Während es in den bisherigen Teilen um die Rechtsgrundlagen der Datenverarbeitung ging, wird sich dieser Teil den Dokumentations- und Rechenschaftspflichten widmen (auch bezeichnet als „Accountability“, Art. 5 Abs. 2 DSGVO).

Kurz gesagt möchte der Gesetzgeber mit erhöhten Dokumentationspflichten dafür sorgen, dass Unternehmen sich mehr Gedanken um den Datenschutz machen, und forciert dies mit Bußgeldern von bis zu zwei Prozent des Jahresumsatzes.

Der Zeitaufwand wird je Unternehmen unterschiedlich ausfallen, ist jedoch eher in Tagen als in Stunden zu messen.

Unternehmen, die auch schon nach altem Recht ein „Verarbeitungsverzeichnis“ geführt haben, sparen sich viel Aufwand. Sie können die bisherigen Aufzeichnungen in ein „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 DSGVO) überführen und müssen nur noch die bestehenden Prozesse auf deren Zulässigkeit nach der DSGVO prüfen (siehe Teile 2 und 3 der Beitragsreihe).

Alle anderen Unternehmen haben dagegen leider fast ausnahmslos einen nicht unerheblichen Fleißaufwand vor sich.

Die Befreiung kommt praktisch nur für kleine Offline-Unternehmen infrage.

Viele Unternehmen verweisen darauf, dass das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von den Rechenschaftspflichten befreit (Art. 30 Abs. 5 DSGVO). Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.

Da moderne Unternehmen Daten, sei es via Website, Shop, CRM-Systeme, Lohnabrechnungssysteme etc. permanent verarbeiten, wird diese Befreiung äußerst selten zur Anwendung kommen.

Es gibt Vorgaben für den Inhalt, aber nicht für die Art seiner Darstellung.

Für das Verzeichnis der Verarbeitungstätigkeiten bestehen zwar inhaltliche Vorgaben (Art. 30 DSGVO), die Form ihrer Umsetzung ist jedoch frei wählbar. Je nach Unternehmensgröße und Arten der Verarbeitungen werden unterschiedliche Ansätze verfolgt.

Im Folgenden zeige ich, wie die Umsetzung zum Beispiel in einem kleineren Unternehmen erfolgen kann. Dabei geht es mir darum, das Grundverständnis zu vermitteln. Für Details und vertiefende Ausführungen verweise ich auf die Linkliste am Ende des Artikels.

Im Grundkonzept setzt sich das Verzeichnis der Verarbeitungstätigkeiten aus Grundangaben, einzelnen Verarbeitungstätigkeiten und dem Sicherheitskonzept zusammen.

1. Schritt – Grundangaben zum Unternehmen

Die Grundangaben zum Unternehmen bereiten keine Schwierigkeiten.

In diesem Schritt geht es lediglich um die Angaben zum Unternehmen, den zuständigen Personen und dem Datenschutzbeauftragten, welche in dieser Form erfolgen können:

Verzeichnis der Verarbeitungstätigkeiten – Grundangaben
Name des Unternehmens:	Musterfrau GmbH
Adresse des Unternehmens:	Paul-Lincke-Ufer 42/43, 10999 Berlin
Geschäftsführer/in:	Helga Musterfrau
Registergericht, Registernummer	AG Berlin-Charlottenburg, HRB 0123456X
Kontaktdaten (Telefon, E-Mail):	Telefon 030/01234567890, info@musterfraugmbh.xyz
Zuständige Person für den Datenschutz, bzw. Datenschutzbeauftragter/ Kontaktdaten (Telefon, E-Mail):	Max Mustermann, interner DSB, Adresse wie oben, mm@musterfraugmbh.xyz, Tel. 030/01234567890

2. Schritt – Einzelne Verarbeitungstätigkeiten bestimmen

Die einzelnen Verarbeitungstätigkeiten stellen den Kern des Verzeichnisses dar.

Die wesentliche Arbeit entfällt auf die Darstellung der einzelnen Verarbeitungstätigkeiten. Dabei kann bereits die Identifizierung und Zusammenfassung einzelner Verarbeitungsprozesse Schwierigkeiten bereiten.

