Verarbeitungsverzeichnis – wie bleibt es aktuell?

INHALTE DES BEITRAGS

Art. 30 DSGVO
Herausforderungen bei der Erstellung und Pflege
Aktualisierung
Bedeutung eines granularen und aktuellen Verarbeitungsverzeichnisses
Nutzung von Synergieeffekten verschiedener Risikofunktionen

Art. 30 DSGVO

Die Pflicht zur Führung des Verzeichnisses der Verarbeitungstätigkeiten und dessen Inhalte bestimmen sich nach Art. 30 DSGVO. Grundsätzlich sind im VVT folgende Angaben verpflichtend zu dokumentieren:

• Angaben zu den Verantwortlichen
• verarbeitungsspezifische Angaben zu den Zwecken der Verarbeitung
• Angaben zu den Kategorien betroffener Personen
• Angaben zu den Kategorien personenbezogener Daten
• Kategorien von Empfängern
• ggf. Übermittlungen von Daten in Drittländer
• sofern möglich, die Löschfristen der Datenkategorien
• ggf. verarbeitungsspezifische technische und organisatorische
  Maßnahmen

Unternehmen, die als Auftragsverarbeiter personenbezogene Daten eines Verantwortlichen verarbeiten, haben darüber hinaus ein Verarbeitungsverzeichnis zu führen, aus dem u. a. hervorgeht, welche Verarbeitungen im Auftrag jedes Verantwortlichen durchgeführt werden.

Die Relevanz des VVT aus Sicht des Regulators spiegelt sich ebenfalls in den Bedingungen für die Verhängung von Geldbußen wider, wonach Verstöße mit Geldbußen bis zu 10. Mio. Euro bzw. 2 % des international erzielten Konzernumsatzes belegt werden
können.

Herausforderungen bei der Erstellung und Pflege des Verarbeitungsverzeichnis

Bereits in den „DSGVO-Projekten“ bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten oder zuvor bei der Erstellung von Verfahrensverzeichnissen unter dem BDSG-alt hatten Verantwortliche hierbei mit Unwägbarkeiten zu kämpfen.

Die Datengrundlage und nicht zuletzt deren Qualität sind mit Erstellungs- und Wartungsaufwand verbunden. Idealerweise können Beauftragte auf ein entsprechendes Prozessverzeichnis zurückgreifen, welches die erforderlichen Daten beinhaltet oder sich bspw. mittels angebundener Applikations- oder Assetverzeichnisse ergänzen lässt. Sofern eine entsprechende Datengrundlage nicht vorhanden ist und Daten nicht, nur teilweise oder in unterschiedlichen Qualitätsgraden vorliegen, gestaltet sich die Erhebung
der notwendigen Informationen häufig als sehr arbeitsaufwendig. Verantwortliche sollten daher, unabhängig von datenschutzrechtlichen Vorschriften, prozessorganisatorische Grundlagen und Transparenz schaffen.

Dies hilft dabei, regulatorische Anforderungen einfacher erfüllen, Synergieeffekte zwischen verschiedenen Risikofunktionen nutzen und folglich Kostenreduktionen aufgrund fachlicher Prozessverschlankungen generieren zu können. Es sollte also ein Regelprozess zur Erstellung und Aktualisierung von Prozessen oder zumindest zur Erstellung und Aktualisierung von Verarbeitungen als Grundlage für das VVT aufgesetzt werden.

Hierbei stellt sich häufig die Frage, wer diesen Regelprozess verantwortet, pflegt und an welcher Stelle dieser implementiert wird. Abhängig von der Größe und Geschäftstätigkeit des Verantwortlichen sind Lösungen von einer jährlichen manuellen Überprüfung des VVT, bis hin zu einem softwareseitig abgebildeten Prozess-/Verarbeitungsmodell mit einer Workflow-Lösung, die
sowohl die Aktualisierungsregelmäßigkeit überwacht und den Aktualisierungsworkflow betreut, denkbar.

Sofern ausgereiftere Lösungen in Betracht kommen, sollte die Implementierung bestehender Wissensstände, wie bspw. aus der IT oder der Organisation, miteinbezogen werden. Dies vermeidet redundante oder sogar widersprüchliche Datenstände, aber
auch doppelte Kosten. Datenschutzbeauftragte wie auch Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sollten gemeinsam
unter Berücksichtigung der jeweiligen Verantwortlichkeiten agieren. Dennoch liegt die Pflicht für die Etablierung eines Verzeichnisses der Verarbeitungstätigkeiten, die Erhebung der notwendigen Informationen und die laufende Aktualisierung bei dem Verantwortlichen und nicht bei dem DSB.

