungen in den einzelnen Systemen heruntergebrochen werden. Ein Vorteil dieser Herangehensweise ist – bei Tausch eines Systems durch Erneuerung oder Ähnliches – das Verfahrensverzeichnis nur in diesem Bereich anpassen zu müssen. Nachteilig hierbei ist jedoch, dass sich allein am System in der Regel nicht der Zweck und damit die Rechtmäßigkeit der Verarbeitung beurteilen lässt.
Der zweite Ansatz, welcher sich – aus unserer Sicht – als effizientere Methode bei Betrachtung des kompletten Lifecycles (initiales Aufsetzen, dauerhafte Pflege des Verzeichnisses) kennzeichnet, nähert sich bei der Erstellung des Verarbeitungsverzeichnisses über die bestehenden Geschäftsprozesse eines Unternehmens. In der Regel sind unternehmerische Prozesse (wie beispielsweise Produktproduktionsprozesse, Auslieferungsprozesse, Customer Journey im Dienstleistungssektor oder Ähnliches), die der Wertschöpfung dienen, im Unternehmen stark verankert. Diese Prozesse müssen zum einen nicht „neu“ erfunden werden, da diese die eigentlichen Verarbeitungen in Form gelebter Prozesse widerspiegeln, zum anderen umfassen diese Prozesse auch Verarbeitungen, die über mehrere Systeme hinweg übergreifend ausgeführt werden. Gerade in größeren Unternehmen ist es nicht unüblich, dass bestimmte Datenverarbeitungen, wie beispielsweise die Kundenanlage bei Vertragsabschluss, in unterschiedlichen Systemen durchgeführt werden.
Ein weiterer Vorteil des prozessorientierten Ansatzes ist, dass im Rahmen der (initialen) Bestandsaufnahme die Informationen direkt bei den Verantwortlichen Fachbereichen eingeholt werden können. Gerade in größeren Organisationen haben diese im Gegensatz zu Administratoren oder IT-System-Ownern bestimmter IT-Systeme deutlich weitergehende Kenntnisse über die eigentlichen Verarbeitungsvorgänge im Ganzen. Durch die prozessuale Anbindung und eine Einbindung in ein bestehendes Prozess-Framework kann durch einen regelmäßigen Review-Turnus die Aktualität der Prozesse an sich und auch die der relevanten Angaben für das Verarbeitungsverzeichnis sichergestellt werden. Den Dokumentations- und Rechenschaftsverpflichtungen (insb. aus Art. 5 Abs. 2 DS-GVO) kann so in sehr hohem Maße nachgekommen werden.
Vorbereitende Maßnahmen für die Anlage eines Verarbeitungsverzeichnisses
Da meistens nicht alle erforderlichen Informationen – die im Rahmen des Verarbeitungsverzeichnisses bereitzustellen sind – von einer einzigen Stelle im Unternehmen geliefert werden können, sollten für den erfolgreichen Start der Bestandsaufnahme zunächst einmal sämtliche beteiligte Stakeholder vollumfänglich abgeholt und entsprechend individuell gebrieft werden.
Im Regelfall sind dies:
- Das Prozessmanagement, beziehungsweise bei dezentral organisierten Einheiten die Mitarbeiter, die sich mit der Prozessmodellierung
und der Prozesspflege auf Fachbereichsebene beschäftigen. Modellierte und dokumentierte Prozesse bilden einen nicht zu unterschätzenden Vorteil, um den Nachweis-, Dokumentations-, und Transparenzanforderungen der Datenschutzgrundverordnung gerecht zu werden. Neben den Abbildungen der eigentlichen Geschäftstätigkeiten, die durch die Prozesse im Regelfall beschrieben werden, werden diese im Zielbild noch mit den erforderlichen Informationen für das Verarbeitungsverzeichnis verknüpft. Die Einbindung des Prozessmanagements zu einem sehr frühen Zeitpunkt ist unerlässlich, um gegebenenfalls Lücken in der Prozesslandschaft schließen, oder nicht aktuelle Prozesse identifizieren zu können. - Die Fachbereiche, die die Verarbeitungen durchführen, sollten zumindest auch direkt zu Beginn dahingehend (informatorisch) vorbereitet werden, dass ihre Mithilfe bei der Informationszusammenstellung erforderlich ist. Die eigentliche Erfassung erfolgt nachgelagert.
