Verzeichnis von Verarbeitungstätigkeiten – Tipps zur Umsetzung

Fachbeitrag

Im Geschäftsalltag ist das Verzeichnis von Verarbeitungstätigkeiten oft nur dann ein Thema, wenn etwas im Unternehmen umgestellt wird – neue Software, neue Mitarbeiter, neue Prozesse. Oder wenn unverhofft eine Betroffenenanfrage hereinflattert. Doch auch wenn nichts akut ansteht, sollte gerade in den ruhigen Minuten die Dokumentationspflichten der DSGVO angegangen werden.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach der DSGVO

Eine der zentralsten Dokumentationspflichten aus der DSGVO stammt aus dem Artikel 30 und schreibt vor, ein „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) zu führen, dieses wird meist „Verarbeitungsverzeichnis“ genannt.

Darin sind alle Datenverarbeitungen, die persönliche Daten betreffen, aufzulisten. Es dient zunächst der Dokumentation und Transparenz im Inneren. Wer weiß, welche Verarbeitungen im eigenen Unternehmen passieren, kann auf Betroffenenanfragen schnell und präzise antworten. Das Verarbeitungsverzeichnis muss auf Anfrage auch der Aufsichtsbehörde vorgelegt werden. Dabei wird vorausgesetzt, dass es schon lange existiert und kontinuierlich gepflegt wird. Eine lange Frist kann man von der Behörde für die Vorlage davon nicht erwarten.

Wer benötigt ein Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis braucht jeder Verantwortliche für Datenverarbeitungen, und jeder Auftragsverarbeiter von Daten. Wo immer personenbezogene Daten (nur für diese gilt die DSGVO) verarbeitet werden, müssen diese Verarbeitungen auch dokumentiert werden. Die Erfassung, Speicherung und Nutzung von Daten der Angestellten eines Unternehmens ist eine solche Datenverarbeitung, ebenso wie Daten in einer Kundenkartei. Auch wer eine Webseite betreibt, dort IP-Adressen der Webseiten-Besucher erfasst oder E-Mail-Adressen über ein Kontaktformular erhält, verarbeitet Daten. Alle Datenverarbeitungen dokumentiert zusammengefasst ergeben: Das Verarbeitungsverzeichnis.

Die Pflicht gilt wie alle DSGVO-Pflichten für alle Verantwortlichen und Auftragsverarbeiter mit Sitz oder Niederlassung in Europa, sowie für Verantwortliche und Verarbeiter, die Daten verarbeiten, auf welche die DSGVO anwendbar ist. Wenn der Verantwortliche oder Auftragsverarbeiter außerhalb der EU sitzt, hat er einen Vertreter in der EU zu benennen, der dann die Verantwortung für die Pflichten aus der DSGVO trifft – also auch die Pflicht zum Führen des Verarbeitungsverzeichnis.

Ausnahmen: Wer muss kein Verzeichnis von Verarbeitungstätigkeiten führen?

In Art. 30 Absatz 5 der DSGVO gibt es Ausnahmen, wer kein Verzeichnis von Verarbeitungstätigkeiten führen muss – doch wer beim Überfliegen schon frohlockt, dass die Pflicht nicht gilt, wenn „weniger als 250 Mitarbeiter“ im Unternehmen arbeiten, freut sich leider zu früh. Dies gilt nur dann, wenn die Verarbeitung „nur gelegentlich“ erfolgt und niemals Daten aus den besondere Kategorien des Art. 9 Abs. 1 DSGVO verarbeitet werden (Gesundheitsdaten z.B.).

Doch was heißt „gelegentlich“ in diesem Zusammenhang? Die „nicht nur gelegentliche“ Verarbeitung von Daten ist in der heutigen Welt der absolute Regelfall. Handwerker haben Webseiten, hantieren mit Kundentelefonnummern auf Smartphones, selbst kleine Produktionsbetriebe haben ihre Mitarbeiterdaten heutzutage in elektronischen Akten und wickeln ihre Geschäfte per E-Mail ab. All das sind mehr als nur „gelegentliche“ Datenverarbeitungen, sodass auch in kleinen Unternehmen regelmäßig ein VVT zu erstellen ist.