Dabei gilt es, die einzelnen Tätigkeiten eher zu fein als zu grob gliedern. Die folgenden Beispiele einzelner Verarbeitungstätigkeiten (unterteilt in Kategorien) können dabei als Orientierungshilfe dienen:

Beispiele typischer Verarbeitungstätigkeiten:

• Personalmanagement (Lohnabrechnung, Arbeitszeiterfassung, Bewerber, Bewertung);
• Onlineshop (Vertragsdaten, einzelne Käufe, Profiling zum Kaufverhalten);
• Mobile Applikation (Vertragsdaten, Verhaltensprofile, Inhalte);
• Marketingmaßnahmen (Tracking & Remarketing, Newsletter, Postmailings, Gewinnspiele);
• Sicherheit (Videoüberwachung, Chipkarten, Serverprotokollierung);
• Verarbeitung von Daten im Auftrag Dritter.

3. Schritt – Angaben zu einzelnen Verarbeitungstätigkeiten

Die Verarbeitungstätigkeiten müssen detailliert dokumentiert werden. 

Nachdem du die einzelnen Verarbeitungstätigkeiten aufgestellt hast, musst du die im Art. 30 DSGVO gesetzlich vorgesehenen Angaben machen. Hierbei solltest du dir die einzelnen Verarbeitungstätigkeiten als Baukästen vorstellen, die du mit weiteren Bausteinen befüllst.

Die folgenden Beispiele zeigen, wie diese „Bausteine“ im Fall der Datenkategorien und Kategorien betroffener Personen lauten können.

Beispiele von Datenkategorien:

• Beschäftigtenstammdaten (Namen, Adressen, Lohngruppe, Steuermerkmale);
• Bewerberdaten (Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen);
• Kundenstammdaten (Namen, Adressen, Kontaktdaten, Zahlungsinformationen, Kundenkategorie, Bonitätsdaten);
• Nutzungsdaten (zum Beispiel Klickverhalten, Kaufverhalten, Interessen);
• Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten)

Beispiele von Kategorien Betroffener:

• Beschäftigtenstammdaten (Namen, Adressen, Lohngruppe, Steuermerkmale);
• Bewerberdaten (Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen);
• Kundenstammdaten (Namen, Adressen, Kontaktdaten, Zahlungsinformationen, Kundenkategorie, Bonitätsdaten);
• Nutzungsdaten (zum Beispiel Klickverhalten, Kaufverhalten, Interessen);
• Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten)

Diese Beispiele sind nicht abschließend, und es würde den Rahmen sprengen, an dieser Stelle alle möglichen „Bausteine“ oder gar Verarbeitungstätigkeiten darzustellen. Als Beispiel einer Verarbeitungstätigkeit wähle ich einen Newsletter:

Verzeichnis der Verarbeitungstätigkeiten – Verarbeitungstätigkeit
Bezeichnung:	Marketing/Newsletter
Datenkategorien	1. Stammdaten der Empfänger (Vorname, Name, E-Mail-Adresse). 2. Anmeldedaten (Zeitpunkt Anmeldung, Bestätigung, IP-Adresse). 3. Nutzungsdaten (Öffnungsraten, Klicks auf Links, je nebst Zeitpunkt).
Betroffene Personen:	1. Newsletterempfänger. 2. Newsletterempfänger. 3. Newsletterempfänger.
Zwecke	1. Adressierung und Ansprache. 2. Nachweis wirksamer Einwilligungen. 3. Optimierung der Nutzerfreundlichkeit, interessantere Inhalte, Steigerung wirtschaftlicher Effizienz.
Rechtsgrundlage	1. Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung). 2. Art. 6 Abs. 1 lit. f (berechtigte Interessen). 3. Art. 6 Abs. 1 lit. f (berechtigte Interessen).
Datenquelle:	Anmeldeformular auf Website, ausdrückliche Einwilligung, DOI-Verfahren.
Information der Betroffenen:	Hinweis auf Inhalte, Datenschutzerklärung, Analyse, Versanddienstleister und Widerruf beim Anmeldeformular; Details in der Datenschutzerklärung.
Empfänger:	1. Intern: IT, Marketing, Extern: MailChimp (Privacy Shield, DPA). 2. Intern: IT, Marketing, Extern: MailChimp (Privacy Shield, DPA). 3. Intern: IT, Marketing, Extern: MailChimp (Privacy Shield, DPA).
Löschung:	1. Mit Kündigung, Aufbewahrung 6 Jahre § 257 Abs. 1 HGB. 2. Mit Kündigung, Aufbewahrung 6 Jahre § 257 Abs. 1 HGB. 3. Mit Kündigung, Aufbewahrung 6 Jahre § 257 Abs. 1 HGB.
Schutzmaßnahmen	Es wird auf die TOMs verwiesen.

