Detailgrad Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO

Hallo,

ich bin neu. Neu hier im Forum und neu in der Tätigkeit als Datenschutz-Koordinatorin.

Das Seminar habe ich schon durchlaufen - sogar mit dem Abschluss als Datenschutzbeauftragte.

Auch wenn der Seminarstoff sehr umfangreich und der Dozent aus meiner Sicht sehr fachkundig war und einiges sehr gut und im Detail erläutert wurde, habe ich noch Unklarheiten.

Etwas was mir zum Beispiel noch absolut unklar ist, ist, welchen Detailierungsgrad man im Verzeichnis von Verarbeitungstätigkeiten anlegen sollte.

Die Definition in Artikel 4 sagt das jeder Vorgang oder jede Vorgangsreihe in Zusammenhang mit personenbezogenen Daten eine Verarbeitung darstellt. Die ebendort auch aufgezählten Beispiele legen den Schluss nahe, dass sogar jede Stufe der Verarbeitung eines Datensatzes (Daten sammel/erheben, Datensatz anlegen, Datensatz auslesen, Datensatz ändern, …, Daten übermitteln, …, Daten löschen).

Das würde dann ja für jedes Fachverfahren eine mehrfache Anzahl an Verarbeitungen ergeben.

Ich glaube nicht bzw. ich weiß, dass ich damit hier im Unternehmen auf Gegenliebe stoßen werde.

Der Dozent im Seminar meinte dazu, dass es seitens der Aufsichtsbehörden wohl so gesehen wird, dass große Unternehmen/Konzerne Ihre Verarbeitungen eher einzeln auflisten sollten, wohingegen kleinere Unternehmen, Vereine etc. ähnliche Verarbeitungen eher mal zusammenfassen dürfen oder Verarbeitungen als Gruppen angeben könnten.
Genannt wurde dabei das Beispiel Personalwesen: Der Handwerksbetrieb könnte dies wohl als eine Verarbeitung angeben, der Konzern sollte eher aufgliedern nach einzelnen Zwecken (also Lohn, Urlaubsplanung, Krankmeldung, …)

Ein anderer Seminarteilnehmer erwähnte dann noch in der Pause, dass es wohl eine Aussage oder einen Standpunkt von den Aufsichtsbehörden gäbe, von dem er mal was gehört oder gelesen hätte, dass Verarbeitungen soweit aufgegliedert werden sollten, dass es pro Verarbeitung nur exakt eine Rechtsgrundlage gibt.
Er wusste aber leider nicht mehr, woher er diese Information hatte.

Insoweit nun meine Unklarheit.

Eine Recherche mit Google und die Suche im Forum war leider nicht ergebnisfördernd.
Ich vermute aber, dass ich einfach nicht die passende Suchanfrage gefunden habe.

Gibt es irgendwie eine offizielle Festlegung, wie detailliert man nun alle Vorgänge aufgliedern muss als Unternehmen?
Wo wäre die zu finden? (Z.B. als Veröffentlichung der Aufsichtsbehörden)?
Kennt jemand von euch den erwähnten Standpunkt orientiert an den Rechtsgrundlagen aufzuteilen und kann mir dazu mehr verraten?

Da die Frage schon im Rahmen des Seminars heiß diskutiert war, bitte ich euch, dass ihr eure Meinungen bitte möglichst mit entsprechender Quelle belegt.

Habt schonmal vielen Dank für eure Hilfe und Antworten.

Tabea

Ich differenziere in der Regel dann, wenn es sich um eine andere Fachaufgabe, einen anderen Geschäftsprozess, eine andere IT-Anwendung/Datenbank oder eine andere Cloud-Anwendung bzw. Dienstleister handel.
Dass man nicht die ganze Personalabteilung in einer Verarbeitung abhandeln kann, sollte klar sein, denn da gibt es ja sehr unterschiedliche Anwendungen (manchmal nur Excel-Files), Prozesse und Dienstleister.
Immer dann, wenn man in einem Feld im Verarbeitungsverzeichnis zwei Werte hätte (also z. B. auch die genannte Rechtsgrundlage), sollte man die Verarbeitung in zwei Verarbeitungen splitten. Dann nähert man sich der richtigen Granularität ganz gut.

Hallo bdsb,

Immer dann, wenn man in einem Feld im Verarbeitungsverzeichnis zwei Werte hätte (also z. B. auch die
genannte Rechtsgrundlage), sollte man die Verarbeitung in zwei Verarbeitungen splitten.