Wer mit besonders geschützten Daten zu tun hat, wie z.B. ein Pflegedienst, der Gesundheitsdaten speichert, oder eine kleine Beratungsstelle, die z.B. in Diskriminierungsfällen hilft, verarbeitet schnell auch Informationen zu ethnischer Herkunft oder weltanschaulichen Überzeugungen. Werden besondere Datenkategorien verarbeitet, muss immer, unabhängig davon wie „gelegentlich“ verarbeitet wird oder wie viele Mitarbeiter es gibt, ein Verarbeitungsverzeichnis erstellt werden.

Wer führt das Verarbeitungsverzeichnis im Unternehmen?

Persönlich verantwortlich für das Führen und Erstellen des Verarbeitungsverzeichnis ist der Verantwortliche. Dies ist regelmäßig der Inhaber oder gesetzliche Vertreter eines Unternehmens. Bei Unternehmen außerhalb der EU ist es deren in der EU benannter Vertreter. Der Datenschutzbeauftragte des Unternehmens soll ,wie bei allen Datenschutz-Themen, natürlich mit Rat und Hilfestellung zur Seite stehen. Die Verantwortung aber liegt bei der Geschäftsleitung, also dem Geschäftsführer oder Inhaber. Gerade die Inhalte des Verzeichnis, also welche Daten in einzelnen Abteilungen eines Unternehmens wie verarbeitet werden, müssen von den einzelnen Fachabteilungen bereitgestellt werden. Außerhalb der Abteilung fehlt oft schlicht das Detailwissen, wie hier gearbeitet wird. Das Verarbeitungsverzeichnis ist damit ein To-Do für das ganze Unternehmen.

Was gehört in ein Verzeichnis von Verarbeitungstätigkeiten?

Der Inhalt des Verzeichnis von Verarbeitungstätigkeiten ist in Artikel 30 Absatz 1 skizziert, hier sind insbesondere die Pflichtangaben aufgeführt. Das VVT muss „schriftlich“ geführt werden, allerdings reicht auch eine digitale Version aus. Wie detailliert das Verarbeitungsverzeichnis sein muss, richtet sich danach, wie komplex das Unternehmen aufgebaut ist und wie viele unterschiedliche Verarbeitungen es gibt. Wo es bereits Konzepte und Prozessbeschreibungen gibt (zum Beispiel für TOMs), müssen diese nicht gedoppelt werden, sondern können angehängt oder auf sie verwiesen werden.

Die Pflichtangaben sind:

  • Namen und Kontaktdaten von Verantwortlichem und Datenschutzbeauftragtem,
  • Verarbeitungszwecke,
  • Beschreibung der Kategorien von betroffenen Personen und betroffenen Daten,
  • Kategorien von Empfängern von Datenübermittlungen,
  • Offenlegungen aller Datenübertragungen in Drittländer (außerhalb der EU) samt der ggf. hierfür erforderlichen Garantien,
  • Soweit möglich die vorgesehenen Löschfristen für die Daten,
  • Beschreibung der allgemeinen Technisch-organisatorischen Maßnahmen.

Was sind Verarbeitungstätigkeiten im Sinne der DSGVO?

Die Verarbeitungstätigkeit unterscheidet sich von der Datenverarbeitung, sie ist weiter gefasst: Als eine Verarbeitungstätigkeit zählen alle Datenverarbeitungen, die zu einem Zweck erfolgen. Dies kann in einer sehr kleinen Organisationseinheit auch bedeuten, dass z.B. die Personalabteilung als eine Verarbeitungstätigkeit zusammengefasst werden kann. In größeren Unternehmen sind hier meist einzelne Prozesse gemeint, die zu einem bestimmten Zweck erfolgen, wobei auch mehrere Datenverarbeitungen erfolgen können.

Verarbeitungsverzeichnis: Tipps zur Umsetzung

Im Falle von bisher fehlender Datenschutzdokumentation muss zunächst ermittelt werden, in welchen Fällen personenbezogene Daten von z.B. Kunden, Lieferanten oder Beschäftigten erhoben und verarbeitet werden. Hierzu bietet es sich als erster Anhaltspunkt an, alle innerhalb des Unternehmens eingesetzten Anwendungen und Tools aufzulisten, in denen personenbezogene Daten gespeichert werden. Dies hilft gleichsam bei der Ermittlung der Datenflüsse im Unternehmen (Data Mapping). Hat man besonders viele und verzahnte Datenflüsse, kann man sie für eine bessere Übersicht in Datenflussdiagrammen darstellen. Diese Informationen dienen dann auch als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten. Dieses wird in der Praxis zwecks Übersichtlichkeit meist aus mehreren Verzeichnissen für verschiedene Verarbeitungstätigkeiten (z.B. Zeiterfassungssystem, CRM-System, HR-Informationssystem) bestehen.

