In allen Betrieben werden personenbezogene Daten erfasst und verarbeitet. Egal, ob ein Kunde mit Anschrift und Telefonnummer oder Lieferanten mit ihrem Warenangebot gespeichert sind und ob diese „Speicherung“ tatsächlich auf einem Datenträger oder in Papierform erfolgt. Die DSGVO schreibt vor, dass in einem Verzeichnis sämtliche Vorgänge aufgeführt werden, in denen personenbezogene erfasst oder verarbeitet werden, wer Zugriff auf diese Daten hat und wie gewährleistet wird, dass kein Fremder auf diese Daten zugreifen kann.

Ziel dieses Verzeichnisses ist es, eine Übersicht über alle Verarbeitungsvorgänge im Betrieb zu führen, in die personenbezogene Daten eingebunden sind. Es ist damit die Grundlage für die Auswahl und Umsetzung von Maßnahmen für einen optimalen Datenschutz. Denn erst wenn bekannt ist, in welchen Prozessen welche personenbezogenen Daten verarbeitet werden, aus welchem Grund das passiert, wer Zugriff darauf hat usw., können die Anforderungen der DSGVO an diese Verarbeitungsprozesse sowie die Rechte betroffener Personen zielführend umgesetzt werden.

Was sind „personenbezogene Daten“?

Laut DSGVO sind "personenbezogene Daten […] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden 'betroffene Person') beziehen". Als "identifiziert" gilt eine betroffene Person immer dann, wenn aus den vorliegenden Daten ganz klar erkennbar ist, um welche Person es sich konkret handelt. Das ist z. B. immer dann der Fall, wenn Name, Adresse und Geburtsdatum vorliegen.

Was versteht man unter „Verarbeitung“?

Die DSGVO versteht unter Verarbeitung "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung". Also kurz gesagt: Jedes auch nur irgendwie mit den Daten in Verbindung kommen zählt bereits als Verarbeitung.

Welche Verarbeitungsprozesse müssen in das Verzeichnis aufgenommen werden?

Bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten muss berücksichtigt werden, dass es hier nicht nur um Prozesse geht, in denen eindeutig identifizierbare Merkmale wie ein Name verarbeitet werden, sondern auch um solche, in denen andere Informationen über eine Person enthalten sind. Damit beinhaltet der Begriff „Verarbeitung personenbezogener Daten“ eigentlich nahezu alle Vorgänge im Betrieb. Selbst in Vorgängen, die nur den Betrieb intern betreffen, sind in der Regel personenbezogene Daten enthalten: Vor allem natürlich im eigenen Personalwesen, aber auch in Unterlagen wie z. B. einer Jahresplanung oder der Auslastungsübersicht finden sich Namen von Mitarbeitern oder Kundennummern.

Wird tatsächlich ein einzelnes Verfahren erkannt, in dem keinerlei personenbezogene Daten vorzufinden sind, muss sichergestellt werden, dass dies auch in Zukunft so bleibt. Es ist daher sinnvoll, auch solche Prozesse in das Verzeichnis aufzunehmen, um sie bei regelmäßigen Aktualisierungen nicht zu übersehen.

Zusammenfassend kann man sagen, dass alle Prozesse eines Betriebs im Verzeichnis der Verarbeitungstätigkeiten wiedergefunden werden sollten – entweder um datenschutzrelevante Informationen zu erfassen oder um sie bei künftige Überprüfungen der Prozesslandschaft nicht zu übersehen. Dabei spielt es keine Rolle, ob die Verarbeitung der Daten auf Papier oder EDV-gestützt erfolgt. Ein handgeführtes Postausgangsbuch zählt ebenso zur Verarbeitung wie die regelmäßige Sicherung des gesamten Datenbestandes in einem Rechenzentrum.

Der Inhalt des Verzeichnisses

Neben grundlegenden Angaben wie Name, Anschrift und Kontaktdaten des Betriebs sowie der Nennung geschäftsführender Personen und des Datenschutzbeauftragten, werden einige Informationen gefordert, die vermutlich zunächst erläutert werden müssen. So hat das Verzeichnis zu enthalten:

die jeweilige Verfahrensbezeichnung (eindeutige Nummerierung hilfreich),

• Zweckbestimmungen der Verarbeitung,
• Beschreibung der betroffenen Personengruppen,
• Beschreibung der personenbezogenen Daten oder Datenkategorien,
• Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (einschließlich Empfänger in Drittländern oder internationalen Organisationen),
• für den Fall von Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, ggf. die Dokumentierung geeigneter Garantien,
• Regelfristen für die Löschung der Daten,
• eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Tipp

Das Verzeichnis der Verarbeitungstätigkeiten sollte um die Rechtsgrundlage der Verarbeitung und eine Risikobewertung ergänzt werden. Zweck dieser Ergänzung ist die Beurteilung der Rechtmäßigkeit der Verarbeitung und die Einschätzung Risikos für den Betroffenen.

Die Betriebsleitung sollte sich in erster Linie darauf konzentrieren, die Verfahren zusammenzutragen und erste Details dazu zu erfassen. Für alle Angaben, die tiefergehende datenschutzrechtliche Kenntnisse erfordern, sollte ein Datenschutzbeauftragter bzw. die mit der Umsetzung betraute Person unterstützend hinzugezogen werden und die entsprechenden Angaben gemeinsam zu ergänzen.