Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art. 30 EU-DSGVO hat jeder Verantwortliche einer Verarbeitungstätigkeit ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis ist regelmäßig (mindestens einmal jährlich) zu aktualisieren und auf Anfrage der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) als zuständiger Aufsichtsbehörde vorzulegen, damit die einzelnen Verarbeitungsvorgänge bzw. -verfahren kontrolliert werden können. Es ersetzt das bisher aus dem NDSG bekannte Verfahrensverzeichnis mit den darin enthaltenen Verfahrensbeschreibungen nach § 8 NDSG (Fassung vom 29. Januar 2002) und ist künftig nicht mehr in einen "öffentlichen" und einen "behördeninternen" Teil zu untergliedern.

Gemäß § 2 "Erweiterte Anwendung der Datenschutz-Grundverordnung" des novellierten NDSG (Fassung vom 16. Mai 2018) finden die Regelungen der Datenschutz-Grundverordnung abweichend von Art. 2 Abs. 1 EU-DSGVO grundsätzlich auch Anwendung auf die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem weder gespeichert sind noch gespeichert werden sollen. Sobald personenbezogene Daten - unabhängig davon, ob es sich um Daten in elektronischer oder Papierform handelt - in einem Dateisystem gespeichert werden, muss hierfür im VVT eine entsprechende Dokumentation erfolgen.

Gemäß Art. 30 EU-DSGVO enthält das „Verarbeitungsverzeichnis“ zumindest sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern (z.B. "Beschäftigte", "Studierende", "Lehrende", "Lieferanten" usw.), gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationale Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 genannten Daten­übermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1.

 

Außer zur Umsetzung dieser Verpflichtung nach Art. 30 EU-DSGVO sollte das Verarbeitungsverzeichnis gemäß den Empfehlungen der LfD zudem als Grundlage zur Erfüllung weiterer datenschutzrechtlicher Pflichten verwendet werden, z.B.:

  • für eine Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 b EU-DSGVO,
  • für Zwecke der Rechenschafts- und Dokumentationspflicht, Art. 5 Abs. 2, Art. 24 EU-DSGVO,
    • als Nachweis der Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 a EU-DSGVO,
    • als Nachweis der Datenminimierung nach Art. 5 Abs. 1 c EU-DSGVO,
    • als Nachweis der Richtigkeit und Aktualität der Daten nach Art. 5 Abs. 1 d EU-DSGVO,
  • als geeignete Maßnahme zur Erfüllung der Betroffenenrechte nach Art. 12 Abs. 1 EU-DSGVO,
  • zur Schaffung und als Nachweis geeigneter technischer und organisatorischer Maßnahmen nach Art. 24 Abs. 1 und Art. 32 EU-DSGVO,
  • zur Prüfung, ob eine Datenschutzfolgenabschätzung nach Art. 35 EU-DSGVO erfolgen muss,
  • als Basis für die Aufgabenerfüllung des Datenschutzbeauftragten nach Art. 39 EU-DSGVO.

Hierzu sollen beispielsweise einzelne Datenfelder, die Herkunft bzw. Quelle der Daten, die Rechtsgrundlage für die Verarbeitung, verantwortliche Mitarbeiter, zugriffsberechtigte Personen/Personengruppen usw. mit in die Dokumentationen der Verarbeitungstätigkeiten aufgenommen werden.

Das VVT soll künftig, nicht zuletzt aufgrund der zu erwartenden sehr hohen Zahl an anzuzeigenden und der Genehmigung unterliegenden Dokumentationen, elektronisch basiert geführt werden. Es ist geplant im Jahr 2019 ein entsprechendes System einzuführen. Bis dahin kann ein papierbasierter Entwurf als Vorbereitung bzw. zur vorläufigen Orientierung verwendet werden (siehe unten).

Die Dokumentation wird in folgende Teile untergliedert:

  • jeweils gültige Stammdaten der TU Braunschweig und der datenverarbeitenden Organisationseinheit: (Gesamt-) Verantwortliche(r) bzw. Organisation, Geschäftsführung (und Beauftragter) der TU Braunschweig, Verantwortliche der Fachabteilung/ Organisationseinheit, Datenschutzbeauftragter, Aufsichtsbehörde (dieses Stammblatt wird jedoch ggf. zentral erstellt und nur bei entsprechenden Änderungen erneuert);
  • Dokumentations- und Genehmigungsblatt für die jeweilige Verarbeitungstätigkeit mit Pflichtangaben nach Art. 30 Abs. 1 EU-DSGVO sowie dem bisher aus den Verfahrensbeschreibungen bekannten Genehmigungsprozess;
  • Anlage 1: Dokumentationshilfe zur Erfüllung weiterer datenschutzrechtlicher Pflichten gemäß Art. 5, Art. 12, Art. 24, Art. 32, Art. 35 und Art. 39 EU-DSGVO einschließlich der Angaben zum verantwortlichen Ansprechpartner für die Verarbeitung ("Verfahrenseigner");
  • Anlage 2: Prüfung, ob eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO erfolgen muss
  • ggf. weitere Anlagen zur Dokumentation der Verarbeitungstätigkeit (z.B. Datenschutzerklärung, Berechtigungskonzept usw.).

 

Sie finden (hochschulintern) einen Mustervordruck zur Dokumentation von Verarbeitungstätigkeiten im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten unter diesem Link.

Die (ebenfalls nur zum internen Gebrauch bestimmten) Ausfüllhinweise zur Dokumentation finden Sie unter diesem Link.

Das Verzeichnis von Verarbeitungstätigkeiten stellt ein zentrales und wesentliches Instrumentarium im Rahmen der Dokumentations- und Rechenschaftspflicht dar und dient u.a. auch dazu, der Datenschutz-Aufsichtsbehörde (hier: der LfD) die Möglichkeit zu bieten, "die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse" einsehen und kontrollieren zu können. Im Gegensatz zu den bisherigen Regelungen nach dem NDSG ist künftig bereits das Fehlen oder unvollständige Führen des Verarbeitungsverzeichnisses grundsätzlich bußgeldbewehrt (Art. 83 Abs. 4 a EU-DSGVO). Nach bisherigem Kenntnisstand besteht für die bisher angezeigten und genehmigten Verfahrensbeschreibungen (öffentliche Teile bisheriger Verfahrensbeschreibungen sind hier (Befragungsrunde 2007) bzw. im Informationsportal der TU Braunschweig zu finden) nach § 8 NDSG (Fassung vom 29. Januar 2002) kein Bestandsschutz, so dass jede bereits laufende oder geplante Verarbeitungstätigkeit mit personenbezogenen Daten mit Hilfe des neuen Vordrucks angezeigt bzw. ergänzt werden muss!

Für jede einzelne Verarbeitungstätigkeit ist nach Maßgabe des Art. 30 EU-DSGVO eine eigene Beschreibung anzufertigen. Dabei soll ein strenger Maßstab angelegt werden, so dass beispielsweise bereits jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Bei einer nur geringen Zweckänderung muss geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden kann oder ob eine vollständig neue Beschreibung anzufertigen ist.

Als weitergehende Literatur kann diese Publikation der Bitkom herangezogen werden.


Glossar