Wie detailliert das Ganze sein muss, ist umstritten. Für sehr kleine Unternehmen werden in der Praxis oft nur bis zu 10 Einträge im Verarbeitungsverzeichnis zusammenkommen. In mittleren Unternehmen kann, das aber schnell auch 30 oder 40 Verarbeitungstätigkeiten umfassen. Dies ist auch abhängig davon, wie viele Prozesse digitalisiert sind und ob viele verschiedene Tools eingesetzt werden. In sehr großen Unternehmen sind 100 oder mehr Einträge möglich. Hier ist aber ob der großen Angriffsfläche für Beschwerden und Kontrollen durch Aufsichtsbehörden auch eine gute Dokumentation besonders wichtig.

Für einen tieferen Einstieg bietet sich die GDD-Praxishilfe sowie der Bitkom Leitfaden zum Verzeichnis von Verarbeitungstätigkeiten an.

Welche Empfehlungen gibt es von den Datenschutzaufsichtsbehörden?

Wenn das Unternehmen besonders kritische oder besonders viele Daten verarbeitet, ist neben der reinen Auflistung der Verarbeitungstätigkeiten auch eine Dokumentation der internen Rechtmäßigkeitsprüfungen hinsichtlich der Verarbeitungstätigkeiten in Betracht zu ziehen. Dazu kommen ebenfalls die weiteren Schutzmaßnahmen, die für die betroffenen Datenverarbeitungstätigkeiten ergriffen wurden. Das Verarbeitungsverzeichnis dient insgesamt dazu, gegenüber der Aufsichtsbehörde nachzuweisen, dass datenschutzrechtliche Maßnahmen im Unternehmen eingeführt und beachtet werden. Diese zusätzlichen Informationen können weitere Prüfungen und Fragen der Aufsichtsbehörden vorweg erledigen.

Beispiele und Muster für Verarbeitungsverzeichnisse

Die Pflichtangaben, die für jede Verarbeitungstätigkeit im VVT aufgeführt werden müssen, sind aus dem Fließtext der Verordnung nur unhandlich herauszulesen. Mit einer Muster-Vorlage für Verzeichnis von  Verarbeitungstätigkeiten ist das Ganze auch für Verantwortliche ohne große Rechtsabteilung handhabbar. Wer als Auftragsverarbeiter tätig ist, hat zudem etwas andere Pflichtangaben zu erfüllen als ein Verantwortlicher.

Es gibt eine Vielzahl an Vorlagen von Aufsichtsbehörden, darunter kostenlose Muster für Vereine, Handwerksbetriebe, Arztpraxen, Online-Shops, Kfz-Werkstätten, Beherbergungsbetriebe wie Hotels oder Ferienwohnungen, aber auch für WEG-Verwaltungen.

Verarbeitungsverzeichnisses mittels Software erstellen und pflegen

Eine Alternative zu den Mustervorlagen, die auch in Papier und handschriftlich ausgefüllt werden können, sind Datenschutzmanagement-Software. Bei diesen werden die Verarbeitungstätigkeiten ebenso nach den Pflichtangaben aufgeteilt eingegeben, hier gibt es aber auch die Möglichkeit auf Textbausteine zurückzugreifen. Durch die digitale Struktur kann gerade bei längeren Verarbeitungsverzeichnissen besser durchsucht, gruppiert und sortiert werden. Wenn die Arbeit im Unternehmen überwiegend digital erfolgt, ist dieser Umgang ggf. auch handlicher als Eintragungen in ein PDF, Excel-Sheet oder Word-Dokument.

Bußgeld bei unzureichendem oder fehlenden Verarbeitungsverzeichnis

Wird auf Anfrage einer Aufsichtsbehörde kein Verarbeitungsverzeichnis vorgelegt, droht ein Bußgeld, Art. 83 Abs. 4 a DSGVO. Der gesetzliche Rahmen der Bußgelder ist wie der übliche Rahmen der DSGVO: Bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes sind möglich.

