GDD-Praxishilfe DS-GVO V a - Verzeichnis von Verarbeitungstätigkeiten - EU Datenschutz ...

Die Seite wird erstellt Pascal Engelhardt

Maschinen und Anlagen

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Gesellschaft für Datenschutz
und Datensicherheit e.V.

GDD-Praxishilfe DS-GVO V a
Verzeichnis von Verarbeitungstätigkeiten

INHALT

1. Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche
1.1 Prämissen................................................................................................................. 4
1.2 Inhalte..................................................................................................................... 6
1.3 Muster...................................................................................................................... 6

2. Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter
2.1 Prämissen............................................................................................................... 12
2.2 Inhalte................................................................................................................... 14
2.3 Aufbau................................................................................................................... 14

3. Verzeichnis von Verarbeitungstätigkeiten für Vertreter in der EU........... 16

Verzeichnis von Verarbeitungstätigkeiten

Aus dem Verfahrensverzeichnis bzw. der Verarbeitungsübersicht gemäß der §§ 4e und 4g
BDSG/Artt. 18, 19 RL 95/46/EG wird künftig das Verzeichnis Verarbeitungstätigkeiten (VVT)
gemäß Art. 30 DS-GVO. Nach Erwägungsgrund 82 der DS-GVO soll der Verantwortliche „zum
Nachweis der Einhaltung dieser Verordnung“ das Verzeichnis von Verarbeitungstätigkeiten
führen. Weiterhin kann die zuständige Aufsichtsbehörde die Vorlage verlangen, um die be-
treffenden Stellen hoheitlich zu kontrollieren.

Bestehende Verarbeitungsübersichten nach den §§ 4e und 4g BDSG sind eine gute Grundlage
für das VVT – müssen aber unter der DS-GVO angepasst werden.1

1 BayLDA, Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO, Positionspapier Nr. 5 vom 02.08.2016.

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017                   3

1. Verzeichnis von Verarbeitungs                                        ginären VVT nach Art. 30 Abs. 1 DS-GVO für die ei-
tätigkeiten für Verantwortliche                                          genen Geschäftsprozesse. In der Praxis erscheint es
                                                                         sinnvoll, gesonderte Vorlagen für die allgemeinen
1.1 Prämissen                                                            Verarbeitungen des Unternehmens sowie für den
1.1.1 Verpflichtete                                                      Bereich der Auftragsverarbeitung zu haben (jeweils
In der Regel müssen alle Verantwortlichen (Unter-                        mit eigenem Aufbau und als gesonderte Formulare).
nehmen/Legaleinheiten/Behörden etc.) ein VVT
führen. Gem. Art. 30 Abs. 5 DS-GVO ist diese Pflicht                     1.1.2 Formalien
zwar beschränkt auf Unternehmen                                          Das VVT darf in einem elektronischen Format ge-
>>	mit einer Größe ab 250 Mitarbeitern; oder                            führt werden. Wegen der Vorlagepflicht gegenüber
>>	mit einem besonderem Risiko bei der                                  der Aufsichtsbehörde in Art. 30 Abs. 4 DS-GVO muss
    Verarbeitung; oder                                                   es in elektronischer oder gedruckter Form expor-
>>	mit Verarbeitung von sensiblen Daten                                 tierbar sein. Damit ist eine einfache Zusammenstel-
    (Artt. 9 und 10 DS-GVO); oder                                        lung von internen Hyperlinks nicht tauglich, wohl
>>	einer nicht nur gelegentlichen Verarbeitung.                         aber ein Dokument, das auf beigefügte Anlagen
                                                                         verweist.
Allerdings geht diese Ausnahmeregelung ins Leere.
Spätestens bei Zugrundelegung einer regelmäßigen
Verarbeitung sind sämtliche Verantwortlichen un-                                   Das VVT wird in einer der europäi-
abhängig von ihrer Mitarbeiterstärke betroffen.                                    schen Sprachen geführt. Dies kann
                                                                                   eine Konzernsprache sein, da der
                                                                                   Verantwortliche das VVT im Wesent-
          Trotz des verunglückten Wortlauts                                        lichen zu eigenen Zwecken führt.
          des Art. 30 Abs. 5 DS-GVO in der                                         Aus der DS-GVO ergibt sich keine
          ursprünglichen amtlichen deut-                                           Pflicht, das VVT in der Amtssprache
          schen Übersetzung genügt es nicht,                                       der jeweiligen Aufsichtsbehörde
          dass nur einer der privilegierenden                                      vorzuhalten, insbesondere kann der
          Tatbestände vorliegt, um auf ein VVT                                     Verantwortliche im Vorhinein nie
          verzichten zu dürfen.2 Die Überset-                                      sicher wissen, welche Behörde
          zung wurde inzwischen korrigiert.3                                       eventuell federführend wird.4