Ich denke schon anhand dieses Beispiels wird es klar, wie viele Verarbeitungstätigkeiten nebst Angaben zusammenkommen können. Als Tipp empfehle ich, lieber zu viele als zu wenige Angaben zu machen und sie mit eigenen Worten auszudrücken.

Schritt 4 – Technische und organisatorische Maßnahmen

Art. 32 DSGVO verpflichtet, für die Sicherheit der Datenverarbeitung nach dem aktuellen Stand der Technik zu sorgen.

Hier musst du darstellen, welche technischen und organisatorischen Maßnahmen (kurz „TOMs“) ergriffen worden sind, um die verarbeiteten personenbezogenen Daten vor Kenntnisnahme durch Unbefugte, Zerstörung oder Missbrauch zu schützen.

Auch an dieser Stelle gibt es umfangreiche Orientierungshilfen, auf die man zurückgreifen kann. Ich empfehle, die TOMs einmal zusammenfassend darzustellen und auf diese im Rahmen der folgenden Verarbeitungstätigkeiten zu verweisen. Spezielle TOMs einzelner Verarbeitungstätigkeiten lassen sich bei diesen aufnehmen.

Verzeichnis der Verarbeitungstätigkeiten – Allgemeine technische und organisatorische Maßnahmen (TOMs)
Zutrittskontrolle (Sicherheitsschlösser, Videoüberwachung, Beaufsichtigung von Hilfskräften) Tbc.
Zugangskontrolle (Firewalls, Virenschutz, Authentifizierungskonzepte)
Zugriffskontrolle (Sichere Aufbewahrung, Vernichtung, Verschlüsselung)
Weitergabekontrolle (Festlegung Empfänger, Pseudonymisierung, Verschlüsselung)
Eingabekontrolle (Protokollierung)
Auftragskontrolle (Weisungen, Vertragliche Verpflichtungen)
Verfügbarkeitskontrolle (Notfallkonzept, Backup-System)
Gewährleistung des Zweckbindungs-/Trennungsgebotes (zum Beispiel physische Datentrennung, Berechtigungskonzepte)

Auch hier gilt: Orientiere dich an den Gegebenheiten in deinem Unternehmen und verpflichte die zuständigen Mitarbeiter/Abteilungen, die Sicherheitsmaßnahmen aufzulisten.

Damit wäre das eigentliche Verzeichnis der Verarbeitungstätigkeiten fertig. Allerdings muss es gegebenenfalls noch um eine Datenschutz-Folgenabschätzung ergänzt werden. Diese erkläre ich auf der nächsten Seite.

Als wenn das Verzeichnis der Verarbeitungstätigkeiten nicht schon kompliziert genug wäre, müssen Unternehmen ihre Verarbeitungstätigkeiten in bestimmten Fällen einem Stresstest unterziehen (Art. 35 DSGVO). Das ist der Fall, wenn:

• Profiling als Grundlage für schwerwiegende Entscheidungen, wie zum Beispiel Bonitätsbeurteilung, eingesetzt wird.
• im großen Umfang sensible Daten verarbeitet werden (betreffend gemäß Art. 9 DSGVO, unter anderem zu Sexualität, Gesundheit, politischer Gesinnung, Biometrie etc. und Straftaten).
• Videoüberwachung eingesetzt wird.

In diesen Fällen müssen Unternehmen die möglichen Risiken aufzählen und in einem Bericht darlegen, wie sie diese abwenden können. Ist dies nicht möglich, müssen sie eine Meldung an die zuständige Datenschutzaufsichtsbehörde erstatten. Die geprüfte Verarbeitungstätigkeit muss permanent evaluiert und aktuell gehalten werden.