Aktualisierung

Vor der Informationserhebung zu den jeweiligen Prozessen sollte durch den Datenschutzbeauftragten oder den Verantwortlichen der Erhebungsfokus definiert werden. Neben den Mindestinhalten des VVT gemäß den Vorgaben der DSGVO können bei der Erhebung
ergänzende Informationen zur weiteren Risikobetrachtung erfasst werden. Die definierten Daten können im Rahmen von Interviews, Datenextraktionen aus bestehenden Systemen und Workflow-Lösungen zur Erstellung dieses Prozessverzeichnisses
gesammelt werden. Trotz hoher initialer Aufwände sollte die Prozesslandschaft möglichst vollständig und granular dargestellt
werden. Die Erstellung eines solchen Prozessverzeichnisses sollte für den Verantwortlichen eine regelmäßige Aufgabe darstellen, um die skizzierten Mehrwerte nutzen zu können. Ungenauigkeiten in der Erhebung oder Aktualisierung bringen häufig Nacharbeiten, Korrekturen oder Fehler mit sich.

Bedeutung eines granularen und aktuellen Verarbeitungsverzeichnis

Die Erstellung des Verarbeitungsverzeichnisses wird in der Praxis als regulatorisch veranlasste, notwendige Formalität betrachtet. Häufig fehlt der Aspekt, dass ein aktiv gepflegtes und granulares Verzeichnis der Verarbeitungstätigkeiten die Chance für aktives (Datenschutz-)Risikomanagement darstellt.

Der Verantwortliche hat nach Art. 32 DSGVO technische und organisatorische Maßnahmen zu treffen, welche die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der jeweiligen Risiken für die Rechte und Freiheiten der Betroffenen einer Verarbeitung
mitigiert. Die Maßnahmen orientieren sich dabei u. a. an der Art, dem Umfang und dem Zweck sowie der spezifischen Risikosituation der Verarbeitung.

Ohne ein vollständiges, entsprechend gepflegtes Verzeichnis der Verarbeitungstätigkeiten können nur generalistisch oder anlassbezogen Maßnahmen implementiert werden. Eine ganzheitliche Risikoanalyse zur Identifikation datenschutzrechtlicher
Risiken in den etablierten Verarbeitungen und daraus abgeleiteter mitigierender Maßnahmen ist somit nicht möglich.
Die Risikoanalyse der Verarbeitungsrisiken kann dabei sowohl quantitative als auch qualitative Aspekte würdigen. Neben der Einwertung der Zahl der Betroffenen oder Datensätze sollten qualitative Merkmale, wie die Art der personenbezogenen Daten, in
eine Gewichtung überführt und somit quantitativ messbar gemacht werden. Diese Risikobetrachtung lässt sich ideal mit der Vorprüfung zur Notwendigkeit einer Datenschutz-Folgenabschätzung verknüpfen. Idealerweise werden die hierzu benötigten Informationen bereits bei der Prozesserhebung mit abgefragt.

Im Vergleich zum BDSG-alt stellt Art. 39 DSGVO (Aufgaben des Datenschutzbeauftragten) insbesondere die Überwachungs- und Kontrollfunktion in den Vordergrund. Er hat demnach die Einhaltung der Vorschriften der DSGVO zu überprüfen. Vor diesem Hintergrund wurde bereits in der Literatur die Überwachergarantenhaftung des Datenschutzbeauftragten thematisiert. Wenngleich der Datenschutzbeauftragte für die Umsetzung und Einhaltung datenschutzrechtlicher Vorschriften nicht haftbar ist, kann eine
Haftung aufgrund einer mangelhaften Überwachung des Datenschutzbeauftragten gegenüber dem Verantwortlichen
denkbar sein.

Mittels eines entsprechenden Datenschutz-Risikomanagements, auf Basis eines wie oben dargestellten Verarbeitungsverzeichnis, können die verarbeitungsspezifischen Risiken identifiziert, bewertet und mit verarbeitungsspezifischen, risikomitigierenden Maßnahmen belegt werden. Diese Risiken und deren Maßnahmen können durch den Datenschutzbeauftragten nachfolgend risikoorientiert hinsichtlich ihrer Wirksamkeit und Angemessenheit überprüft werden.

Nutzung von Synergieeffekten verschiedener Risikofunktionen

Verantwortliche sollten prüfen, ob neben dem Datenschutzbeauftragten für weitere Risikofunktionen ähnliche Verzeichnisse zu führen sind. So können Synergien z. B. zwischen den Datenschutz- und Informations- bzw. IT-Sicherheitsfunktionen, ggf. dem
Business Continuity und Kristenmanagement sowie dem Auslagerungsmanagement bzw. der Dienstleistersteuerung
erhoben werden.

Die Verknüpfung des Verarbeitungsverzeichnis mit den Herangehensweisen anderer Risikofunktionen kann beachtliche Mehrwerte im Hinblick auf die Datenqualität, die Vermeidung von redundanten Kontrollen und Doppelprüfungen sowie
die Kosten mit sich bringen.