Ist das jetzt einfach nur Deine von der Tätigkeit geprägte Meinung oder kannst dU mir dazu etwas konkreteres (z.B. Aussage oder Veröffentlichung einer Aufsichtsbehörde) als Argumentationshilfe nennen?

Denn das klingt ja ähnlich der Aussage des einen Seminarteilnehmers.

Da gibt es meines Wissens keine “Regel”, die Firmen / Behörden sind einfach zu vielfältig. Ich handhabe das etwa anders als bdsb (auch mehrere Einträge in einem Feld) und habe so 30 - 40 Topics, die ich gelegentlich erweitere oder ergänze.

Man muss sich am Zweck des VV nach https://www.datenschutz-wiki.de/DSGVO:Art_30 orientieren und dazu nehme ich Erwägungsgrund 82, https://www.datenschutz-wiki.de/DSGVO:EG_82, es dient dem Nachweis gegenüber der Aufsicht

Beispiele für unterschiedliche Firmen findet man bei der Aufsicht Bayern (sie sind nur schwer zu finden - ein blöder Webauftritt, wenn man Infos nur per Suche findet … Suchbegriffe sind ‘Muster Verzeichnis’, dann muss man die Muster einzeln rauspicken …):

https://www.lda.bayern.de/de/suche.html?q=verzeichnis&submit=Suchen#/?h=MKP2noEBpLFbbcDtvumI

Dann war das von mir vielleicht mißverständlich formuliert. Ich habe auch mehrere Einträge pro Feld. Ich meinte nur, dass das ein Hinweis darauf sein könnte, die Verarbeitung eventuell in zwei aufzuteilen. Wenn man für ein Analytics-Tool auf einmal zwei Ansprechpartner in zwei Fachabteilungen hat, deutet das darauf hin, dass es sich um zwei verschiedene Fachaufgaben handelt - wobei der Zweck der Verarbeitung ggf. sogar derselbe ist.

Die zitierten Beispiele aus Bayern sind aber wirklich nur für sehr sehr kleine Unternehmen (Arztpraxis, Hotel, Handwerker) gedacht. Wenn es etwas größer wird, sollte man sich von derart allgemeinen Aussagen (Personalverwaltung, Kundenverwaltung) lösen und etwas detaillierter zu Werke gehen. Man macht das ganze ja schließlich nicht für die Aufsicht, sondern hauptsächlich für sich selbst, um damit seine tägliche Arbeit möglichst einfach zu verrichten.

Moin Tabea,

der Detailgrad der ‘Verarbeitungstätigkeit’ hängt unmittelbar vom verfolgten Zweck des datenverarbeitenden Prozesses ab. Dazu gleich noch mehr.

Das Zitat des Seminarteilnehmers kann ich nicht nachvollziehen. Nach Art. 6 I DSGVO kann sich eine Verarbeitung auf ‘mindestens eine’ der dortigen Rechtsgrundlagen stützen.

Zurück zur Zwecksetzung: Aus 2018 gibt es ein Paper der DSK zum VVT: https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Internationales/Datenschutz-Grundverordnung/Verzeichnis_der_Verarbeitungstaetigkeiten/Hinweise_zum_Verzeichnis_von_Verarbeitungstaetigkeiten.pdf. Dort heißt es u.a. “Die Zwecke müssen eindeutig und transparent sein, damit die Aufsichtsbehörde die Angemessenheit der getroffenen Schutzmaßnahmen und die Zulässigkeit der Verarbeitung prüfen kann.”

An dem Maßstab orientieren wir uns, da er sich aus der DSGVO ableiten lässt und und für uns praktikabel ist. Für mich ist eine VT, in anderen Worten, ein Prozess der einen konkreten legitimen Zweck verfolgt und dabei zeitlich, sachlich, personell abgrenzbar / prüfbar ist. ‘Globalzwecke’ wie ‘Marketing’ halte ich daher für nicht prüffähig und damit nicht ohne Weiteres als VT-Eintrag nutzbar, da unter ‘Marketing’ alles und nichts fallen kann (z.B. Tracking, Katalogversendung per Post, Marketingmaßnahmen seitens HR und Sales). Dazu gab es, meine ich, auch mal eine Aussage des LfDI BW, die konnte ich nur eben nicht finden.

