sinuswelle - Fotolia

Das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Das Verzeichnis von Verarbeitungs-Tätigkeiten soll zumindest so viel über die Sicherheitsmaßnahmen aussagen, dass eine erste Prüfung durch die Aufsicht damit möglich ist.

Bei vielen Unternehmen gehört die Dokumentation im Datenschutz zu den unbeliebten Aufgaben, da der Sinn dahinter nicht gesehen wird. Besonders das sogenannte Verfahrensverzeichnis und die Verarbeitungsübersicht scheinen in den Augen vieler Unternehmen unnötige Arbeit zu machen.

Zu dem Dokumentationsaufwand kommt hinzu, dass im Bundesdatenschutzgesetz (BDSG) verlangt wird, dass jedermann die Möglichkeit haben muss, in das Verfahrensverzeichnis Einblick zu nehmen. Die Verarbeitungsübersicht, auch internes Verfahrensverzeichnis genannt, enthält weitere Angaben zu den Verfahren der Verarbeitung personenbezogener Daten und muss der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung gestellt werden. In bestimmten Fällen besteht eine Meldepflicht.

Mit der Datenschutz-Grundverordnung (DSGVO/GDPR) stehen Änderungen bei dem Verzeichnis der Verarbeitungstätigkeiten an. Dabei mag es positiv erscheinen, dass die DSGVO keine Meldepflicht mehr vorsieht, ebenso wird es kein öffentliches Verfahrensverzeichnis für jedermann geben. Trotzdem bleibt das Verfahrensverzeichnis ein wichtiges Instrument im Datenschutz und spielt auch bei der Dokumentation der IT-Sicherheit eine Rolle.

Auch Cloud-Service-Provider und andere Auftragsverarbeiter betroffen

Der Wegfall der Meldepflicht und der Veröffentlichung macht das Verzeichnis von Verarbeitungstätigkeiten nicht weniger wichtig und schon gar nicht überflüssig, wie ein Blick in Artikel 30 DSGVO zeigt. Im Gegenteil kommen mit der DSGVO/GDPR neue Verarbeiter hinzu, die ein Verarbeitungsverzeichnis erstellen und führen müssen: Auftragsverarbeiter, also natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Cloud Services stellen in aller Regel eine Form von Auftragsverarbeitung dar, so dass Cloud Service Provider zu allen Verfahren der Auftragsverarbeitung entsprechende Verzeichnisse führen müssen, sofern die Voraussetzungen nach Artikel 30 DSGVO erfüllt sind.

IT-Sicherheit als Teil der Verfahrensbeschreibung

Wenn man sich ansieht, was in ein Verarbeitungsverzeichnis von dem Verantwortlichen aufzunehmen ist, stehen dort nicht nur Angaben zu

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • den Zwecken der Verarbeitung,
  • den Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
  • den Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien für den Datenschutz,
  • den vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,

sondern auch

  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Auch wenn der Artikel 30 DSGVO dies mit „wenn möglich“ einschränkt, sollte man die Frage beantworten können, warum es denn nicht möglich ist, die ergriffenen Maßnahmen der IT-Sicherheit in dem jeweiligen Verfahren zu beschreiben.

Zum einen gibt es diese Forderung auch im BDSG nach „einer allgemeinen Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 (BDSG) zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.“ Zum anderen erwarten die Aufsichtsbehörden nach eigener Aussage folgendes im Verarbeitungsverzeichnis nach DSGVO, von dem Verantwortlichen und von den Auftragsverarbeitern: So sollte die Beschreibung der Maßnahmen so konkret erfolgen, dass die Aufsichtsbehörden eine erste  Rechtmäßigkeitsüberprüfung vornehmen können. Es wird also an dieser Stelle kein umfangreiches IT-Sicherheitskonzept erwartet, doch alleine der Hinweis, man tue das, was in Artikel 32 DSGVO zur Sicherheit der Verarbeitung stehe, wird nicht reichen.

Wichtig für Rechenschaftspflicht, Organisation und Prüfung

Das Verfahrensverzeichnis wird also auch unter der DSGVO/GDPR einen Aufwand mit sich bringen. Doch dieser Aufwand lohnt sich, nicht nur, um formale Compliance zu gewährleisten. So ist das Verzeichnis der Verarbeitungstätigkeiten ein Nachweis der geforderten Rechenschaftspflicht, die zu den grundlegenden Datenschutzforderungen gehört.

Es ist ein Mittel zur Strukturierung und Organisation der internen Datenschutzmaßnahmen und nicht zuletzt ein Prüfungsgegenstand bei einer Kontrolle durch die Aufsicht. Erneut zeigt sich: Dokumentation im Datenschutz ist wahrlich kein Selbstzweck, sondern ein zentrales Instrument für den Datenschutz.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Das bedeutet das Bundesdatenschutzgesetz für die IT-Sicherheit

IT-Sicherheit nach EU-DSGVO dokumentieren

In wenigen Schritten zur DSGVO-Konformität

Erfahren Sie mehr über Cloud-Sicherheit