Alle guten Dinge sind drei - In drei Schritten zum Verfahrensverzeichnis nach der DSGVO

01.12.2017

Die Europäische Datenschutzgrundverordnung (kurz: DSGVO) nähert sich in großen Schritten. Sie gilt ohne weitere Schonfristen ab 25. Mai 2018 und legt Unternehmen weitreichende Dokumentationspflichten auf. Eine der wichtigsten Verpflichtungen ist die Erstellung von Verzeichnissen für die Verarbeitung personenbezogener Daten in einem Unternehmen (sog. Verfahrens- oder Verarbeitungsverzeichnisse). Dies ist nicht grundsätzlich neu, da solche Verzeichnisse auch bisher schon nach dem Bundesdatenschutzgesetz (BDSG) erstellt werden müssen. Neu nach der DSGVO sind aber die drakonischen Bußgelder, die bei Nichtbeachtung der Verzeichnisse ab Mai 2018 drohen. Wenn also noch keine Verzeichnisse erstellt wurden, so sollte damit rasch begonnen und die verbleibende Zeit bis Mai 2018 genutzt werden. Der Arbeitsaufwand ist nicht zu unterschätzen. Im Folgenden wird erläutert, wie man mit wenigen Schritten ein Verfahrensverzeichnis nach der DSGVO erstellen kann.

Verfahrensverzeichnisse dienen dazu, die internen Prozesse in einem Unternehmen bei der Verarbeitung personenbezogener Daten zu dokumentieren. Diese müssen bis 25.05.2018 erstellt sein und auf Aufforderung den Aufsichtsbehörden vorgelegt werden können. Es sind praktisch alle – auch kleine und mittlere – Unternehmen betroffen, und zwar auch, wenn personenbezogene Daten für Dritte verarbeitet werden (sog. Auftragsverarbeiter). Zwar sieht Art. 30 Abs. 5 DSGVO eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern unter engen Voraussetzungen vor. Diese Ausnahmeregelung greift aber bereits dann nicht, wenn personenbezogene Daten regelmäßig und nicht nur „gelegentlich“ verarbeitet werden wie dies typischerweise in der Finanzbuchhaltung, in der Personalabteilung oder in einer Kundendatenbank eines Unternehmens der Fall ist. Eine regelmäßige Verarbeitung personenbezogener Daten liegt auch dann schon vor, wenn mit Externen regelmäßig per E-Mail korrespondiert wird. Die allermeisten Unternehmen müssen somit Verfahrensverzeichnisse erstellen. Von der Ausnahmeregelung profitieren praktisch nur kleine Offline-Betriebe wie z.B. Handwerksbetriebe.

Für die Verfahrensverzeichnisse ist keine bestimmte Form vorgeschrieben. Möglich sind daher auch Word- oder Excel-Dateien. Voraussetzung ist aber, dass diese portabel und ausdruckbar sind, da sie auf Verlangen an Aufsichtsbehörden ausgehändigt werden müssen. Unternehmensinterne Wiki-Systeme sind daher nicht ausreichend.

  • 1. Schritt: Ermittlung des Status Quo

In einem ersten Schritt ist zu ermitteln, welche personenbezogenen Daten überhaupt verarbeitet werden. Das sind im weitesten Sinne alle Daten, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Verarbeitung ist jeder Vorgang im Umgang mit diesen Daten angefangen von der Erhebung, Speicherung und Nutzung bis zur endgültigen Löschung dieser Daten. Betroffen sind sämtliche Daten der eigenen Mitarbeiter, Kunden, potentiellen Kunden, Geschäftspartner und andere Dritte, mit denen man geschäftlich in Kontakt ist. Im B2B-Bereich sind juristische Personen nach der DSGVO zwar nicht unmittelbar betroffen, aber die natürlichen Personen, mit denen man letztlich zu tun hat, also die Geschäftsführer und sonstigen Mitarbeiter, die für die Unternehmen tätig sind.

  • 2. Einteilung der Verarbeitung in bestimmte Kategorien

Nachdem man ermittelt hat, welche personenbezogenen Daten betroffen sind, sollte eine erste Einordnung nach bestimmten Kategorien vorgenommen werden, weil diese dann auch im späteren Verfahrensverzeichnis abgebildet werden müssen, eingeteilt nach Betroffenen (Mitarbeiter, Kunden, Geschäftspartner etc.), der Art der personenbezogenen Daten (z.B. Kontaktdaten, Nutzungsdaten etc.) und der Empfänger (eigene Mitarbeiter, Dritte wie Rechtsanwälte, Behörden etc.).

  • 3. Erstellen der Verfahrensverzeichnisse

Welchen Inhalt die Verfahrensverzeichnisse haben müssen, ist in Art. 30 DSGVO geregelt. Im Grunde bestehen diese aus den Grundangaben zum Unternehmen und zum Datenschutzbeauftragten, den einzelnen Verarbeitungstätigkeiten, eingeteilt nach bestimmten Kategorien, und den Sicherheitsanforderungen (sog. TOMs = technische und organisatorische Maßnahmen) zum Schutz dieser Daten vor unbefugtem Zugriff. Die einzelnen Verarbeitungstätigkeiten bilden den Kern der Verzeichnisse und sollten detailliert aufgeführt sein. Typische Verarbeitungstätigkeiten in einem B2C-Unternehmen sind z.B. Personalmanagement oder Marketingmaßnahmen, letztere unterteilt z.B. in Tracking, Newsletter, Postmailings, Gewinnspiele etc.). Um beim Beispiel Marketing zu bleiben, müssen die Verarbeitungsvorgängen dann nach einzelnen Datenkategorien wie z.B. Kundenstammdaten und Nutzerdaten aufgeteilt werden. Das Ganze folgt einem Baukastenprinzip, das in sich schlüssig und vollständig sein muss. Es würde den Rahmen dieses Beitrags sprengen, alle Bestandteile eines Verfahrensverzeichnisses aufzuführen. Die Komplexität hängt natürlich von der Größe des Unternehmens und damit von der Anzahl der Verarbeitungstätigkeiten ab.

Die Verfahrensverzeichnisse müssen laufend aktualisiert werden, da sie jederzeit auf Verlangen den Aufsichtsbehörden ausgehändigt werden müssen. Hier lauern die größten Risiken. Es könnte sich beispielsweise ein Kunde bei den Aufsichtsbehörden beschweren und einen Verstoß der Verarbeitung seiner Daten behaupten. Kann dann nicht sogleich ein aktuelles DSGVO-konformes Verfahrensverzeichnis präsentiert werden, liegt bereits ein Verstoß gegen die DSGVO vor, der hohe Bußgelder zur Folge haben kann.

Alle Meldungen im Überblick