Diese Verpflichtung konkretisiert die allgemeine Rechenschaftspflicht aus Artikel 5 Abs. 2 DS-GVO, wonach die für die Verarbeitung Verantwortlichen in der Lage sein müssen, die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachzuweisen. Sämtliche Verarbeitungen personenbezogener Daten, einschließlich einer Beschreibung nach Art. 30 DS-GVO, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, müssen in das Verzeichnis aufgenommen werden.
Zweck der Führung des Verzeichnisses
Die Hauptzwecke für das Führen eines VVT sind in Erwägungsgrund 82 der DS-GVO aufgeführt. Demnach dient es in erster Linie der Dokumentation und damit dem Nachweis einer DS-GVO-konformen Datenverarbeitung. Darüber hinaus soll jeder Verantwortliche und Auftragsverarbeiter verpflichtet werden, mit den Aufsichtsbehörden zusammenzuarbeiten und diesen auf Anfrage das entsprechende Verzeichnis zur Verfügung zu stellen. Die Bereitstellung des VVT soll es den Aufsichtsbehörden erleichtern, die Verarbeitungsvorgänge nachzuvollziehen und die Rechtmäßigkeit der Verarbeitungen auf einfache Art und Weise zu überprüfen.
Darüber hinaus ist die Verwendung oder der Einsatz von VVTs auch für folgende Zwecke geeignet:
- zur Festlegung der Verarbeitungszwecke (Art. 5 Abs. 1 lit. b) DS-GVO);
- für Zwecke der Rechenschafslegung und Dokumentation (Art. 5 Abs. 2, Art. 24 DS-GVO);
- als geeignete Maßnahmen zur Erfüllung von Betroffenenrechten nach Art. 12 Abs. 1 DS-GVO;
- zur Schaffung und als Nachweis geeigneter technischer und organisatorischer Maßnahmen (Art. 24 Abs. 1 und Art. 32 DS-GVO);
- zur Prüfung, ob eine Datenschutzfolgenabschätzung nach Art. 35 DS-GVO erfolgen muss;
- als Basis für die Aufgabenerfüllung des Datenschutzbeauftragten nach Art. 39 DS-GVO.
Ausnahme
Eine Ausnahme ist in Art. 30 Abs. 5 DS-GVO enthalten. Demnach finden die Abs. 1 und 2 keine Anwendung auf Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Die Ausnahme gilt jedoch nur insoweit, als die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, die Verarbeitung nur gelegentlich erfolgt und nicht die Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 der DS-GVO oder die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 der DS-GVO beinhaltet.
Empfehlungen
Für die Erfüllung der gesetzlichen Anforderungen und die bestmögliche Verwendung eines VVT sollten verschiedene Empfehlungen beachtet werden, die hilfreich sein können.
Zuallererst ist eine klare Unterteilung und Detaillierung nach verschiedenen Geschäftsbereichen oder Funktionen innerhalb eines Unternehmens erforderlich, um sicherzustellen, dass alle erforderlichen Verarbeitungstätigkeiten in das Verarbeitungsverzeichnis aufgenommen werden.
VVT zum Nachweis der Einhaltung
Damit ein Verarbeitungsverzeichnis dem primären Zweck, dem Nachweis der Einhaltung der datenschutzrechtlichen Anforderungen, genügen kann, muss darauf geachtet werden, dass detaillierte und aussagekräftige Informationen zur Verfügung stehen.
Zusatzinformationen
Der Inhalt des VVT ist in Art. 30 Abs. 1 lit. a) bis g) DS-GVO und Art. 30 Abs. 2 lit. a) bis d) DS-GVO festgelegt. Häufig enthalten Verarbeitungsverzeichnisse Zusatzinformationen wie die Rechtsgrundlage für die Verarbeitungstätigkeit oder eine Risikoeinstufung der Verarbeitungstätigkeit. Die Aufnahme von Zusatzinformation kann nützlich sein; sie darf jedoch nicht dazu führen, dass die gesetzlich vorgeschriebenen Informationen übersehen werden. Aus diesem Grund wird empfohlen, die Pflicht- und Zusatzinformationen als solche zu kennzeichnen.
Einbindung anderer Abteilungen
Gemäß Art. 30 Abs. 1 und 2 DSGVO gilt die Pflicht zur Führung des Verzeichnisses für alle für die Verarbeitung Verantwortlichen und Auftragsverarbeiter sowie deren jeweilige Vertreter. Damit fällt diese Aufgabe nicht in den Aufgabenbereich des Datenschutzbeauftragten, der lediglich eine beratende oder überwachende Funktion hat. Es ist jedoch möglich, die zentrale Führung des Verarbeitungsverzeichnisses dem Datenschutzbeauftragten zu übertragen und verschiedene Abteilungen des Unternehmens in den Prozess einzubinden.