- Die IT beziehungsweise die IT Security – für Fragen zu Systemen, eingesetzten Dienstleistern und insbesondere zu ergriffenen technischen und organisatorischen Maßnahmen auf Systemebene – sollten ebenfalls direkt zum Start eingebunden werden. Sicherheitsrelevante Fragestellungen können vertieft nur in diesem Bereich aufgeklärt werden.
- Der Einkauf bei sämtlichen Fragen zu den eingesetzten Dienstleistern in den verschiedenen Prozessen, den Orten der Datenverarbeitung – wichtig für die Angabe ob Verarbeitungen in einem Drittland erfolgen, der vertraglichen Anbindung der Dienstleister und erfolgten Überzeugungsprüfungen bei den eingesetzten Vendoren.
- Die Klammer um die diversen Beteiligten bildet der Datenschutzbeauftragte, beziehungsweise die Datenschutzabteilung. Diese hat bei der Erstellung des Verarbeitungsverzeichnisses die exponierte Stellung als zum einen ausführendes Organ und zum anderen auch als permanente Unterstützung der Stakeholder, damit diese die angeforderten Informationen in ausreichender Güte beibringen können.
Bestandsaufnahme der Prozesse für das Verarbeitungsverzeichnis
Zum eigentlichen Vorgehen sollte zunächst die Vollständigkeit aller bestehenden Prozesse im Unternehmen mit dem Prozessmanagement abgestimmt werden. Im Idealfall sind sämtliche Prozesse (in denen personenbezogene Daten verarbeitet werden) bereits dokumentiert und werden zudem auch aktuell gehalten. Sofern Lücken festgestellt werden, sollten diese vom Prozessmanagement in Zusammenarbeit mit den jeweiligen Fachbereichen geschlossen werden. Prozessual und auch im Nachgang für die Darstellung empfiehlt sich – unserer Erfahrung nach – eine Aufteilung der Prozesse in Kernprozesse und Supportprozesse.
Kernprozesse umfassen alle Tätigkeiten, die der Wertschöpfung des Unternehmens zugutekommen. Supportprozesse dienen nur mittelbar der eigentlichen Wertschöpfung und bieten keinen direkten Kundennutzen. Beispielhaft sind hier Verarbeitungen aus dem Personalbereich oder der Buchhaltung zu nennen.
Hinzukommen können zudem noch Management-Prozesse, bei denen personenbezogene Daten unter Umständen im Rahmen der Steuerungsprozesse – zum Beispiel im Bereich des Qualitäts- und des Risikomanagements – verarbeitet werden.
Sobald die Basis aller erforderlicher Prozesse besteht und die Aktualität gewährleistet ist, kann mit der eigentlichen Bestandsaufnahme in den Fachbereichen begonnen werden.
Um die Qualität der Abfrageergebnisse, die zeitliche und personelle Belastung bei den involvierten Fachbereichen und die Einheitlichkeit der Rückmeldungen – bezugnehmend auf verarbeitete Datenkategorien, Betroffenengruppen, Kategorien von Empfängern und Verarbeitungen in Drittländern – herzustellen, empfiehlt es sich die Bestandsaufnahme in einem vorgefertigten Abfragetemplate durchzuführen. Hier können – durch einen Verzicht auf Freitextfelder – Antwortmöglichkeiten vordefiniert werden, durch die der Fachbereich (der jeweilige Ansprechpartner) mit verhältnismäßig geringem Aufwand die erforderlichen Zusatzangaben für das Verzeichnis beibringt. Sofern Dienstleister in den Verarbeitungen durch den Fachbereich involviert und beauftragt wurden, kann an dieser Stelle – gegebenenfalls mit einer Schleife über den Einkauf – festgestellt werden, wie der Dienstleister vertraglich angebunden worden ist, ob eine Überzeugungsbildung stattgefunden hat und ob eine Verarbeitung in einem Drittland durchgeführt wird. Nach einer datenschutzrechtlichen Plausibilitätsprüfung der Angaben, können diese vom Prozessmanagement zum bestehenden Prozess beigefügt und somit auch dokumentiert werden.
In der praktischen Umsetzung, insbesondere zur Erhöhung der Akzeptanz, hat es sich bewährt, die Fachbereiche hier sehr eng zu begleiten und vorzubereiten. Kickoff-Veranstaltungen, in denen Leitfäden und Ausfüllhinweise für das Bestandsaufnahmetemplate ausgegeben werden, eignen sich hier genauso wie geführte Webinare, in denen zusammen ein Verarbeitungstemplate befüllt wird und Fragen durch die Fachbereiche direkt adressiert werden können. Wenn möglich sollte eine dauerhafte Ansprechbarkeit im Abfragezeitraum durch den Datenschutz sichergestellt werden.