Auftragsverarbeiter müssen gem. Art. 30 Abs. 2 DS-                       Die Trennung in ein internes und ein externes Ver-
GVO explizit ein Verzeichnis im Hinblick auf ihre                        zeichnis „für Jedermann“ ist in der DS-GVO nicht
Dienstleistung führen (VVT-AV). Dies entbindet al-                       mehr vorgesehen. Das VVT steht nur für interne
lerdings nicht von der Verpflichtung zu einem ori-                       Zwecken und auf Anfrage der zuständigen Auf-

2 Martini in: Paal/Pauly, DS-GVO, 2017, Art. 30 Rn. 30 f.
3 Drucksache vom 27.10.2016, http://data.consilium.europa.eu/doc/document/ST-12399-2016-INIT/en/pdf.
4 Das BayLDA geht derzeit davon aus, dass auf Anfrage der Behörde eine Übersetzung in der jeweiligen Amtssprache bereitzustellen
   sei (unveröffentlichte Stellungnahme). Diese Auffassung entbehrt jedoch einer gesetzlichen Grundlage, insbesondere ist in ErwGr 82
   ausdrücklich nur von „dem“ (also einem einheitlichen) Verzeichnis die Rede.

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017                    4

sichtsbehörde zur Verfügung. Ein „öffentliches Ver- Denkbar sind interne Erweiterungen des VVT
fahrensverzeichnis“ wird nicht mehr benötigt. Seine durch Risikoabschätzungen bzw. eine zusätzliche
Pflege und Bereithaltung kann ab 25.5.2018 einge- Strukturierung, die festhält, welche Verarbeitungen
stellt werden. Die nach BDSG vorgesehene Trennung ggf. eine Datenschutz-Folgenabschätzung erfordern
nach unterschiedlichen Informationen für den Da- und welche nicht. Daneben können die durchge-
tenschutzbeauftragten und die Aufsichtsbehörden führten Prüfungen aufgenommen werden.
(Übersicht zugriffsberechtigter Personen nach § 4g Aber: Das VVT darf nicht nicht überfrachtet wer-
Abs. 2 Satz 1 BDSG) entfällt ebenfalls. den! Es wirkt kontraproduktiv, das VVT zu sehr auf-
zublähen. Es sollte beispielsweise von der allgemei-
1.1.3 Zentrale Führung und weitergehende nen Informationssicherheit und ihren Übersichten
Dokumentationspflichten klar getrennt sein. Besser ist es, die getroffenen
Im Gegensatz zum Verfahrensverzeichnis nach technisch-organisatorischen Maßnahmen (TOMs)
BDSG ist das VVT nicht an den Datenschutzbeauf- konkret dort aufzunehmen, wo ein Verweis auf die
tragten zu übergeben, sondern unmittelbar vom von der IT geführte Dokumentation nicht ausreicht.
Verantwortlichen zu führen. Es mag naheliegen, Da das VVT mit der Weitergabe an die Aufsichts-
das Verzeichnis zentral führen zu wollen. Auch die behörde das Unternehmen verlässt, sollte es kei-
Art.-29-Datenschutzgruppe erachtet es für zuläs- ne schutzbedürftigen, internen Informationen im
sig, den DSB mit der Erstellung/Führung/Pflege zu Zusammenhang mit den IT-Sicherheitsmaßnahmen
betrauen,5 doch es muss stets klar sein, dass das (z.B. Implementationsdetails technischer Sicher-
Verzeichnis der Verantwortung des Unternehmens heitsmaßnahmen) enthalten.
obliegt. Die Angaben zum Verzeichnis sind durch
das Unternehmen bzw. – im Wege der Delegation – 1.1.4 Drittlandstransfers
die Fachbereiche beizubringen. Die im Zusammenhang mit der Weitergabe von per-
