Verarbeitungsverzeichnis
Muster-Vorlage

Ein Verzeichnis von Verarbeitungstätigkeiten (kurz: VVT) ist eine Übersicht von allen Datenverarbeitungsvorgängen zu personenbezogenen Daten, die in Ihrem Unternehmen stattfinden. Gemäß Art. 30 der EU-Datenschutz-Grundverordnung (DSGVO) ist jedes Unternehmen, welches personenbezogene Daten verarbeitet, dazu verpflichtet, ein solches Verzeichnis zu erstellen.

Das Verzeichnis von Verarbeitungstätigkeiten ähnelt dem früheren Verfahrensverzeichnis, welches laut dem alten Bundesdatenschutzgesetz (kurz: BDSG-alt) von größeren Unternehmen anzufertigen war. In Anlehnung an das damalige Verfahrensverzeichnis wird das VVT gemäß DSGVO auch Verarbeitungsverzeichnis genannt.

In dem Verzeichnis von Verarbeitungstätigkeiten beschreiben Sie unter anderem, …

• …welche Kategorien von Daten Sie speichern;
• …die Rechtsgrundlage, auf welcher dies passiert;
• …die Länge des Zeitraums, für den Sie Daten speichern;
• …die Personen und Stellen, an die Sie diese Daten weitervermitteln;
• …die Art und Weise, wie Sie die Daten schützen.

Das Verarbeitungsverzeichnis hat den Zweck, die Datenverarbeitungsprozesse in einem Unternehmen transparent darzustellen und somit das Unternehmen rechtlich abzusichern. Ihr Unternehmen sollte in der Lage sein, ein solches Verzeichnis auf Anfrage der Aufsichtsbehörde vorlegen zu können. Auf diese Weise kann die Aufsichtsbehörde überprüfen, ob Sie den Vorschriften der DSGVO angemessen nachkommen. Außerdem hilft das VVT dem betrieblichen Datenschutzbeauftragten, den Sie ernannt haben, dabei, seine Aufgaben entsprechend zu erfüllen.

Jedes Unternehmen, das in eigenem Namen personenbezogene Daten verarbeitet, muss laut DSGVO in einem Verzeichnis sämtliche Datenverarbeitungstätigkeiten dokumentieren. Obwohl in diesem Artikel die Rede von Unternehmen ist, sind von dieser Regelung auch natürliche Personen, Behörden und Vereine als verantwortliche Stellen betroffen.

Weiterhin sind auch Auftragsverarbeiter dazu verpflichtet, ein Verarbeitungsverzeichnis für Verarbeitungsvorgänge von personenbezogenen Daten, die sie im Auftrag eines anderen Unternehmens verarbeiten, zu erstellen. Die inhaltlichen Ansprüche an das Dokument ähneln denen des Auftraggebers.

Was genau Verarbeitungstätigkeiten sind, ist in der DSGVO nicht näher definiert. Dies führt oft zu Unklarheiten bei der Erstellung eines Verarbeitungsverzeichnisses, da nicht offiziell bekannt ist, wie ausführlich die Verarbeitungstätigkeiten darin festgehalten werden müssen.

In einem seiner Datenschutz-Tätigkeitsberichte bot der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (weiterhin: LfDI BaWü) einen Ansatz dazu, was unter einer Verarbeitungstätigkeit zu verstehen ist:

“Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.” (S.11)

Weiterhin weist der LfDI BaWü darauf hin, dass es von der Größe eines Unternehmens abhängig ist, was genau als Verarbeitungstätigkeit festzumachen ist. Dies veranschaulicht er an dem Beispiel der Personalverwaltung:

“In einem kleinen Unternehmen mit wenigen Mitarbeitern kann z. B. die gesamte Personalverwaltung als eine einzige Verarbeitungstätigkeit gesehen werden. Bei einem mittleren Unternehmen sollte eine stärkere Untergliederung stattfinden, z. B. in Personalgewinnung, Personaleinstellung, Verwaltung des aktuellen Personals, Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten. In einem großen Unternehmen können allein in der Personalabteilung dutzende oder gar hunderte Verarbeitungstätigkeiten vorliegen, wenn z. B. unterschiedliche Bewerbungsverfahren für Ferienjobber, Werkstudierende, Auszubildende, mittlere Angestellte, Führungskräfte und Top-Manager bestehen.” (S.11f.)

Demzufolge würden die Verarbeitungstätigkeiten bei kleineren Unternehmen gröber und bei größeren Unternehmen detaillierter gefasst werden. Dieser Hinweis dient lediglich zur Orientierung. Im Zweifelsfall sollten Sie sich an Ihren Datenschutzbeauftragten oder einen externen Berater wenden.