Angenommen, der Newsletter im obigen Beispiel würde zum Beispiel an Mitglieder eines Gesundheitsportals versendet werden, die Inhalte wären individuell auf die angegebenen Krankheiten und Beschwerden der Nutzer zugeschnitten und deren Link-Klickverhalten würde, wie bei Newslettern üblich, protokolliert werden. Dann ist eine Datenschutz-Folgenabschätzung zu empfehlen (da es sich um Gesundheitsdaten handelt) und würde beispielsweise für das Risiko eines unerlaubten Zugriffs auf die Datenbank wie folgt (vereinfacht und zusammenfassend) aussehen:

Risiko:	Unbefugter Zugriff auf die Datenbank
Datenkategorien zur Folgenabschätzung:	Gesundheitsdaten
Betroffene:	Newsletterempfänger
Einstufung des Risikos (physisch, materiell, immateriell):	Eintrittswahrscheinlichkeit: normal. Schaden für Betroffene: erhöht (Spam, Phishing, etc.) an E-Mail-Adresse; soziale Nachteile aufgrund des Bekanntwerdens von Krankheiten.
Schutzmaßnahmen:	Hard- und Softwarefirewall, sofortige Updates der Soft- und Hardware, aktueller Stand der Technik, Intrusion Detection Systeme, Berechtigungskonzept und Passwortmanagement, besondere Belehrung der Beschäftigten, zugesicherte Schutzmaßnahmen des Webhosters, Information der Nutzer.
Risiko hinreichend gebannt (Abwägung mit verbleibenden Risiken):	Das Risiko ist hinreichend gebannt, die verbleibenden Risiken sind verhältnismäßig: Als mildere Maßnahme bietet sich die Datenminimierung (Art. 5 Abs. 2 DSGVO) durch Verzicht auf statistische Erhebungen des Leseverhaltens an. Es handelt sich jedoch gerade um die Kernfunktion, die mit einer Vorselektion von relevanten Informationen einen besonderen Nutzern für die Empfänger bietet. Ferner werden Nutzer auf die Analyse hingewiesen und in der Datenschutzerklärung ausführlich informiert. Daher kann die auf Art. 6 Abs. 1 lit. a und f DSGVO gestützte Funktion beibehalten werden, ohne die Rechte der Nutzer zu verletzen.
Freigabe erteilt:	Ja

Falls du jetzt denkst, dass der Datenschutz im Unternehmen genauso kompliziert geworden ist wie die Abgabe der Steuererklärung, dann hast du Recht.

Denk bitte daran, dass das Verzeichnis der Verarbeitungstätigkeiten turnusmäßig (mindestens einmal im Jahr) und bei Änderungen aktualisiert werden muss. Ferner wird es bei Unternehmen mit mehreren Beschäftigten und einer Vielzahl von Verarbeitungsprozessen häufig wirtschaftlich sinnvoller sein, Fachleute zu beauftragen. Vor allem wenn eigene Datenschutzkapazitäten fehlen, können externe Datenschutzbeauftragte oder spezialisierte Rechtsanwälte bei der Befolgung all der Rechenschaftspflichten Unterstützung leisten. Im Fall der aufwendigen Datenschutz-Folgenabschätzung wird dies sicher notwendig sein.

Ob sich das Datenschutzniveau durch die Formalisierung des Datenschutzes steigert, werden wir mit der Zeit sehen. Angesichts des Aufwandes ist es zu hoffen.

Im letzten Teil dieser Beitragsreihe wird es um zwei weitere wichtige Aspekte des täglichen Geschäfts gehen: die Übermittlung von Daten an Dritte, die Rechte der Nutzer und Datenschutzerklärungen.

Linkliste

• Datenschutzkonforme Datenverarbeitung nach der EU-Datenschutz-Grundverordnung BITKOM 30.05.2017 mit Leitfäden zum  Verarbeitungsverzeichnis und zur Datenschutz-Folgenabschätzung.
• Kurzpapiere zum Verzeichnis von Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung bei der Niedersächsischen Aufsichtsbehörde.
• Themenseite Datenschutz-Grundverordnung bei der Rheinland-Pfälzischen Aufsichtsbehörde.
• Liste von Datenkategorien der Nationalen Kommission für den Datenschutz.
• Hinweise zum Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde in Sachsen-Anhalt

Bisheriger Teile der DSGVO-Beitragsreihe

Teil 1 – DSGVO: Diese Änderungen kommen auf dein Online-Business zu

Teil 2 – DSGVO: Welche Daten du nutzen darfst – und welche nicht

Teil 3 – DSGVO: So holst du Einwilligungen richtig ein