Das Verzeichnis von Verarbeitungstätigkeiten

Das Bildschirmfoto zeigt einen Ausschnitt einer Verarbeitungstätigkeit

Inkorrekte Verzeichnisse sind an der Tagesordnung

Obwohl die DS-GVO bereits seit dem Jahr 2016 in Kraft ist, scheint es nach wie vor immer noch ein großes Missverständnis darüber zu geben, wie viele Verarbeitungstätigkeiten im Verzeichnis von Verarbeitungstätigkeiten (VVT) für ein Unternehmen dokumentiert werden müssen.
 
Viele Unternehmen sind sich immer noch unsicher, welche spezifischen Verarbeitungstätigkeiten erfasst werden müssen und wie detailliert diese Dokumentation sein sollte.
 
Dies führt oft zu unvollständigen oder inkorrekten Verzeichnissen, die den Anforderungen der Aufsichtsbehörden nicht entsprechen. Eine klare und umfassende Dokumentation ist jedoch entscheidend, um die Einhaltung der Datenschutzvorschriften nachzuweisen und mögliche Sanktionen zu vermeiden.
 

Anzahl erforderlicher Verarbeitungstätigkeiten

Die Anzahl der Verarbeitungstätigkeiten, die ein Unternehmen dokumentieren muss, hängt nicht direkt von der Anzahl der Beschäftigten ab, sondern vielmehr von den spezifischen Datenverarbeitungsprozessen, die in den verschiedenen Bereichen und Abteilungen im Unternehmen stattfinden.
Die unten abgebildete Liste nennt Bereiche und Abteilungen, welche in den meisten Unternehmen (zumindest ab der Größe KMU) vorhanden sind. Die Aufzählung erfolgt in alphabetisch aufsteigender Folge und ist nicht abschließend.
  1. Arbeitsschutz
  2. Ausbildung
  3. Beschaffung
  4. Betriebsrat
  5. Brandschutz
  6. Compliance
  7. Datenschutz
  8. Entsorgung
  9. Forschung und Entwicklung (F & E)
  10. Finanzierung
  11. Fuhrpark
  12. IT (Informationstechnik)
  13. Logistik
  14. Maintenance
  15. Management
  16. Marketing
  17. Personal
  18. Produktion
  19. QM (Qualitätsmanagement)
  20. Rechnungswesen
    Das Rechnungswesen unterteilt sich in mehrere Bereiche, die jeweils unterschiedliche Aufgaben und Funktionen erfüllen. Hier sind die Hauptbereiche des Rechnungswesens:
    1. Finanzbuchhaltung (Fibu)
      Erfasst alle Geschäftsvorfälle eines Unternehmens und erstellt die Jahresabschlüsse, wie Bilanz und Gewinn- und Verlustrechnung.
    2. Kosten- und Leistungsrechnung (KLR)
      Analysiert die Kosten und Leistungen eines Unternehmens, um die Wirtschaftlichkeit und Rentabilität zu überwachen und zu steuern.
    3. Betriebsbuchhaltung
      Bezieht sich auf die interne Buchhaltung und umfasst die Kosten- und Leistungsrechnung sowie die Planung und Kontrolle der betrieblichen Abläufe.
    4. Planungsrechnung
      Dient der Erstellung von Budgets und Finanzplänen, um die zukünftige finanzielle Entwicklung des Unternehmens zu steuern.
    5. Controlling
      Überwacht und steuert die finanzielle Leistung des Unternehmens, indem es Abweichungen zwischen den geplanten und tatsächlichen Ergebnissen analysiert und Maßnahmen zur Verbesserung vorschlägt.
    6. Lohn- und Gehaltsbuchhaltung
      Verarbeitet die Gehaltsabrechnungen der Mitarbeiter und stellt sicher, dass alle gesetzlichen und tariflichen Vorgaben eingehalten werden.
  21. SBGG Verarbeitungstätigkeiten
  22. Universelle Verarbeitungstätigkeiten
  23. Vertrieb
  24. Verwaltung
Eine vollständige Umsetzung der Anforderungen der DS-GVO in Verbindung mit der Prüfpraxis der Aufsichtsbehörden erfordert eine umfassende Dokumentation jeder einzelnen Verarbeitungstätigkeit, um die Einhaltung der Datenschutzvorschriften nachweisen zu können und Transparenz gegenüber den Aufsichtsbehörden zu gewährleisten. Diese Dokumentation ist entscheidend, um die gesetzlichen Anforderungen zu erfüllen und mögliche Sanktionen zu vermeiden.

Inhalte der Dokumentation einer Verarbeitungstätigkeit

Um die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) zu erfüllen, ist es notwendig, jede Verarbeitungstätigkeit umfassend zu dokumentieren. Diese Dokumentation muss bestimmte Inhalte enthalten, um die Einhaltung der Datenschutzvorschriften nachzuweisen und Transparenz gegenüber den Aufsichtsbehörden zu gewährleisten.
 
Im Folgenden sind die wesentlichen Inhalte aufgeführt, die in der Dokumentation einer Verarbeitungstätigkeit gemäß Art. 30 DS-GVO enthalten sein müssen.
Gemäß Art. 30 der Datenschutz-Grundverordnung (DS-GVO) müssen in der Dokumentation einer Verarbeitungstätigkeit folgende Inhalte enthalten sein:
  1. Name und Kontaktdaten des Verantwortlichen
    Angaben zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten.
  2. Zwecke der Verarbeitung
    Beschreibung der Zwecke, für die die personenbezogenen Daten verarbeitet werden.
  3. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
    Angaben zu den betroffenen Personengruppen und den verarbeiteten Datenkategorien.
  4. Kategorien von Empfängern
    Angaben zu den Empfängern oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden.
  5. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
    Angaben zu Übermittlungen von Daten an Drittländer oder internationale Organisationen, einschließlich der Dokumentation geeigneter Garantien.
  6. Vorgesehene Fristen für die Löschung der verschiedenen Daten
    Angaben zu den geplanten Fristen für die Löschung der verschiedenen personenbezogenen Daten.
  7. Beschreibung der technischen und organisatorischen Maßnahmen (TOM)
    Angaben zu den getroffenen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.
Diese Inhalte sind gemäß Art. 30 DS-GVO erforderlich und dienen dazu, die Einhaltung der Datenschutzvorschriften nachzuweisen und Transparenz gegenüber den Aufsichtsbehörden zu gewährleisten.
 
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters müssen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung stellen.

Das Fundament auf dem der gesamte betriebliche Datenschutz ruht

Das Verzeichnis von Verarbeitungstätig­keiten (VVT) ist das zentrale Element der Datenschutz-Grund­­­ve­r­ordnung. Ohne ein ausführliches, aktuelles und vollständiges Verzeichnis ist die rechtskonforme Umsetzung der DS-GVO im Unternehmen faktisch nicht möglich. Beim VVT handelt sich um eine schriftliche Dokumentation, die vom Verantwortlichen gemäß Artikel 30 der DS-GVO zwingend für alle Verarbeitungen von personenbezogenen Daten ausgearbeitet werden muss.