Im September 2021 wurde durch die italienische Datenschutzaufsicht ein Bußgeld in Höhe von 800.000 Euro verhängt, da die Betreiberunternehmen, die mit der Bereitstellung von Parkuhren betraut waren, vollkommen chaotische Datenflüsse hatten und zudem keinerlei Verarbeitungsverzeichnisse vorlegen konnten.

Schritt für Schritt anfangen, Verarbeitungstätigkeiten aufzulisten

Das Verarbeitungsverzeichnis klingt zu Anfang nach einer Mammutaufgabe, doch wer sich einmal daransetzt, bekommt auch diesen einschüchternden Teil der Dokumentationspflichten gestemmt. Jeder Weg beginnt mit dem ersten Schritt. Das Verarbeitungsverzeichnis als stetigen Spaziergang durch alle Abteilungen anzugehen, wird eher zum Erfolg führen, als im Notfall einen hektischen Sprint hinlegen zu müssen, nachdem die Aufsichtsbehörde schon mit dem Bußgeld droht. Ein Datenschutzmanagement-System hilft hier viel weiter, um ordentlich zu strukturieren und einen sauberen Rahmen zu haben. Wer kein solches nutzen kann oder will, kann auch die Vorlagen nehmen, um der Masse an Informationen Herr zu werden. Einmal erstellt ist die weitere Pflege bei Änderungen im Unternehmen dann keine große Sache mehr – und alle nachfolgenden Datenschutzthemen gehen leichter von der Hand!

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Dokumente

30 Kommentare zu diesem Beitrag

  1. Vielen Dank für diesen Artikel und den Newsletter vom 30.5. bzw den Artikel „DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten“.
    Endlich habe ich eine Antwort erhalten auf eine Frage, die mich seit 2 Wochen umtreibt (und zu der ich noch keine klare Antwort hatte finden konnten in div. Büchern): „Was ist aus dem Jedermannverzeichnis geworden?“
    Nun ist bei mir der Groschen gefallen! Danke, ich kann nun endlich richtig loslegen mit dem neuen Verfahrensverzeichnis.

  2. Ich bin etwas überrascht über die Aussage, Ärzte und Apotheken müssten kein Verfahrensverzeichnis führen. Dort wird mit Gesundheitsdaten umgegangen, diese sind besondere personenbezogene Daten. Mit einem Handwerksbetrieb nicht zu vergleichen.

    • Hinsichtlich der Pflicht ein Verfahrensverzeichnis zu führen kommt es nach dem BDSG nicht (zumindest nicht direkt) auf die Art der Daten an, die durch die verantwortliche Stelle verarbeitet werden. Das Gesetz spricht hier in § 4g Abs. 2 BDSG lediglich von einer „Übersicht“ mit dem Inhalt nach § 4e Satz 1 Nr. 1 bis 8 BDSG, welches dem DSB zur Verfügung gestellt werden muss (Verfahrensverzeichnis). Wenn es keine Pflicht zur Bestellung eines DSB gibt, entfällt diese Pflicht und die verantwortliche Stelle muss diese Angaben lediglich auf Antrag jedermann zur Verfügung stellen. Eine ständige und zudem bußgeldbewehrte Pflicht, jederzeit ein Verfahrensverzeichnis vorhalten zu müssen, ergibt sich daher für auch für diese Stellen nach BDSG nicht.

  3. Hallo Dr. Datenschutz und vielen Dank für die vielen hilfreichen Artikel.
    Wir führen in unserer Firma mehrere eigene WIKIs die wir als Wissensdatenbank nutzen. In den WIKIs werden ggf. auch personenbezogene Informationen erfasst (evtl. Protokolle, in jedem Fall aber ja der Benutzer, Ersteller usw.).
    Ist das WIKI als Verarbeitungstätigkeit anzusehen und müsste ich dazu eine Dokumentation anlegen? Falls ja, welche rechtliche Grundlage könnte ich zum Führen eines WIKI heranziehen? Ist es ein „zwingend notwendiger Geschäftsprozess“ nach §28 BDSG?
    Vielen Dank