Wenn ihr ein QMS etabliert habt, dann kann (muss aber nicht) es Sinn machen, wenn ihr euch an den bestehenden management-, Kern- und Supportprozessen orientiert. Gibt es die nicht, frage ich den Processowner meist: ‘was sind eure tägliche Aufgaben? Wie könnt ihr sie gruppieren? wo kommen personenbezogene Daten vor?’. Mit so einer Ist-Aufnahme ist man zwar länger beschäftigt, verspricht aber mehr Nachhaltigkeit. Am Ende ist jedes VVT einer jeden Organisation individuell. Es gibt nicht ‘das’ VVT mit ‘den’ VVT-Einträgen. Je konkreter der Eintrag, desto besser.

Wenn du dich zur Zweck- und Mittelfestlegung theoretischer einlesen willst, dann kann ich die Dissertation von Radtke zur gV empfehlen: https://www.nomos-elibrary.de/10.5771/9783748927303.pdf?download_full_pdf=1.

2 „Gefällt mir“

Hallo zusammen,
für die strikte Unterteilung anhand der Rechtsgrundlage kenne ich keine Aussage oder Begründug der ASB .
Ich halte sie auch nicht für zielführend, da bei einem einheitlichen Lebenssachverhalt mehrere Rechtsgrundlagen betroffen sein können.
Für die Beratungspraxis habe ich vor langer Zeit eine Stichwortliste erstellt, die ich mit dem jeweiligen Ansprechpartner durchgehe und die ich immer wieder überarbeite und erweitere.
Stichworte gibt es z. B. bei den Veröffentlichungen des European Data Protection Supervisor:
https://edps.europa.eu/ueber/datenschutz-innerhalb-dem-edsb/register-der-verarbeitungen-personenbezogener-daten-beim-edsb_de
und auch der Zentralverband des Deutschen Handwerks hat diverse Stichworte im Angebot:
https://www.zdh.de/ueber-uns/fachbereich-organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

@CorporateDPO: Danke für den Tipp mit der Dissertation, die kannte ich bisher nicht.

Wie schon von CorporateDPO hingewiesen, verweist auch der BfDI unter „Hinweise und Muster zum Verzeichnis über Verarbeitungstätigkeiten“ auf Ausführungen der Datenschutzkonferenz zum VVT. Darin lautet es u. a. :

Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung nach Maßgabe des Art. 30 DS-GVO anzufertigen. Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Bei einer nur geringen Zweckänderung muss geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen ist.“

Nach diesen Ausführungen ist m. E. der Zweck das Kriterium für eine Verarbeitungstätigkeit zum Verzeichnis und jeder Zweck separat aufzuführen, es sei denn, ein Zweck weicht nur unwesentlich von einer bestehenden Verarbeitungstätigkeit ab.

1 „Gefällt mir“

@bdsb ja, die bayerischen Beispiele sollten eher zeigen, dass man auf das Unternehmen schauen muss.

Detaillierung: bei zB der Personalabrechnung (siehe etwa https://www.datev.de/web/de/m/ueber-datev/datev-im-web/datev-von-a-z/personalabrechnung/) mache ich keine große weitere Aufgliederung

Das ist gut dargestellt.
Zusammengefasst:
Außensicht: maßgeblich ist die Prüfbarkeit
Innensicht: maßgeblich sind Effizienz (Durchführung) und Effektivität (Ergebnisse)
Gesamtsicht: DS als integraler Bestandteil der Aufbau- und Ablauforganisation

Wie sieht es z.B. mit der Dokumentation von Überwachungskameras aus? Wir haben 3 Kameras auf unserem Firmengelände und ich bin gerade daran diese Verarbeitung in das Verzeichnis aufzunehmen. Konkret habe ich bereits die Videoüberwachung dokumentiert. Aber sollte ich hier für jede Kamera einen eigenen Eintrag vornahmen?
Zweck ist jedes Mal “Schutz vor Eigentum”, Rechtsgrundlage 6f Berechtigtes Interesse.

Wenn Zweck, Rechtsgrundlage und das Kameramodell immer dasselbe ist, würde ich nur einen Eintrag aufnehmen.

Das “berechtigte Interesse” passt als Rechtsgrundlage, darf jedoch nicht “zu weit ausgedehnt” werden. Überwiegende Interessen der von der Videoüberwachung eines Weges Betroffener können die Videoüberwachung unzulässig machen.