Dabei können die folgenden Möglichkeiten hilfreich sein:
- Interne Festlegung von Terminen für die Überprüfung des VVT mit Teilnahmepflicht;
- Um die notwendigen Informationen bereitzustellen, könnte es insbesondere für Mitarbeiter mit geringen Datenschutzkenntnissen hilfreich sein, Definitionen oder Abschnitte mit Anweisungen und Erläuterungen aufzunehmen;
- Ausdrückliche Bestimmung der Prozessverantwortlichen, z.B. wer für die Pflege der Informationen aus Art. 30 DS-GVO und wer für die zentrale Zusammenstellung des Dokuments verantwortlich ist;
- Verwendung von Dropdown-Menüs für ein einheitliches und zusammenhängendes Dokument und von Freitextfeldern, um differenzierte Informationen zu erfassen, die nur für bestimmte Verarbeitungsvorgänge relevant sind.
Verarbeitungsverzeichnis auf aktuellem Stand halten
Bei der Führung des Verarbeitungsverzeichnisses sollte auf die Aktualität der Einträge geachtet werden, damit stets der aktuelle Stand des Unternehmens bei der Verarbeitung personenbezogener Daten wiedergegeben werden kann. Um dies zu gewährleisten, werden die folgenden Schritte empfohlen:
- regelmäßige Überprüfung des VVT und ggf. Durchführung von Aktualisierungen;
- Verwendung eines elektronischen Verarbeitungsverzeichnisses zur einfachen Bearbeitung und Speicherung;
- Hinweise in Mitarbeiterschulungen, dass bei Einführung neuer Produkte oder Dienstleistungen, die eine Verarbeitung personenbezogener Daten vorsehen, die Verarbeitungstätigkeit in die VVT aufgenommen werden muss;
- Auslaufende Verarbeitungstätigkeiten als solche zu kennzeichnen oder zu entfernen.
Ein stets aktuelles Verarbeitungsverzeichnis ist auch im Hinblick auf die Pflicht zur Herausgabe des Verzeichnisses an die Datenschutzbehörden wichtig. Möglicherweise kann auch der Datenschutzbeauftragte ein stets aktuelles Verarbeitungsverzeichnis für andere regulatorische Tätigkeiten wie bei Datenschutzverletzungen, die Bearbeitung von Beschwerden sowie Untersuchungen und Ermittlungen benötigen.
Drittlandübermittlungen
Nach Art. 30 Abs. 1 lit. e) und Abs. 2 lit. c) DS-GVO ist bei einer Drittlandübermittlung von personenbezogenen Daten das betreffende Drittland anzugeben. Durch entsprechende Prozesse sollte sichergestellt werden, dass der DSB rechtzeitig vor der Beschaffung von Betriebsmitteln im Zusammenhang mit einer Übermittlung personenbezogener Daten in ein Drittland einbezogen wird, damit die Eintragungen im Verarbeitungsverzeichnis geprüft werden kann.
Darüber hinaus könnten Beschwerden von betroffenen Personen, Kontakte mit der Datenschutzaufsichtsbehörde und andere Feststellungen in Bezug auf Übermittlungen in Drittländer eine Überprüfung und gegebenenfalls eine Anpassung des Eintrags im Verarbeitungsverzeichnis erforderlich machen.
Fristen für die Löschung verschiedener Datenkategorien
Art. 5 Abs. 1 lit. f) DS-GVO sieht vor, dass nach Möglichkeit Fristen für die Löschung verschiedener Datenkategorien im Verarbeitungsverzeichnis anzugeben sind. Zum Zeitpunkt des Beginns einer Verarbeitungstätigkeit ist möglicherweise nicht klar, wie lange die Verarbeitung erforderlich sein wird. Daher sollten Einträge, die von vornherein defizitär sind, identifiziert werden. Daneben sollten Fristen für wiederkehrende Prüfungen festgelegt werden. Für den Fall, dass Informationen von außen weiterhin fehlen, sollten interne Löschungsfristen festgelegt werden.
Allgemeine Beschreibung von technischen und organisatorischen Maßnahmen
Gemäß Art. 30 Abs. 1 lit. g) DS-GVO ist, soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) erforderlich. Häufig sind die TOM nicht ausreichend detailliert beschrieben. Es ist daher ratsam, eine allgemeine Beschreibung der TOM in die VVT aufzunehmen.
Handlungsempfehlung
Es wird deutlich, dass eine effiziente Führung eines VVT auch über die gesetzliche Verpflichtung hinaus eine wichtige Rolle spielt. Die Orientierung an den dargestellten Empfehlungen bietet die Möglichkeit, stets einen Überblick über alle Verarbeitungen personenbezogener Daten zu haben und erleichtert die Erfüllung weiterer datenschutzrechtlicher Anforderungen.
Wir empfehlen Ihnen, der Führung des Verarbeitungsverzeichnisses Ihre volle Aufmerksamkeit zu schenken, und stehen Ihnen bei der Umsetzung der Empfehlungen gerne zur Verfügung.
Quellen: