Verzeichnis der Verarbeitungstätigkeiten: Warum es fast jeder braucht

Die Erstellung eines Verfahrensverzeichnisses ist gar nicht so aufwendig und bringt viele Vorteile

So gut wie jede Organisation muss laut EU-Datenschutzgrundverordnung (Art. 30 DS-GVO) ein Verzeichnis der Verarbeitungstätigkeiten erstellen und laufend aktualisieren. Auch die Kanzleien sind von dieser Pflicht betroffen. Deshalb möchte ich Ihnen in meinem heutigen Blog-Beitrag kurz und knapp die wichtigsten Informationen rund um das Verzeichnis der Verarbeitungstätigkeiten – das Herzstück der Datenschutzdokumentation – zur Verfügung stellen.

Überblick: Verzeichnis der Verarbeitungstätigkeiten Art. 30 DS-GVO

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Sammlung der Verarbeitungen, aus welchem hervorgeht, in welchen Prozessen personenbezogene Daten in der Kanzlei verarbeitet werden. Aufgrund der Unterschiede bei den eingesetzten Verfahren, besteht das Verzeichnis in der Praxis oft aus einer Reihe von Einzelbeiträgen. Solch ein Verfahrensverzeichnis stellt somit die Summe der einzelnen Verfahrensbeschreibungen dar. Es kann sowohl schriftlich als auch elektronisch erfasst werden.

Wann muss eine Organisation (Kanzlei) ein Verzeichnis der Verarbeitungstätigkeiten anfertigen?

Aus Art. 30 Abs. 5 DS-GVO geht hervor, dass jede Organisation, die weniger als 250 Mitarbeiter beschäftigt, nicht verpflichtet ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen – es sei denn, die Kanzlei führt Verarbeitungen personenbezogener Daten durch:

1. die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen)
2. die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Mandanten- oder Beschäftigtendaten)
3. die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen

Von diesen drei Kriterien muss lediglich eines erfüllt sein – und schon greift die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Wenn Sie nun in Ihrer Kanzlei Prozesse wie Rechnungsstellung, Finanzbuchhaltung, Lohnbuchhaltung, Einkommensteuererklärung usw. betrachten, sind dies zum einen regelmäßig stattfindende Prozesse und zum anderen werden in ihnen Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (z.B. Religionsdaten wegen der Kirchensteuer) verarbeitet. Das heißt also – Sie sind verpflichtet, in Ihrer Kanzlei für gewisse Prozesse ein Verzeichnis anzulegen.

Warum ist es wichtig, ein Verzeichnis der Verarbeitungstätigkeiten zu führen?

Dafür gibt es drei Gründe: Erstens spielt das Verzeichnis der Verarbeitungstätigkeiten eine wesentliche Rolle dabei, datenschutzrechtliche Vorgaben überhaupt einhalten zu können. Denn nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherstellen zu können. Zweitens ist das Verzeichnis der Verarbeitungstätigkeiten auch deshalb wichtig, weil die DS-GVO das Führen eines solchen in der Regel von Ihnen verlangt. Sollte kein Verzeichnis vorhanden sein, kann die Aufsichtsbehörde laut Art.83 Abs. 4 DS-GVO hierfür ein Bußgeld verhängen. Und drittens ist das Verzeichnis der Verarbeitungstätigkeiten Grundlage für eine Prüfung durch die Aufsichtsbehörde.

Welche Informationen müssen in einem Verzeichnis der Verarbeitungstätigkeiten erfasst werden?

Art. 30 Abs. 1 DS-GVO macht den Kanzleien eine genaue Vorgabe, welche Informationen in einem Verzeichnis vorhanden sein müssen:

1. Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen
2. Name und Kontaktdaten eines Datenschutzbeauftragten (falls vorhanden)
3. die Zwecke der Verarbeitung
4. eine Beschreibung der Kategorien betroffener Personen
5. eine Beschreibung der Kategorien personenbezogener Daten
6. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
7. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
8. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
9. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Auf den ersten Blick erweckt die Vielzahl dieser Punkte den Eindruck, dass die Erstellung eines solchen Verzeichnisses mit sehr viel Aufwand verbunden sein muss. Das ist jedoch nicht der Fall! Denn für die meisten Kanzleien handelt sich dabei um geläufige Geschäftsprozesse, die rasch und einfach in einem Verarbeitungsverzeichnis abgebildet werden können.

Wer ist für das Führen eines Verzeichnisses von Verarbeitungstätigkeiten verantwortlich?

In erster Linie ist die Geschäftsführung der Kanzlei verpflichtet, ein Verarbeitungsverzeichnis zu führen. Grund hierfür ist die Tatsache, dass die Geschäftsführung die oben genannten Punkte, die in Art. 30 Abs. 1 DS-GVO gefordert werden, in der Regel am besten beantworten kann.

Tipp: Damit Sie ganz unkompliziert ein DS-GVO-konformes Verzeichnis der Verarbeitungstätigkeiten erstellen können, empfehlen wir Ihnen, unser zertifiziertes Tool Data Security Manager zu nutzen. Wählen Sie darin aus über 50 Verarbeitungstätigkeiten die passenden für Ihre Kanzlei aus und erstellen Sie Ihr individuelles Verzeichnis der Verarbeitungstätigkeiten entsprechend der DS-GVO.

Fazit:

Das Verzeichnis der Verarbeitungstätigkeiten ist eine wesentliche Grundlage für eine strukturierte Datenschutzdokumentation. Zudem zeigt eine Kanzlei damit gegenüber der Aufsichtsbehörde, dass sie sich an die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO hält.

Wie sieht es eigentlich mit der Datenschutzdokumentation im Bereich Ihrer Dienstleister aus? Wissen Sie, welche Dienstleister zum Kreis der Auftragsverarbeiter gehören und was Sie bei einer Auftragsverarbeitung beachten müssen? Alles Wissenswerte zu diesem Thema lesen Sie in einem meiner nächsten Blog-Beiträge.

Quelle:

• DSK Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten