+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Ein Verfahrensverzeichnis erstellen hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was muss man darin aufnehmen?

Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintlich komplexe Gebilde doch relativ unkompliziert umsetzen können.

Noch ein Vorwort, weil wir immer mal wieder darauf angesprochen werden: In der DSGVO heißt es „Verzeichnis von Verarbeitungstätigkeiten“. Wir verwenden hier den Begriff „Verfahrensverzeichnis“ als Synonym, da sich dieser in der Praxis eingebürgert hat.

Auf den Punkt gebracht: Das Verfahrensverzeichnis im Datenschutz (Verzeichnis von Verarbeitungstätigkeiten)

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Das Verarbeitungsverzeichnis ist das Herzstück des Datenschutzmanagements. Daraus leiten sich alle weiteren Schritte ab.
  • Eine einfache Excel Liste (siehe Muster) reicht aus, um die gesetzlichen Anforderungen abzudecken.
  • Erfassen Sie die Verfahren mit Sinn und Verstand. Ziel ist eine Übersicht, die zur Einschätzung der Risiken dient.
  • Es geht beim VVZ nicht darum, eine Handlungsanleitung für die Bearbeitung der Verfahren zu erstellen (keine Arbeitsanweisung).

Was ist ein Verfahrensverzeichnis?

Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Vereinfacht gesagt: Wo kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, hinter denen reale Personen stehen? Beispiele hierfür sind die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-Mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.

Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.

Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.

Wer braucht ein Verfahrensverzeichnis?

Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich, eine Verfahrensübersicht zu führen. Es gibt theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man besagten Artikel jedoch zu Ende, hebt er sich selbst wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.

Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.

Nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis kam nicht neu mit der DSGVO. Wenn Sie auch vor der DSGVO schon ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, sind Sie von der Forderung nicht überrascht.

Wer erstellt das Verfahrensverzeichnis?

Auf Anregung im Kommentar füge ich gerne noch diesen Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Um mit dem Gesetz zu sprechen, „die verantwortliche Stelle“.

Wer die Arbeit in der Praxis macht, ist wieder eine andere Sache. Als Datenschutzbeauftragter übernehmen wir für „unsere“ Unternehmen die Koordination der Erstellung und leisten dabei Unterstützung. Wir erstellen am Ende einen Bericht mit Empfehlungen und weisen auf Risiken hin, die wir bei den Verfahren sehen. Entscheiden, ob das Verfahren angepasst wird, können und wollen wir als Datenschutzbeauftragte nicht. Diese Entscheidung liegt beim Verfahrensverantwortlichen und beim Geschäftsführer.

Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, um das Verfahrensverzeichnis zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen sprechen wir direkt mit dem Geschäftsführer bzw. Inhaber und erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergeben wir die Dokumentation in die Hände der verantwortlichen Stelle.

Was gehört in ein Verfahrensverzeichnis?

Der Inhalt definiert sich aus Artikel 30 der Datenschutzgrundverordnung. Hier ist eine Zusammenfassung, welche Informationen enthalten sein müssen:

  1. Name und Kontakt des Verantwortlichen
  2. Zweck der Verarbeitung, also das WARUM
  3. Welche Personengruppen sind betroffen und welche Daten von ihnen?
  4. Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)?
  5. Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert?)
  6. Vorgesehene Löschfristen der Daten (wenn möglich)
  7. allg. Beschreibung der technischen Sicherheit der Daten (wenn möglich)

Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, so müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig. Im Verfahrensverzeichnis würde ich Ihnen empfehlen, dieses Verfahren zwei Mal zu beschreiben. 

Verfahrensverzeichnis
Pin it!

Gibt es „Standardverfahren“?

Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?

Haben Sie Mitarbeiter? Dann haben Sie natürlich alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite – um nur zwei Verfahren zu nennen.

Weitere Beispiele stelle ich Ihnen gerne in einem separaten Artikel zusammen. Hier geht’s zum Artikel. 

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfache Excel Liste, die folgende Spalten enthält:

  • Name des Verfahrens
  • Als Auftragsverarbeiter (j / n)
  • Datum der Erfassung
  • Name des Verantwortlichen
  • E-Mail des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • Beschreibung der Verarbeitung / des Zwecks
  • Betroffene Personengruppen
  • Betroffene Daten
  • Empfänger der Daten
  • Empfänger der Daten in einem Drittland
  • Beschreibung der Absicherung der Datenübermittlung in das Drittland
  • Löschfrist
  • Beschreibung der IT-Sicherheit der Daten
  • Beschreibung der physikalischen Sicherheit der Daten

Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung, nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.

Hier finden Sie eine Vorlage als Excel, die Sie gerne übernehmen können.

Update Mai 2019! Die Vorlage wurde überarbeitet, damit diese mit der Ergänzung der Datenschutzfolgenabschätzung (DSFA) zusammen passt.

Download Muster Verfahrensverzeichnis in Excel

Vor-ausgefülltes Verfahrensverzeichnis

Übrigens, ein vor-ausgefülltes Verfahrensverzeichnis mit über 20 Verfahren für Online- und Kleinunternehmer finden Sie in meinen Onlinekurs.

Vorgehensweise zur Befüllung

Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder alleine oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für unsere Kunden bevorzugen wir die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfragen wir ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.

Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.

Eine Anleitung mit Beispielen finden Sie auf meinem YouTube Kanal unter DSGVO Webinar: YouTube Kanal Regina Stoiber

Das erweiterte Verfahrensverzeichnis

Das hier verlinkte Muster, auf das sich auch der Onlinekurs bezieht, ist ideal für kleine und mittelständische Unternehmen und erfüllt, wie schon angemerkt, die gesetzlichen Anforderungen. Mit komplexeren Tätigkeiten in der Verarbeitung von personenbezogenen Daten oder mit zunehmender Unternehmensgröße reicht diese einfach Liste jedoch oft nicht mehr aus.

Seit Einführung der DSGVO haben sich konkrete Anforderungen herausgebildet. So ist zum Beispiel eine TIA (Transfer Impact Analysis) für Verarbeiter in Drittstaaten notwendig. Hier handelt es sich um eine spezielle Risikoanalyse, um das nur als ein Beispiel anzuführen.

Diese umfangreicheren Vorlagen stellen wir Ihnen natürlich auch gerne zur Verfügung und möchten Ihnen sogar noch mehr Unterstützung anbieten. Aus diesem Grund haben wir den DSB Experten Club ins Leben gerufen. Hier treffen Datenschutzbeauftragte oder Verantwortliche zusammen und haben Zugriff auf eine umfangreiche Knowledge Datenbank an Vorlagen. Regelmäßig gibt es aktuelle Updates im Forum und einen Live-Austausch mit den anderen Teilnehmern.

Haben wir Ihr Interesse geweckt? Dann sehen Sie sich doch mal im DSB Experten Club um.

Wie sind Ihre Erfahrungen?

Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?

Schreiben Sie mir einen Kommentar!

Brauchen Sie Unterstützung?

Wir begleiten Sie gerne bei der Umsetzung der DSGVO Anforderungen in Ihrem Unternehmen. Egal ob als externer Datenschutzbeauftrage(r) oder begleitend bei der Implementierung der Datenschutzanforderungen. Melden Sie sich bei uns über unsere Online-Anfragen oder vereinbaren Sie direkt einen kostenlosen online Erst-Termin.

Diesen Beitrag teilen