Die Verarbeitung von personenbezogenen Daten – eine Übersicht
Seit der Einführung der Datenschutzgrundverordnung (DS-GVO) gibt es verschiedene Verpflichtungen, um den Datenschutz bei der Verarbeitung von personenbezogenen Daten sicher zu stellen und zu dokumentieren. Dazu gehört das sogenannte Verzeichnis von Verarbeitungstätigkeiten (VVT), welches dem vorhergegangenen Verarbeitungsverzeichnis ähnelt.
In unserem Datenschutz-Blog erklären wir Ihnen daher diesmal einfach, welche Vorgaben Sie im VVT in NRW einhalten müssen und worauf Sie darüber hinaus achten sollten.
Was ist ein VVT im Datenschutz?
Das VVT ersetz das bis zur Einführung der DS-GVO und der neuen Version des Bundesdatenschutzgesetzes (BDSG) nötige Verarbeitungsverzeichnis im Datenschutz. Wer ein Verarbeitungsverzeichnis bis 2018 geführt hat, der kann darauf bei dem Verzeichnis von Verarbeitungstätigkeiten zurückgreifen und dieses ergänzen. Im Umgang mit dem Datenschutz sprechen viele daher auch noch vom Verarbeitungsverzeichnis.
Im VVT werden alle Tätigkeiten beschrieben, bei denen personenbezogene Daten erfasst und verarbeitet werden. Daher sollte jeder, der personenbezogene Daten verarbeitet und ein Verzeichnis von Verarbeitungstätigkeiten führen muss, zuerst einmal eine Bestandsaufnahme der Tätigkeiten machen, die den Datenschutz betreffen können.
Wer muss in NRW ein Verzeichnis von Verarbeitungstätigkeiten führen?
Grundsätzlich muss jeder, der personenbezogene Daten regelmäßig verarbeitet, ein VVT führen. Das VVT ist somit Teil des durch die DS-GVO geforderten Datenschutzmanagementsystems. Dabei sind die Verarbeitungen und die Vorgänge, bei dem personenbezogene Daten verarbeitet werden meist sehr viel umfangreicher, als man im ersten Moment erwartet.
Stellen Sie sich daher die Frage, wo Sie personenbezogene Daten verarbeiten und welche personenbezogene Daten Sie erfassen.
Was sind personenbezogene Daten? – lesen Sie dazu unseren Blog
Konsequenzen bei fehlendem VVT für Unternehmen in NRW
Ein Verzeichnis von Verarbeitungstätigkeiten kann von der entsprechenden Aufsichtsbehörde angefragt werden. Meist erfolgt dies, wenn eine Datenpanne gemeldet oder geprüft wird, oder wenn z.B. eine Betroffenenanfrage nicht ausreichend bearbeitet wurde. Eine Abfrage kann aber auch unabhängig davon erfolgen. Zuständig für die Überprüfung des DS-GVO-konformen Datenschutzes in NRW ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
Das Fehlen des VVTs kann dann mit einem hohen Bußgeld belegt werden. Daher sollte eine entsprechende aktuelle Version der Beschreibungen immer vorliegen.
Was gehört in ein VVT für Unternehmen in NRW? – Was sind Verarbeitungstätigkeiten im Datenschutz?
Für jede Tätigkeit, bei der personenbezogene Daten verarbeitet werden, wird beim VVT eine Beschreibung erstellt. Dazu gehören neben der klassischen Datenverarbeitung von Kunden-, Interessenten- oder Mitarbeiterdaten auch die Daten von Lieferanten oder Dienstleistern, die personenbezogene Daten beinhalten.
Auch die Ablage und das Vernichten von Daten gehören im Datenschutz zur Verarbeitung von personenbezogenen Daten. IP-Adressen und Bilder bzw. Videoaufnahmen von Personen gelten ebenfalls als personenbezogene Daten und müssen daher im Verarbeitungsverzeichnis erfasst werden. Wie löschen Sie Daten DS-GVO-konform? Lesen Sie weiter in unserem Blog.
Das VVT macht daher keinen Unterschied zwischen digitaler oder analoger Verarbeitung von Daten. Die Vorgaben für Auftragsdatenverarbeiter kann dabei noch variieren.
