Nahezu zwei Jahre ist es her, dass wir unseren letzten Artikel zum Verzeichnis von Verarbeitungstätigkeiten (VVT) veröffentlicht haben. Geschrieben hatten wir den Artikel damals kurz nach Verabschiedung der Datenschutz-Grundverordnung (DS-GVO) und er bestand daher noch aus einigen wagen Interpretationen bzw. Spekulationen. Jetzt, nach ca. 1,5 Jahren Arbeit mit dem Verordnungstext ist es an der Zeit, ein Update zu veröffentlichen. Zu vielen Fragen gibt es zwischenzeitlich gesicherte Informationen. Auch von den Aufsichtsbehörden gibt es mittlerweile Aussagen, die wir als verlässlich einstufen.
Ein neuer Stern am Datenschutzhimmel…?…
Der Nachfolger des internen Verfahrensverzeichnisses, wie wir es aus dem bisherigen BDSG kennen, wird geregelt in Art. 30 DS-GVO. Die neue Regelung erscheint uns deutlich sinnvoller. Das bedeutet, das VVT wird kein solch ungeliebtes und unbeachtetes Dasein fristen, wie das bisherige Verfahrensverzeichnis. Der Grund: Es ist tatsächlich nützlich!
Rechenschaftspflicht – mal wieder
Das VVT unterstützt die Verantwortlichen bei der Erfüllung ihrer Rechenschaftspflichten. Letztlich stellt es sogar die Grundlage dafür dar. Wie soll man nachweisen, dass die durchgeführten Verarbeitungen rechtmäßig und datenschutzkonform sind, wenn sie noch nicht einmal ansatzweise dokumentiert und analysiert wurden? Dies ist schlichtweg nicht möglich. Daher ist das Führen eines VVT schon aus diesem Grunde zukünftig unerlässlich.
Auch Auftragsverarbeiter
Dabei ist zu beachten, dass neben den Verantwortlichen zukünftig auch Auftragsverarbeiter ein VVT führen müssen. Dieses ist allerdings vom Umfang her deutlich reduziert. Es beschränkt sich auf die Nennung der Verarbeitungen, welche als Auftragsverarbeitung durchgeführt werden sowie die Beschreibung der wenigen Eckpunkte der Verarbeitung, welche der Auftragsverarbeiter selbst bestimmen darf. Hierzu zählen hauptsächlich die technischen und organisatorischen Maßnahmen einschließlich der Information, ob Daten in Drittstaaten exportiert werden. Hinzu kommt eine Liste aller Auftraggeber pro Verarbeitung. Weiter wollen wir an dieser Stelle nicht auf das VVT der Auftragsverarbeiter eingehen. Interessant wird es beim „echten“ VVT – demjenigen, das der für die Verarbeitung Verantwortlich zu führen hat.
In diesem VVT sind alle relevanten Informationen aufzuführen, die benötigt werden, um eine erste, grobe Risikoabschätzung vorzunehmen oder die Rechtmäßigkeit einer Verarbeitung grob zu beurteilen. Eine detaillierte Auflistung der Inhalte ersparen wir Ihnen an dieser Stelle, sie findet sich vollständig im Verordnungstext in Art. 30 Abs. 1 DS-GVO für Verantwortliche und in Art. 30 Abs. 2 DS-GVO für Auftragsverarbeiter.
Erweitern Sie das VVT!
Wir empfehlen, das VVT um zusätzliche Informationen, welche vom Verordnungsgeber nicht explizit als Inhalt gefordert sind, zu erweitern und diese mit aufzunehmen. Hierzu zählen beispielsweise
- eine grobe Beschreibung der Verarbeitung (die DS-GVO fordert lediglich die Zwecke der Verarbeitung zu benennen),
- die Rechtsgrundlage auf der die Verarbeitung beruht,
- das Ergebnis der Überprüfung hinsichtlich der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (einschließlich Begründung).
Hierbei handelt es sich um Informationen, welche sich auf die einzelne Verarbeitung beziehen. Es macht unseres Erachtens Sinn, diese Information auch direkt bei der Dokumentation zur Verarbeitung abzulegen und keine weitere, getrennte Dokumentation zu eröffnen.
Zielgruppe: Die Aufsichtsbehörde
Zielgruppe des VVT ist übrigens ausschließlich die Aufsichtsbehörde. Nur dieser ist das VVT gemäß Art. 30 Abs. 4 DS-GVO zur Verfügung zu stellen. Es schadet aber sicher nicht, es auch dem Datenschutzbeauftragten zu übergeben, dieser kann es hervorragend zur Wahrnehmung seiner Aufgaben nutzen.
Das ehemalige öffentliche Verfahrensverzeichnis, das auf Anfrage Jedermann zur Verfügung zu stellen war, gibt es nach der DS-GVO nicht mehr.
Form: Schriftlich
Das VVT ist gem. Art. 30 Abs. 3 DS-GVO schriftlich zu führen. Damit ist nicht die Schriftform gemeint, die in § 126 BGB festgelegt wird, sondern letztlich die Textform. Wichtig ist den Aufsichtsbehörden, dass das VVT in Papierform geliefert werden kann. Wir hatten hierzu vor einiger Zeit bei vier Aufsichtsbehörden angefragt und haben Antworten erhalten, die uns unterschiedlich stark zufrieden gestellt haben. Diese deckten eine Spanne von „relativer Entspanntheit“ bis zu direkter Bußgeldandrohung nach DS-GVO ab, sofern ein VVT nicht in Papierform zur Verfügung gestellt werden kann. Einig war man sich jedoch bei der grundsätzlichen Auffassung, dass es möglich sein muss, dass VVT der Aufsichtsbehörde in Papierform zur Verfügung zu stellen.
Verantwortlich: Nicht der Datenschutzbeauftragte
Bei dieser Gelegenheit noch der Hinweis: Zu den Aufgaben des Datenschutzbeauftragten gehört unter anderem die Überwachung der Einhaltung der DS-GVO sowie anderer gesetzlicher Regelungen zum Datenschutz. Im Hinblick auf diese Überwachungstätigkeit liegt aus unserer Sicht ein Interessenkonflikt vor, wenn der Datenschutzbeauftragten die Erstellung des VVT durchführt, da eine seiner Pflichten darin besteht, die ordnungsgemäße Erstellung zu überprüfen. Darüber hinaus ist das Fachwissen zu den einzelnen Verarbeitungen eher in den Fachabteilungen als in der Person des Datenschutzbeauftragten zu finden. Es sollte also auch der Qualität des VVT zuträglich sein, das VVT nicht durch den Datenschutzbeauftragten erstellen zu lassen. Unabhängig davon, kann der Datenschutzbeauftragten natürlich unterstützend und beratend zur Seite stehen.
Wir haben für das VVT Vorlagen sowohl für Verantwortliche als auch für Auftragsverarbeiter entworfen, die unsere Kunden verwenden können. Benötigen Sie Unterstützung? Wir stehen gerne zur Verfügung.