    • Wenn Sie eine interne Wissensdatenbank führen, die personenbezogenen Daten enthält, wäre das grundsätzlich ein Verfahren welches entsprechend zu dokumentieren ist. Welche Rechtsgrundlage hierfür einschlägig ist, lässt sich ohne weitere Informationen nicht beurteilen. Da es sich wohl um Mitarbeiterdaten handelt, müssen sie primär § 32 Abs. 1 BDSG prüfen. Eine Erforderlichkeit für die Durchführung des Arbeitsverhältnisses beurteilt sich dann anhand der Umstände des Einzelfalls (Was macht Ihr Unternehmen?; warum ist es ggf. erforderlich diese Datenbank zu führen? usw.)

  4. Vielen Dank für diesen Beitrag.
    Wie weit muss man den Begriff „Verarbeitung“ auslegen?
    Müssen wir z.B. eine selbst erstellte Excel Tabelle, wo wir eine Liste von Kunden (Name, zugeordnete Personennummer und betreffender Vorgang) führen, die sich über einen Vorgang beschwert oder etwas reklamiert haben in das Verzeichnis aufnehmen?

    Freundliche Grüße

  5. Ich glaube, ich kann mich hier nicht bedanken. Es wurde wieder ein bürokratisches Monster erschaffen, unter dem jetzt vor allem die zu leiden haben, die sowieso schon viele Hürden als Kleinselbständige zu bewältigen haben. Dieses neue Datenschutzgesetz wird zur einer Gelddruckmaschine für Abmahnanwälte und selbständige Datenschützer verkommen. Ich bin fest davon überzeugt, dass letzten Endes Google & Co. mit den EU Datenschützern Schlitten fahren werden. Es ist eben die gleiche EU die es schafft, über den Krümmungsgrad von Gurken Gesetzte zu erlassen. Wie bereits schon vernommen, muss ich als Bürgerin notfalls klagen, um an meine Daten zu kommen. Wenn ich das schon höre. Die Polizei verweist auf den Datenschutzbeauftragten. Wer verklagt denn die Polizei auf Herausgabe von Daten? Möge die macht mit uns Bürgern sein, damit dieser Behördenterror endlich aufhört.

  6. Ich hätte da noch eine Frage: „Wie sieht es mit Vereinen und Verzeichnis von Verarbeitungstätigkeiten aus?“ Unser Verein hat definitiv weniger als 250 Leute, die mit Mitgliederdaten hantieren, aber das was wir machen (jährliche Beitragsabrechnungen etc.) sind ja laut Definition nicht nur gelegentlich oder?

    Muss unser Verein dennoch ein solches Verzeichnis führen?

  7. Irgendwie kann ich nicht begreifen was ich jetzt tun muss. Ich bin als Immobilien- und Versicherungsmakler alleine tätig. Die Kunden wollen z.B. ein Auto versichern oder eine Wohnung anmieten oder kaufen.
    Was soll ich da für ein „Verarbeitungsverzeichnis“ führen?
    Die Anfragen mit den personenbezogenen Daten, die mir die Kunden telefonisch mitteilen, schreib‘ ich mir auf einen für das jeweilige Objekt erstellen Zettel/Blatt auf. Nach der Vermietung und Abschluss des Miet- oder Kaufvertrages werden alle Aufzeichnungen vernichtet, keine Daten weiter aufbewahrt, da der Vorgang abgeschlossen ist. Bei vermittelten Versicherungen hefte ich die aufgenommenen Anträge in einem Hängeregister ab. Endet der Vertrag wird die Akte geschrädert. Was soll ich dafür ein Verarbeitungsverzeichnis führen bzw. wie soll das aussehen? Ich weiß nicht was ich machen soll.

    • Zur Identifizierung der Verarbeitungstätigkeiten sollten Sie sich an den vorhandenen Geschäftsprozessen orientieren.
      Typische Geschäftsprozesse, die eine Verarbeitung personenbezogener Daten erfordern, sind z.B. die Kundendatenverwaltung oder die Vertragsverwaltung.