Inhalte VVT für Datenverarbeitung in NRW
Die DS-GVO gibt bei dem Verarbeitungsverzeichnis keine festen Vorgaben in der Form der Beschreibungen, dafür aber im Inhalt.
Zwingend enthalten sein müssen dabei für jede Verarbeitungstätigkeit:
- Name und Kontakt vom Verantwortlichen (nicht vom Datenschutzbeauftragten)
- Zwecke der Verarbeitung
- Kategorien der betroffenen Personen (Betroffene) – z.B.:
- Beschäftigte
- Schüler
- Minderjährige
- Patienten
- Bewerber
- Interessenten
- Kunden
- Lieferanten usw.
- Kategorien personenbezogener Daten z.B.:
- Kontaktdaten
- Adressdaten
- Besondere Kategorien von personenbezogenen Daten wie z.B. Gesundheitsdaten, Religionszugehörigkeit usw.
- Kategorien von Empfänger der personenbezogenen Daten z.B.:
- Interne Abteilung oder Ansprechpartner
- Steuerberater
- Finanzamt
- Sozialversicherungsträger
- Banken und Finanzämter usw.
- Angaben über die Weitergabe in Drittländer oder an internationale Organisation, falls eine Weitergabe ins Nicht-EU-Ausland erfolgt – ggf. auch mit der entsprechenden Garantie, dass der Datenschutz in diesem Land genauso eingehalten wird
- Löschfristen für die personenbezogenen Daten dieser Verarbeitung
- die Beschreibung der technischen und organisatorischen Maßnahmen
Das VVT muss in NRW schriftlich und auf Deutsch geführt werden.
Technische und organisatorische Maßnahmen im Verzeichnis für Verarbeitungstätigkeiten
Wie oben schon angeführt, sollte eine Beschreibung der Verarbeitung auch möglichst eine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten enthalten. Gibt es ein zentrales Dokument für die Erfassung der sogenannten TOMs, kann auf dieses verwiesen werden.
Die TOMs beschreiben die Maßnahmen (digital und analog), die sicher stellen, dass die personenbezogenen Daten von Betroffenen vor dem Zugriff von unbefugten Dritten geschützt sind.
Verarbeiten Sie personenbezogene Daten einer besonders schützenswerten Kategorie, wie z.B. Gesundheitsdaten, dann müssen Sie auch eine Risiko- bzw. Schwellwertanalyse erstellen und daraufhin eine Datenschutzfolgenabschätzung durchführen. Auf diese sollten Sie ggf. ebenfalls im VVT hinweisen.
Der externe Datenschutzbeauftragte und das Verarbeitungsverzeichnis
Regelmäßig sollten die Beschreibungen der Verarbeitungen auf Ihre Aktualität hin geprüft werden. Das ist eine der Aufgaben, die der Verantwortliche für den Datenschutz in einem Unternehmen auszuführen hat. Bei der Umsetzung und der Beurteilung des VVTs kann ein (externer) Datenschutzbeauftragter (DSB) unterstützend tätig sein. Wer keinen (externen) Datenschutzbeauftragten per gesetzlichen Vorgaben berufen muss, der kann sich bei der Umsetzung des Datenschutzes auch an einen Datenschutzberater wenden, welcher als externer DSB für NRW zertifiziert ist.
Datenschutzberater.NRW stellt zur Umsetzung des Datenschutzes einen externen Datenschutzbeauftragten (TÜV) und eine Datenschutzfachkraft (TÜV), die Ihnen dabei über eine laufende Betreuung oder auch projektbezogen beratend zur Seite stehen.
Unser Angebot umfasst zudem:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Audit
- Website-Scan zur Beurteilung des Datenschutzes Ihrer Homepage
- GoBD-Beratung / Verfahrensdokumentation
- Mitarbeiterschulungen / Seminare
Wir betreuen bereits erfolgreich Mandanten im Bereich Köln, Bonn, Düsseldorf und ganz NRW. Nehmen Sie gerne zu uns Kontakt auf und wir erstellen Ihnen ein individuelles und praxisorientiertes Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten nach DS-GVO für NRW eingehalten haben, dann lassen Sie sich von uns professionell beraten. Weitere Handlungsempfehlungen für KMU in NRW finden Sie hier.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.