VERFAHRENSVERZEICHNIS IM SINNE DER DSGVO

✓ TÜV-geprüft und zertifiziert

✓ persönliche Beratung

✓ persönliche DSGVO Umsetzungziert

Sie suchen Unterstützung bei der praxisgerechten Umsetzung
der DSGVO und IT-Sicherheit? – Wir liefern Ihnen die Lösung!

Definition VVT
Internes vs öffentliches VVT
Verfahrensverzeichnis
Rechtmäßigkeit
Beispiele Verfahrensverzeichnis
Verfahren mit Dienstleistern
Verfahrensverzeichnis Mitarbeiter
Referenzen
Downloads

Definition zum Verfahrensverzeichnis

Forscht man im Bundesschutzgesetz (BDSG) nach dem Begriff Verfahrensverzeichnis, sucht man dort vergebens.

Gemeint ist mit diesem Begriff ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient.

In § 4g Abs. 2 BDSG wird von einer „Übersicht“, die dem betrieblichen Datenschutzbeauftragten zur Verfügung gestellt wird, gesprochen.

Wenn man das ganze einmal genauer betrachtet, unterscheidet der Gesetzgeber zwischen zwei Arten von Verfahrensverzeichnissen, dem internen und dem öffentlichen Verfahrensverzeichnis.

Unterschiede internes und öffentliches Verfahrensverzeichnis

Öffentliches Verfahrensverzeichnis

Das öffentliche Verfahrensverzeichnis soll nach außen hin Transparenz über die Datenverarbeitungsvorgänge schaffen.

Daher muss es unter gewissen Voraussetzungen für jedermann zugänglich gemacht werden.

Internes Verfahrensverzeichnis

Das interne Verfahrensverzeichnis wird auch einfach nur Verfahrensverzeichnis genannt.

Es enthält umfangreichere Angaben als das öffentliche Verfahrensverzeichnis und dient dazu, eine betriebsinterne Selbstkontrolle zu ermöglichen.

Persönliche Informationen im Verfahrensverzeichnis

Oft wird die Frage gestellt, ob das Verfahrensverzeichnis täglich mit den aktuellen Daten ergänzt werden muss. Dem ist nicht so.

In ein Verfahrensverzeichnis kommt ausschließlich die Beschreibung allgemeiner Verfahren!

Alle Verarbeitungen werden dort einmal generell beschrieben.

Namen der einzelnen Kunden, Lieferanten und Dienstleistern gehören auf keinen Fall in die Verarbeitungsübersicht.

Rechtmäßigkeit nach dem DSGVO Artikel 6

Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren:

Der Betroffene gibt eine freiwillige Einwilligung.
Die Verarbeitung der Daten basiert auf einem Vertrag oder vorvertraglichen Maßnahmen (mündlich oder schriftlich).
Die Verarbeitung basiert auf einem Gesetz oder sonstigen rechtlichen Verpflichtungen.
Es geht um den Schutz lebenswichtiger Interessen des Betroffenen.
Die Verarbeitung der personenbezogenen Daten ist für das Wahrnehmen von Aufgaben notwendig, die im öffentlichen Interesse liegen oder dem Ausüben öffentlicher Gewalt.
Das berechtigte Interesse des Verantwortlichen liegt vor und die Grundrechte der betroffenen Person werden nicht verletzt.

Beispiele für Verfahrensverzeichnisse nach DSGVO

Allgemeine Verfahren in einem Verfahrensverzeichnis

Verfahren	Beschreibung	Rechtmäßigkeit	Anmerkung
Zahlungsverkehr (externe Rechnungsstellung)	Erstellung von Rechnungen für erbrachte Dienstleistungen oder übergebene Waren. Ggf. unter Einbeziehung eines externen Dienstleisters, welcher sich um die Rechnungsstellung und Zahlungsabwicklung kümmert.	Art. 6 (1) b – Vertrag	Bei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter.
Kommunikation per E-Mail	Durchführung von interner und externer Kommunikation per E-Mail.	Art. 6 (1) b – Vertrag oder vorvertragliche Maßnahmen Art. 6 (1) c – Rechtliche Verpflichtung/ gesetzliche Vorgabe	Ist der E-Mail Provider extern, z. B. der Webhoster, dann ist er Auftragsverarbeiter.
IT- Support	Zugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund von IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten.	Art. 6 (1) b – Vertrag	Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffene, wie z. B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser.

Verfahren mit Dienstleistern

In diesem Verfahrensverzeichnis werden die Dienstleistungen erfasst, welche auch mit personenbezogenen Daten in Kontakt kommen oder bei denen die Verarbeitung personenbezogener Daten dazu gehört.

In den meisten Fällen ist die Grundlage für dieses Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde.

Verfahren	Beschreibung	Rechtmäßigkeit	Anmerkung
Kundenverwaltung	Verwaltung und Organisation der Kunden- und Interessentendaten in eiern Datenbank/ Programm	Art. 6 (1) c – Vertrag oder Art. 6 (1) f – Berechtigtes Interesse	Je nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben.
Online-Coaching	Persönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen.	Art. 6 (1) c – Vertrag	Je nachdem, wie genau das Coaching abläuft, muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben.
Persönliches Coaching	Individuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiert.	Art. 6 (1) c – Vertrag	Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffene, wie z. B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser.
Schulungen/ Training	Durchführung von Schulungen/ Trainings mit Qualifizierungstest zum Abschluss	Art. 6 (1) c – Vertrag	Wenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes.

Verfahrensverzeichnis Mitarbeiter

Wenn ein Unternehmen Mitarbeiter bzw. Zeitarbeiter beschäftigt, müssen einige grundsätzliche Tätigkeiten abgedeckt werden.

Wenn Mitarbeiter beispielsweise Firmenwägen oder andere personenbezogene Geräte ausgehändigt bekommen, können im Einzelfall noch zusätzliche Verfahren hinzukommen.

Verfahren	Beschreibung	Rechtmäßigkeit	Anmerkung
Lohnabrechnung	Überweisung von Löhnen und Gehältern. Abgabe von Steuern und Gebühren.	Art. 6 (1) b – Vertrag	Externer Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern eine Funktionsübertragung.
Bewerbungen	Bewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-Mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurückgeschickt.	Art. 6 (1) b – Vertrag oder vorvertraglicher Maßnahmen Art. 6 (1) c – Rechtliche Verpflichtung/ gesetzliche Vorgabe (E-Mail -Archivierung)	Bewerbungen müssen gelöscht oder zurück- geschickt werden. Alternativ kann der Bewerber aktiv zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen.