12. Juni 2018

Verzeichnis von Verarbeitungstätigkeiten für Unternehmen

Aufgrund der jüngsten Gesetzesänderungen ist auf einmal das Thema Datenschutz in aller Munde. Der Anwendungsbereich der jüngst in Kraft getretenen DSGVO ist extrem weit. Es gilt für praktisch alle Unternehmer sobald sie in irgendeiner Form Daten verarbeiten. Dies kann schon ein alltäglicher Vorgang, wie das Führen einer Excel Liste aller Lieferanten oder Kunden sein. Sobald Ihr Unternehmen in den Anwendungsbereich der Verordnung fällt, treffen sie umfassende Dokumentationspflichten, wie die Pflicht zum Führen eines Verzeichnis von Verarbeitungstätigkeiten.

Das Verzeichnis von Verarbeitungstätigkeiten

Neben den Datenschutz Pflichten für Unternehmer, die jeder kennt, wie beispielsweise die Veröffentlichung einer Datenschutzerklärung auf der Website gibt es ab sofort auch die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Hinter diesem sehr sperrigen Begriff steht die Überlegung, dass jeder Unternehmer sich mithilfe einer Liste systematisch und fortlaufend bewusst macht, an welchen Stellen in seinem Betrieb überall Daten anfallen.

Verzeichnis von Verarbeitungstätigkeiten als Ausgangspunkt einer Prüfung

Im Fall einer Überprüfung Ihres Unternehmens durch die Datenschutzbehörde, die das Verzeichnis der Verarbeitungstätigkeiten als Ausgangspunkt der behördlichen Überprüfung. Anhand der Liste kann die Behörde nachvollziehen, wo die Daten in Ihrem Unternehmen anfallen, und wohin sie diese übersenden. Die erste Schwelle, an der bereits viele Unternehmen scheitern, ist das die Behörde sehen möchte, dass überhaupt eine Buchführung in diesem Bereich gibt. Denn viele Unternehmen haben die neue Gesetzeslage noch nicht umgesetzt.

Daten- Empfänger im Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von VerarbeitungstätigkeitenEine weitere wesentliche Funktion des Verzeichnis von Verarbeitungstätigkeiten ist die Dokumentation der Empfänger ihrer Daten. Die Daten- Empfänger müssen nämlich laut DSGVO in der Liste gesondert ausgewiesen werden. Ein Empfänger kann zum Beispiel der Steuerberater sein, an den die Daten der Mitarbeiter für die Lohnbuchhaltung oder Buchhaltungsdaten aus der Abrechnung übermittelt werden. Wie Sie sehen, hat fast jedes Unternehmen Personen oder andere Unternehmen, an die es Daten übermittelt. Im einzelnen sind diese Datenströme teilweise gar nicht leicht zu erkennen, deshalb es unserer Erfahrung nach sehr hilfreich ist, eine Checkliste von typischen Verarbeitungen und Datenübertragungen als Ausgangspunkt der Prüfung zu wählen. Ein sehr gutes gratis online Tool zur Erstellung des Verzeichnis von Verarbeitungstätigkeiten ist der SeeYourData Generator. Umfangreiche Informationen zu dem Thema stellen auch die Rechtsanwälte Herting und Oberbeck von der Datenschutzkanzlei zur Verfügung.

Schauen wir uns mal im Detail an was der Gesetzgeber zum Thema Verzeichnis von Verarbeitungstätigkeiten geregelt hat. Vor Inkrafttreten der Datenschutz Grundverordnung war der Themenkomplex noch unter dem Begriff Verarbeitungsverzeichnis im BDSG geregelt. Mit Inkrafttreten der DSGVO kehrt dieses Verarbeitungsverzeichnis in noch detaillierter Form und mit höheren Bußgeldern im Fall der Nichtführung belegt zurück.

Wichtig ist auch zu ermitteln, ob Daten in ein Drittland oder an internationale Organisationen übermittelt werden. Wie lässt sich der Firmensitz und der juristisch korrekte Name des Empfängers ermitteln? Wir empfehlen dazu folgendes Vorgehen: die meisten Datentransfers sind in Unternehmen heute an bestimmte Software geknüpft. Ausgangspunkt ihrer Überlegungen sollte daher sein, welche Abteilungen in Ihrem Unternehmen Software einsetzen. Ausgehend davon können Sie dann im Internet auf den Websites der jeweiligen Softwareanbieter recherchieren, welches Unternehmen hinter der jeweiligen Marke steht. Das ist oft gar nicht so offensichtlich wie es scheint. So heißt zum Beispiel das Unternehmen, was hinter dem beliebten E-Mail Tool MailChimp steht „The Rocket Science Group“. Dies wäre dann zum Beispiel auch der Empfänger der in ihrem Verzeichnis von Verarbeitungstätigkeiten auftauchen muss. Wir empfehlen daher hier sauber zu arbeiten den jeweiligen Empfänger über die Datenschutzerklärung oder das Impressum auf der Website des Softwareanbieters einzelnen nachzuschauen.

 

Was gehört sonst noch in das Verzeichnis der Verarbeitungstätigkeiten?

Nach DSGVO muss ihr Verzeichnis auch einige allgemeine Angaben zu Ihrem Unternehmen enthalten. Nach Art. 30 DSGVO gehören dazu der Name und die Kontaktdaten des Verantwortlichen (also ihrer Firma) sowie eines etwaigen Datenschutzbeauftragten. Für jede einzelne Verarbeitungstätigkeit ist der Zweck der Verarbeitung anzugeben sowie die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die dabei erhoben werden. Und schließlich brauchen sie auch ein sogenanntes Löschkonzept für jede einzelne Verarbeitungstätigkeit, also einen Plan, wann die jeweiligen Daten Frühstück möglich gelöscht werden können. Das nennt man das Prinzip der Datenminimierung. Das klingt zugegeben alles sehr juristisch und unverständlich. Auch hier empfehlen wir daher unbedingt den Einsatz entsprechenden Generatoren, die etwa SeeYourData (s.o.)

Schließen