Das interne Verfahrensverzeichnis DSGVO-konform führen

Datenschutzbeauftragtenfinden.de Wissensartikel

Die Strafen gegen einen Verstoß der europaweit geltende Datenschutzgrundverordnung (EU-DSGVO) sind bisher noch milde ausgefallen. Strafen in zweifacher Millionenhöhe musste bisher nur das Internetunternehmen Google zahlen – verhängt von der französischen Datenschutzbehörde. In diesem Artikel beschreiben wir das interne Verfahrensverzeichnis, welche  die personenbezogene Daten im internen Verfahrensverzeichnis erfasste sind und die Rechtsgrundlage.

Das interne Verfahrensverzeichnis DSGVO-konform führen

Das interne Verfahrensverzeichnis – auch „Verzeichnis für Verarbeitungstätigkeiten“ (VVT) – gibt es seit Inkrafttreten der europaweit geltenden Datenschutzgrundverordnung (DSGVO) seit Mai 2018 nicht mehr. Dem europäischen Recht zufolge sind nur noch Unternehmen mit über 250 Mitarbeitern verpflichtet, ein VVT einzusetzen zumal so gut wie jedes Unternehmen personenbezogene Daten verarbeitet. Wer also schon vor Inkrafttreten der DSGVO ein Verfahrensverzeichnis geführt hat, kann auf dessen Grundlage das VVT weiter ausbauen.

Das ist im Artikel 30 der Datenschutzgrundverordnung (DSGVO) fest verankert. Dieses Verzeichnis ist für Unternehmen, die mehr als 250 Mitarbeiter beschäftigen, ein Pflichtdokument. In ihm sind sämtliche Vorgänge der Verarbeitung von personenbezogenen Daten – wie der Name, Anschrift und die E-Mail-Adresse – enthalten. Es sorgt für Transparenz, schafft Vertrauen und baut den Schutz der Daten aus. Zusätzlich ist notwendig, dass das Verfahrensverzeichnis sorgfältig und sowohl durch den Datenschutzverantwortlichen und den Auftragsverarbeiter geführt werden muss.

Seit dem 25. Mai 2018 gehört das VVT zu den Pflichtdokumenten. Wenn personenbezogene Daten automatisch oder manuell verarbeitet werden, müssen alle Details zu den Prozessen dokumentiert werden. Sowohl die Personen, deren Daten erfasst wurden als auch die Behörden hatten das Recht auf Einsichtnahme. Im Artikel 4, Nr. 2 werden die rechtlichen Voraussetzungen der Verarbeitungstätigkeit detailliert aufgezählt. Werden diese Voraussetzungen nicht eingehalten, steigt das Risiko von massiven Strafzahlungen.

Die Rechtsgrundlagen des VVT

Wie oben erwähnt ist das VVT hauptsächlich im Artikel 30 des DSGVO geregelt – ergänzt durch die Erwägungsgründe 13 (Berücksichtigung von kleinen und mittelständischen Unternehmen) und der Erwägungsgrund 82 (zum Nachweis der Einweisung). Auch die Artikel 9, 10, 39 und 42 spielen in diesem Zusammenhang eine Rolle. Das neue Bundesdatenschutzgesetz (BSDG-neu) wird angewandt, um die Vorgaben der DSGVO zu ergänzen und weiter zu konkretisieren.

In der DSGVO ist genau geregelt, wie die Verarbeitung der personenbezogenen Daten nach dem Inkrafttreten der Verordnung erfolgen muss. Das schriftlich zu führende VVT, das jederzeit von Behörden angefordert werden kann, ist durch den Verantwortlichen für Datenschutz oder dessen Stellvertreter zu erfassen. Dabei ist genau zu erfassen, welche Daten sie sammeln und zu welchem Zweck diese verarbeitet werden. Es ist zu klären, welches Datenschutzmaß eingehalten wurde.     

Welche Punkte müssen im VVT enthalten sein?

Durch die Verarbeitung von personengebundenen Daten sehen sich fast alle Unternehmen der vom Gesetzgeber auferlegten Pflicht gegenüber. Doch es gibt auch Regellungen, die konkret auf die Zahlen anspielen. Ein Beispiel: Hat ein Betrieb mehr als neun Personen, die sich hauptamtlich mit dem Datenschutz befassen, muss ein Datenschutzbeauftragter eingesetzt werden. Dieser übernimmt dann die Tätigkeiten, die zum Datenschutz gehören.

Bei einer geringeren Anzahl an Mitarbeitern, die mit der Datenverarbeitung beschäftigt sind, braucht zwar kein Datenschutzbeauftragter eingestellt zu werden, doch die Pflicht, ein Verzeichnis zur Verarbeitungsvereinbarung zu erstellen, bleibt bestehen. In einem solchen Fall muss ein interner Mitarbeiter bestimmt werden, der die Aufgaben eines Datenschutzbeauftragten wahrnimmt und zu dessen Aufgabenbereich die Erstellung des VVT gehört.

Personenbezogene Daten, die im VVT erfasst werden

Das VVT laut Artikel 30 DSGVO dient vorrangig dazu, personenbezogene Daten zu erfassen und zuzuordnen mit dem Ziel, die Daten eines Menschen noch stärker zu schützen. Nach den Richtlinien der DSGVO sind im VVT seit Mai 2018 die folgenden Daten einer Person und im Zusammenhang mit der unternehmerischen Tätigkeit zu erfassen:

  • Name und Kontakt der verantwortlichen datenverarbeitenden Stelle
  • Name und Kontaktdaten des Datenschutzbeauftragen (soweit vorhanden)
  • Zweck der Verarbeitung
  • Kategorien der Daten
  • Auflistung sämtlicher Betroffene
  • Auflistung von Datenempfängern und zur Einsicht befugten Personen oder aber die Kategorien der Empfängern (eventuell im Drittland)
  • Technische und organisatorische Maßnahmen, die getroffen wurden
  • Löschfristen der Daten
  • Name und Kontaktdaten des im Unternehmen Verantwortlichen

Existiert im Unternehmen Dokumente beispielsweise zum Thema Datenschutz- oder Löschkonzept ist es legitim, dass die VVT darauf verweist. Im Allgemeinen sollte gelten, dass das VVT im Arbeitsalltag aktiv geführt und kontinuierlich aktualisiert wird. Außerdem müssen alle Verarbeitungsvorgänge, die ausgelaufen sind, aus dem Verzeichnis zu löschen sind.

Fazit – komplex, aber notwendig

Seit Inkrafttreten der DSGVO müssen quasi alle Unternehmen, die mit Personen arbeiten, ein VVT aufzusetzen und ein hohes Maß an Dokumentationspflichten erledigen. Die personenbezogenen Daten – dazu gehören Kunden, Partnern und Einkaufsunternehmen – müssen sorgfältig und genau verarbeitet werden.

Wird dann ein Fehlverhalten des Unternehmens beispielsweise durch ein unvollständiges oder ein gänzlich fehlendes VVT durch das Unternehmen festgestellt, drohen Strafzahlungen in Höhe von 20 Millionen Euro oder aber 4 Prozent des weltweiten Vorjahresumsatz. Die Strafzahlungen sind im Artikel 83 DSGVO aufgelistet.

Sie suchen einen externen Datenschutzbeauftragten? Jetzt Datenschutzbeauftragten finden.

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Schreibe einen Kommentar