Bei Verarbeitungstätigkeiten können Sie generell zwischen bestimmter Software oder Gerätschaften und standardisierten internen Prozessen unterscheiden, durch die Sie kontinuierlich und systematisch personenbezogene Daten erfassen, speichern, auswerten und weiterverarbeiten.

Unter diese Kategorien fallen folgende Tätigkeiten, die wir für Sie beispielhaft und nach Unternehmensbereichen geordnet, aufgelistet haben:

• Personal
   o Bewerbungsmanagement & Recruiting
   o Personalaktenführung
   o Gehaltsabrechnung
   o Arbeitszeiterfassung
• IT
   o Internetzugang & E-Mail-Dienst für Mitarbeiter
   o Gäste-WLAN
   o Fileserver
   o Betreiben der Webseite
• Marketing
   o Tracking der Webseitenbesucher
   o Verwaltung der Newsletter-Abonnenten
   o Social-Media-Profile
• Verkauf / Vertrieb
   o Kundendatenbank (CRM-System)
   o Vertragsabwicklung
• Finanzbuchhaltung
   o Kreditorenbuchhaltung
   o Debitorenbuchhaltung
• Recht
   o Revision
   o Compliance
• Sicherheit
   o Videoüberwachung

Beachten Sie, dass diese Liste nur eine grobe Übersicht darstellt und Ihnen als Hilfestellung dienen soll.

Was ein Verzeichnis von Verarbeitungstätigkeiten beinhalten muss, steht im Wesentlichen in Art. 30 DSGVO. Hierbei wird unterschieden zwischen einem Verzeichnis, das von dem verantwortlichen Unternehmen erstellt werden muss und einem Verzeichnis, das ein Unternehmen als Auftragsverarbeiter im Zuge der Auftragsverarbeitung aufzusetzen hat. Je nachdem, welcher Kategorie Sie angehören, müssen Sie in Ihrem Verarbeitungsverzeichnis mehr oder weniger Angaben machen.

Zuerst einmal müssen Sie wesentliche Angaben zu Ihrem Unternehmen und der dortigen Verarbeitung von personenbezogenen Daten machen. Hierzu zählen:

• die Kontaktdaten der verantwortlichen Stelle, ggfs. eines Mitverantwortlichen, eines Vertreters und (falls vorhanden) eines Datenschutzbeauftragten
• der Zweck der Verarbeitung
• der Kreis der von der Datenverarbeitung betroffenen Personen
• die Kategorien der personenbezogenen Daten
• die Kategorien von Empfängern der Daten

Darüber hinaus sollten Sie, wenn möglich, allgemein auf die technischen und organisatorischen Maßnahmen (kurz: TOM) eingehen, die Sie in Ihrem Unternehmen umsetzen, um bei der Verarbeitung personenbezogener Daten ausreichend Sicherheit zu gewährleisten. Hierbei sollten Sie die Maßnahmen möglichst konkret beschreiben, damit die zuständige Aufsichtsbehörde sich einen guten Eindruck davon verschaffen kann, wie Sie die Informationssicherheit in Ihrer Firma händeln. Sollten Sie in Ihrem Unternehmen ein gesondertes Dokument haben, welches sich mit den technischen und organisatorischen Maßnahmen befasst, können Sie im Verarbeitungsverzeichnis auch darauf verweisen.

Auftragsverarbeiter müssen im Gegensatz zu verantwortlichen Unternehmen weniger in Ihrem Verzeichnis von Verarbeitungstätigkeiten angeben. Hierbei aufgeführt werden sollten:

• die Kontaktdaten des Auftragsverarbeiters sowie des Verantwortlichen, in dessen Auftrag man tätig ist, ggfs. Vertreter des Verantwortlichen oder Auftragsverarbeiter und (falls vorhanden) eines Datenschutzbeauftragten;
• die Kategorien der Verarbeitungstätigkeiten;
• die Kategorien von Empfängern der Daten;
• eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (wenn möglich).

Gemäß Art. 30 Abs. 3 DSGVO ist das Verarbeitungsverzeichnis generell in schriftlicher Form zu führen, wobei ein elektronisches Format ebenfalls zulässig ist. Zur geforderten Sprache macht die DSGVO keine Angaben, wobei davon auszugehen ist, dass es sich bei dieser vorzugsweise um Deutsch handelt und im Falle einer internationalen Firma unter Umständen eine Übersetzung notwendig ist. Informieren Sie sich hierzu am besten bei Ihrer Aufsichtsbehörde.