      Zur Dokumentation der Verarbeitungstätigkeiten haben die Aufsichtsbehörden Muster bereitgestellt:
      https://www.lda.bayern.de/de/infoblaetter.html

  8. Wer sich heute z. B mit einem kleinen Handwerksbetrieb selbständig macht muss bald Angst haben bereits mit einem Bein im Knast zu stehen. Ich kann das Wort Dokumentationspflicht nicht mehr hören. Dokumentation der Arbeitszeiten, des Müllaufkommens, gemäß der neuen Gewerbeabfallverordnung und jetzt dieses Monster. Alles unter Androhung von Bußgeldern. Bescheinigungen für und von Auftraggebern (Bauleistungen) aktuell halten. Diverse Nachsaetze bei Rechnungen je jach Auftraggeber. Gesonderter Auswurf von Ware/Lohnkosten/Fahrtkosten (auch MwSt) bei haushaltsnahen Dienstleistungen. Alles Neuerungen des letzten Jahrzehnts. Statt sich um Google, Amazon, Facebook und Co. zu kümmern, wird den kleinen Betrieben, die sowieso schon kämpfen müssen, noch mehr Bürokratie aufgebürdet. Wissen die Damen und Herren denn noch was sie tun?

  9. Ist immer nur das aktuelle Verarbeitungsverzeichnis vorzuhalten oder sind auch rückwirkende Versionen zu archivieren bzw. kann ich in Zukunft Auskunftspflichtig zu vergangenen Zeitpunkten sein, über Verarbeitungsverfahren die nicht mehr existent sind?

  10. Hallo, ich vertreibe eine Smartphone-App, mit der sich die Nutzer an die Geburtstage von Freunden erinnern lassen können. In der App kann man nur einen Namen, das Geburtsdatum und optional noch besondere Interessen eines Geburtstagskinds speichern. Die Speicherung und Verarbeitung aller Daten erfolgt ausschließlich auf dem Smartphone des Nutzers, ich als App-Anbieter bekomme diese Daten also niemals zu Gesicht. Nun meine Frage: Zähle ich unter diesen Umständen als jemand, der nicht nur gelegentlich Daten verarbeitet und daher ein Verzeichnis über alle relevanten Verarbeitungstätigkeiten anlegen muss? Vielen Dank für eine kurze Antwort!

    • Wenn durch den Betrieb einer App tatsächlich keine Datenverarbeitung von personenbezogenen Daten durch ein Unternehmen stattfindet, muss diesbezüglich auch kein Verzeichnis angelegt werden. Für andere Verfahren bzw. Prozesse in dem Unternehmen könnte dies jedoch notwendig sein, wenn bei diesen regelmäßig personenbezogene Daten verarbeitet werden.

  11. Vielen Dank für diesen Beitrag. Zwei Fragen bleiben offen.
    Wie oft muss dieses Formular ausgefüllt werden?
    Muss ich es einreichen oder reicht die Aufbewahrung eines solchen Formulars?
    Wäre super, wenn ihr mir kurz antworten könntet..

    • Das Verzeichnis von Verarbeitungstätigkeiten muss einmal erstellt und anschließend aktuell gehalten werden. Sie müssen also für jede bestehende Verarbeitungstätigkeit eine Übersicht erstellen, zusammen ergeben diese Übersichten dann Ihr Verzeichnis. Falls neue Verarbeitungstätigkeiten hinzukommen, sich bestehende Verarbeitungstätigkeiten ändern, oder Verarbeitungstätigkeiten wegfallen, müssen Sie Ihr Verzeichnis entsprechend anpassen. Sie müssen das Verzeichnis ohne explizite Aufforderung der zuständigen Aufsichtsbehörde nicht einreichen, die Aufbewahrung reicht aus.

  12. Was muß eine Bürotüre für Voraussetzungen erfüllen, um die Sicherheit gemäß Datenschutz zu erfüllen? Es ist die Wirtschaftlichkeit zu beachten.

    • Eine Tür wird dann datenschutzrechtlich relevant, wenn in dem dahinter liegenden Raum personenbezogene Daten verarbeitet werden. Ist das der Fall, wäre es sicherlich keine schlechte Maßnahme ein Tür zu installieren, die sich abschließen lässt. Das wäre sozusagen der Ausgangspunkt.