Beispielhafte Bestandsaufnahme im Fachbereich:
Korrespondierend zu den Abfragen und dem Vorgehen in Fachbereichen können die Abfragen bei den IT-Verantwortlichen bezugnehmend auf die eingesetzten Systeme initiiert werden. Hierbei geht es insbesondere darum, getroffene technische und organisatorische Maßnahmen zu dokumentieren und gegebenenfalls weitere Dienstleister zu identifizieren, die – im Rahmen des IT-Supports oder ähnlichem – Zugriff auf personenbezogene Daten erhalten können. Die vertragliche Anbindung ist, gegebenenfalls in Abstimmung mit dem Einkauf, in diesem Fall zu überprüfen und auch zu dokumentieren.
Zusammenführung der erhobenen Informationen für das Verarbeitungsverzeichnis
Sobald alle relevanten Informationen vorliegen und überprüft worden sind, können die jeweiligen prozessualen Verarbeitungsdarstellungen um die Angaben für das Verarbeitungsverzeichnis ergänzt werden.
Diese „Zusammenführung“ hat den Vorteil, dass die Informationen sehr eng mit den eigentlichen Verarbeitungen verschmolzen werden. Sollten sich Rahmenparameter der Verarbeitungsvorgänge ändern, wie eine Einbindung neuer Dienstleister, eine Erweiterung oder Reduzierung der Verarbeitung personenbezogener Daten – durch Fokussierung auf bestimmte Betroffenengruppen zum Beispiel – besteht die Möglichkeit diese Veränderung im dokumentierten Prozess und gleichermaßen in den datenschutzrechtlichen Pflichtangaben glatt zu ziehen.
Durch eine regelmäßige Überprüfung der Geschäftsprozesse kann darüber hinaus eine stete Aktualität der Prozesse und der Verarbeitungstätigkeiten gewährleistet werden.
Für eine gute Handhabung empfiehlt es sich die Pflichtangaben zu den Prozessen über einen Export in einem Frontend darzustellen. So können sich Behörden bei anstehenden Prüfungen schnell einen kurzen Überblick über die Datenverarbeitungen verschaffen. Bei Bedarf kann jedoch jederzeit tiefer in die eigentliche Verarbeitung eingestiegen werden.
Zusammenfassung
Nach unserer Ansicht stellt die oben beschriebene Vorgehensweise einen sehr effizienten Weg dar, das Verarbeitungsverzeichnis anzulegen und insbesondere auch aktuell zu halten. Sicherlich gestaltet sich der initiale Start ein wenig aufwändiger, jedoch zahlt sich dieser im Regelbetrieb relativ zeitnah aus. Mit einem überschaubaren Aufwand bei der Prozesspflege können die Verarbeitungen stets aktuell und datenschutzkonform gehalten werden. Eine gute Dokumentation zahlt nicht zuletzt auf die Rechenschafts-, Transparenz-, und Dokumentationsverpflichtungen der Datenschutzgrundverordnung ein, sondern bietet auch operative Mehrwerte – nicht nur für den Datenschutzbeauftragten. Erfahrungsgemäß profitieren Fachabteilungen, die IT, der Einkauf und nicht zuletzt das Gesamt-Budget davon, wenn es eine einheitliche und konsistente Datenlage gibt.
Sollten Sie Fragen, zur Erstellung und zur Pflege eines Verarbeitungsverzeichnisses haben, oder Unterstützung bei der Etablierung eines Prozesses zur Stärkung der Rechenschafts- und Dokumentationsverpflichtungen der DS-GVO benötigen, melden Sie gerne bei uns. Wir stehen Ihnen mit Rat und Tat jederzeit gern zur Seite.
Hören Sie auch gerne in unsere Podcast-Folge zum Verarbeitungsverzeichnis rein.
Zum Autor:
Stephan Kratzmann studierte Rechtswissenschaft und Wirtschaftsrecht. Seit 2014 ist er bei der migosens GmbH als Berater für Datenschutz tätig. Sein Schwerpunkt liegt insbesondere im Bereich der Projektberatung im Telekommunikationsumfeld. Zu seinen Aufgaben gehören u. a. die Sicherstellung des datenschutzkonformen Umgangs mit Bestands- und Verkehrsdaten in diversen Projekten, die Unterstützung bei der Gewährleistung von Betroffenenrechten und die prozessuale Abbildung des Verzeichnisses von Verarbeitungstätigkeiten.