Das Verarbeitungsverzeichnis mit den nach Art. 30 DSGVO zwingend erforderlichen Mindestangaben ist ein Grundstein für jedes Datenschutzmanagement. Doch ist zur Erfüllung der Nachweispflichten auch ein sogenanntes erweitertes Verarbeitungsverzeichnis sinnvoll. Wir möchten heute vorstellen, wie eine Erweiterung aufgebaut werden kann.
Möglicher Inhalt der Erweiterung
Die Erweiterung des Verarbeitungsverzeichnisses sollte natürlich immer an die Bedürfnisse im Betrieb des jeweiligen Verantwortlichen angepasst werden. Wir möchten hier nur die etwaigen Möglichkeiten darstellen. In der Praxis muss dann der jeweilige Verantwortliche – am besten mit Unterstützung des Datenschutzbeauftragen – den Umfang der Erweiterung für sich festlegen.
- Gut ist es, für jede Verarbeitungstätigkeit auch die Rechtsgrundlage festzuhalten, aus der sich die Zulässigkeit der Datenverarbeitung ergibt. Wird die Rechtmäßigkeit auf eine Einwilligung der betroffenen Person gestützt, dann sollte zusätzlich, auch der zur Einholung der Einwilligung im Unternehmen etablierte Prozess, kurz dargestellt und insbesondere auch die Nachweispflicht dokumentiert werden.
- Eine Auflistung der (zu der Verarbeitungstätigkeit eingesetzten) konkret benannten Auftragsverarbeiter und ob bereits eine Vereinbarung nach Art. 28 DSGVO mit dem jeweiligen Auftragsverarbeiter abgeschlossen wurde, kann es erleichtern den Überblick zu behalten und dient auch zur Gegenprüfung mit einer Dienstleisterliste.
- Wichtig ist, dass auch eine Risikobewertung der jeweiligen Verarbeitungstätigkeit vorgenommen werden kann. Denn eine Risikobewertung ist letztlich zum einen, die erforderliche Vorprüfung einer Datenschutzfolgenabschätzung. Der Verantwortliche hat damit auch dokumentiert warum er zu dem Ergebnis gekommen ist, keine Folgenabschätzung durchzuführen. Zum anderen wird so das Schutzniveau der Daten herausgestellt, an dem sich die technischen und organisatorischen Maßnahmen orientieren.
- Auch könnte es sich anbieten, die Zugriffsberechtigungen abstrakt darzustellen. Denn so kann der Datenschutzbeauftragte prüfen, ob das Need-to-know-Prinzip eingehalten wird.
- Es kann auch eine Dokumentation aufgenommen werden, wie die Informationspflichten – mit dem Ziel einer transparenten Verarbeitung – erfüllt werden.
- Es sollten auch Informationen zur technischen Ausgestaltung der Datenverarbeitung, hinsichtlich privacy by default und privacy by design, dokumentiert werden.
- Soweit für eine Verarbeitungstätigkeit spezifische Sensibilisierungsmaßnahmen durchgeführt werden (z.B. in Form von bereichsspezifischen Schulungen für die Personalabteilung), können auch diese integriert werden.
Teilweise wird von den Aufsichtsbehörden empfohlen, auch den Prozess bezüglich eines Datenschutzvorfalls und die Prozesse für die Geltendmachung der Rechte auf Auskunft, Berichtigung und Löschung im erweiterten Verarbeitungsverzeichnis abzubilden. Jedoch sollte dieser Prozess besser einheitlich für alle Verarbeitungstätigkeiten im Unternehmen definiert, allen Mitarbeitern bekannt und zugänglich sein. Bei der Trennung der Verarbeitungsverzeichnisse nach Verarbeitungstätigkeiten dürfte kein adäquater Mehrwert durch die Erfassung erreicht werden. Daher bietet es sich an solche Kernprozesse in einer Richtlinie zu regeln.
Vorteile eines erweiterten Verzeichnisses
Doch warum genau sollte ein solches, nach Art. 30 DSGVO nicht gefordertes, erweitertes Verarbeitungsverzeichnis erstellt werden, obwohl dies doch – zumindest zunächst – nur mehr Arbeit für den Verantwortlichen bedeutet?
Es dient als Nachweis für die Einhaltung der Datenschutzvorschriften und kann im Fall einer Prüfung durch eine Aufsichtsbehörde erleichtern, Rechenschaft – auch über die Rechtmäßigkeit der Datenverarbeitung – abzulegen. Somit wird es möglich den Rechenschaftspflichten der DSGVO nachzukommen, die durch den Mindestinhalt des Verarbeitungsverzeichnisses nach Art. 30 DSGVO nicht abgedeckt werden.
Der größte Vorteil dabei ist, dass auch bei der Prüfung einzelner Punkte, die notwendigen Informationen aufgrund der immer gleichen Struktur der Verzeichnisse schnell aufgefunden werden können.