      Je sensibler aber die personenbezogenen Daten, desto höher sind die Anforderungen an die technischen und organisatorischen Maßnahmen, die Sie zu treffen haben.
      Zur Veranschaulichung sei hier das Beispiel „Personalabteilung“ genannt. Der Zugang zur Personalabteilung und den Personalakten sollte grundsätzlich auf die Mitarbeiter der Personalabteilung beschränkt sein, oder dokumentiert unter ihrer Aufsicht erfolgen. Der beschränkte Zugang zu dieser Abteilung in Kombination mit der Abschließbarkeit der Tür kann aus datenschutzrechtlicher Sicht ausreichend sein.
      Letztlich kommt es immer auf den Einzelfall an. Eine allgemeingültige Lösung gibt es leider nicht.

  13. Ab wieviel Mitarbeitern braucht man einen Datenschutzbeauftragten? Wir haben auch Teilzeit und 450 € Kräfte. Wie sind diese zu rechnen?

    • Nach § 38 Abs. 1 BDSG haben der Verantwortliche und der Auftragsverarbeiter ergänzend zu Art. 37 Abs. 1 lit. b und c DSGVO eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
      Mehr dazu können Sie auch unserem Blogbeitrag „Datenschutzbeauftragter und das neue BDSG – Weiterhin verpflichtend!“ entnehmen.

      Weitere Informationen zur Berechnung finden Sie z.B. bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

  14. Eine kurze Nachfrage:
    Warum gehört die Sperrzeit (End of Purpose) nicht zu den Pflichtangaben. Auch die Klassifizierung bzw. die Kritikalität gehört m.E. ins Verzeichnis der Verarbeitungstätigkeiten.

    • Die Pflichtangaben sind nur die gesetzlichen Pflichtangaben, diese finden sich in Artikel 30 DSGVO – die „Sperrzeit“ ist dort nicht vorgesehen, da direkt auf die Löschung verwiesen wird. Insgesamt ist in der DSGVO auch die Überzeugung ersichtlich, dass die Löschung von nicht mehr benötigten Daten immer einer bloßen Sperrung vorzuziehen ist.

      Was die „Klassifizierung“ oder „Kritikalität“ angeht, so sind dies Teilaspekte aus einer Datenschutz-Folgenabschätzung. Diese ist aber schon nicht für jede Verarbeitungstätigkeit zwingend erforderlich, sodass sie schon denklogisch keine Pflichtangabe sein kann – entsprechend ist sie auch nicht in Artikel 30 DSGVO aufgeführt. Soweit eine DSFA erforderlich ist, ist es natürlich sinnvoll und zielführend, diese an die entsprechende Verarbeitungstätigkeit im VVT anzuhängen oder einem digitalen DSMS direkt zu hinterlegen. Aber davon, dass etwas sehr sinnvoll ist, ist es keine gesetzliche Pflichtangabe.

  15. 100 oder mehr Einträge? Das geht schneller als gedacht. Einfach mal die Applikationsliste der IT durchgehen, dann noch die ganze Schatten-IT durchforsten (Web-Services), zusätzlich analoge Verfahren sowie Sonderthemen wie Impf- und Testdokumentationen. Als Krankenhaus oder Einrichtung mit Forschungsaktivitäten hat man dann noch dutzende Studien, die definitiv nicht subsummiert unter „Forschung“ werden können, weil die Rechtsgrundlagen und Zwecke höchst unterschiedlich sein können. Ein VVT – inklusive Risikobewertungen und mit verknüpften DSFA – kann richtig Spaß bereiten.

  16. Guten Tag. Ich darf Home-Office im Ausland machen, falls sicherheitstechnisch alle Punkte erfüllt werden. Welche sind das? Wir sind eine kleine med. Praxis mit Patientendaten. Laut dem IT-Fachmann und der Software-Verantwortlichen sei dies kein Problem. Jedoch stellt sich die Frage auf was ich achten muss aufgrund, dass im Ausland med. Patientendaten abgerufen werden. Ich verweile in der EU in einem privaten Haushalt mit fixem WLAN. Diese Frage konnte mir die IT nicht beantworten sowie das Praxis-Software Support.

    • Wir dürfen leider keine individuelle Rechtsberatung in den Blog-Kommentaren anbieten. Zudem erschließt sich nicht ganz, was Ihr Problem mit dem Verarbeitungsverzeichnis zu tun hat. Für eine detaillierte Beratung zu den Anforderungen in Ihrem Unternehmen können Sie aber gerne unseren Vertrieb kontaktieren.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.