NEWS

Das Verzeichnis der Verarbeitungstätigkeiten: Nervige Pflicht oder sinnvolles Dokumentationsinstrument?  

Für viele steht das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO sinnbildlich für den Dokumentationswahnsinn der Datenschutz-Grundverordnung. Ist diese Annahme richtig, oder bietet das Verzeichnis einen Mehrwert für Unternehmen?

Am Anfang meiner beruflichen Laufbahn war meine Meinung diesbezüglich eindeutig: Das Verzeichnis dient vor allem dazu, den Ansprüchen der Aufsichtsbehörden gerecht zu werden.

Allein der Name: Verzeichnis der Verarbeitungstätigkeiten führt bei den meisten Menschen wohl nicht zu einem Endorphinausstoß, sondern klingt nach Bürokratie und Mehraufwand. Aber nach ein paar Jahren Berufserfahrung bin ich der Meinung, dass das Verzeichnis die Grundvoraussetzung ist, um ein angemessenes Datenschutzniveau zu implementieren.  

Kurz zur Erläuterung

Die DSGVO schreibt vor, dass jedes Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten führen muss. In diesem sind alle Verarbeitungsvorgänge aufzunehmen, in denen personenbezogenen Daten verarbeitet werden. Das Verzeichnis muss unter anderem Angaben zu den Zwecken der Verarbeitung, den betroffenen Personen und den Kategorien personenbezogener Daten enthalten. In einem mittelgroßen Unternehmen kommt man leicht auf über 50 Verarbeitungsvorgänge.  

Obwohl diese Anforderung bereits nach der alten Rechtslage bestand, haben viele Unternehmen Schwierigkeiten, das Verzeichnis der Verarbeitungstätigkeiten korrekt zu erstellen und aktuell zu halten.

Hier sind einige Gründe, warum das Verzeichnis der Verarbeitungstätigkeiten für viele Unternehmen vor eine Herausforderung stellt:

1. Komplexität: das Verzeichnis der Verarbeitungstätigkeiten ist sehr umfassend und die Erstellung erfordert einen sehr detaillierten Einblick in die einzelnen Abteilungen. Dies kann insbesondere für Unternehmen mit komplexen IT-Systemen eine große Herausforderung darstellen.
2. Zeit und Kosten: Die Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten erfordert Zeit und Ressourcen.
3. Änderungen: Unternehmen müssen das Verzeichnis der Verarbeitungstätigkeiten ständig aktualisieren, um sicherzustellen, dass es immer auf dem neuesten Stand ist. Dies erfordert Prozesse, um so Änderungen und Neuerungen direkt zu dokumentieren.

Was sind die Vorteile

Die meisten Unternehmen haben in den letzten Jahren die Digitalisierung vorangetrieben. Dabei hat sich die Verarbeitung von personenbezogenen Daten maßgeblich verändert und es werden deutlich mehr Daten verarbeitet als noch vor ein paar Jahren. Auch werden immer mehr Dienstleister eingesetzt, die im Auftrag Daten verarbeiten. 

Diese Entwicklung führt dazu, dass viele Unternehmen nicht mehr genau wissen welche Daten, von wem und zu welchen Zwecken verarbeitet werden. Gerade bei internationalen Konzernstrukturen stellt dies ein riesiges Problem dar, weil gerade in diesem Bereich hohe Bußgelder drohen. Aber auch bei kleineren Unternehmen ist es eine Grundvoraussetzung zu wissen welche Daten verarbeitet werden, um Bußgelder und Schadensersatzansprüche zu vermeiden. 

Genau an dieser Stelle, kommt das Verzeichnis nach Art. 30 DSGVO ins Spiel, weil hierdurch eine Übersicht erstellt wird, welche Daten verarbeitet werden. Immer wieder haben wir festgellt, dass Daten verarbeitet werden, obwohl dies für das Unternehmen keinen Mehrwert bringt. Häufig wurden diese Prozesse vor Jahren eingeführt und seitdem nicht mehr hinterfragt.

Diese Prozesse sind aber ggf. nicht mit der DSGVO zu vereinbaren und stellen somit ein Risiko dar. Ein fertiggestelltes Verzeichnis ermöglicht es, diese Schwachpunkte zu erkennen und anschließend anzupassen. 
Üblicherweise wird das Verzeichnis der Verarbeitungstätigkeiten als Word-Datei angelegt. Dies ist auch gesetzeskonform, aber häufig sind diese Dateien über hundert Seiten lang und deswegen sehr unübersichtlich, so dass diese nach dem Erstellen nie wieder angefasst werden. 

Der FKC Datenschutz nutzt aus diesem Grund eine Excel-Tabelle, die nach Fachabteilungen gegliedert ist und so einen schnellen Überblick ermöglicht. Außerdem haben wir viele Beispiele aus unserer jahrelangen Beratung mit aufgenommen, die in vielen Unternehmen identisch sind, so dass das Erstellen schneller vorangeht. Die Beispiele bieten die Möglichkeit typische Problemfelder zu erkennen und daraufhin einen Maßnahmenplan zu erstellen, um so die Anforderung der Datenschutzgesetze Stück für Stück umzusetzen.

Fazit

Ohne eine Übersicht der einzelnen Verarbeitungsvorgänge, ist ein effektiver und umfassender Datenschutz nicht möglich.  
Daher ist das Verzeichnis die Grundlage, um die weiteren erforderlichen Schritte einzuleiten. Doch nicht nur aus datenschutzrechtlicher Sicht, ist es sinnvoll sich eine Übersicht zu verschaffen, denn dadurch können bestehen Prozesse angepasst und optimiert werden.

Falls Sie das Verzeichnis der Verarbeitungstätigkeiten noch nicht finalisiert haben, können Sie sich gerne bei uns melden und wir unterstützen Sie dabei.