Im Sinne einer „best practice“ erscheint es dann sonenbezogenen Daten an Stellen in Drittländern
sinnvoll, dass das Verzeichnis als Dreh- und Angel- geforderte Dokumentation der „Garantien“ ist in re-
punkt des gesamten Datenschutzmanagements vom gulären Prozessen entbehrlich. Entsprechende Ga-
DSB geführt wird. Mit Blick auf die weitergehenden rantien sind ausschließlich in den Fällen des Art. 49
Accountability-Pflichten der DS-GVO avanciert das Abs. 1 und 2 DS-GVO zu dokumentieren. Die auf die-
VVT zum zentralen Bestandteil der Dokumentation. se Regelung gestützten Weitergaben erfolgen nicht
Das VVT kann beispielsweise zur Grundlage für Ri- wiederholt. Die zu dokumentierenden Prozesse sind
sikobewertungen durch den DSB für dessen risiko- hingegen gerade auf Wiederholung angelegt.
orientierten Überwachungsauftrag werden (Art.
39 Abs. 2 DS-GVO). Ohne eine solche strukturierte
Dokumentation sind die Beratungs- und Kontroll-
pflichten des DSB kaum umsetzbar.

5 Artikel-29-Gruppe, WP 243 Guidelines on Data Protection Officers (rev. 1) vom 5.4.2017, http://ec.europa.eu/newsroom/document.
cfm?doc_id=44100.

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017 5

>>	gegebenenfalls Übermittlungen von personen-
              Eine Dokumentation weiterer                    bezogenen Daten an ein Drittland oder an eine
              Garantien, wie zum Beispiel eines
                                                             internationale Organisation
              Angemessenheitsbeschlusses
                                                             > einschließlich der Angabe des betreffenden
              der Kommission oder durch
                                                                Drittlands oder der betreffenden internatio-
              Standardvertragsklauseln kann
                                                                nalen Organisation;
              sinnvoll sein, um den Account
              ability-Pflichten und Transparenz-             > bei den in Art. 49 Abs. 1 UAbs. 2 DS-GVO
              pflichten ggü. Betroffenen nach-                  genannten Datenübermittlungen die Doku-
              kommen zu können.                                 mentierung geeigneter Garantien;
                                                         >>	[wenn möglich,] die vorgesehenen Fristen für
                                                             die Löschung der verschiedenen Datenkatego-
1.2 Inhalte                                                  rien;
Das VVT ist – wie früher das Verfahrensverzeich-         >>	[wenn möglich,] eine allgemeine Beschreibung
nis nach dem BDSG – nicht als Auflistung einzel-             der technischen und organisatorischen Maß-
ner Verarbeitungen, sondern als prozessorientierte           nahmen gem. Art. 32 Abs. 1 DS-GVO.
Übersicht der Verarbeitungen zu verstehen. Das
Verständnis des Verfahrensbegriffs als Bündel von                   Vorsicht vor der Formulierung
Verarbeitungsschritten, wie es in Art. 18 Abs. 1                    „wenn möglich“ in Art. 30 Abs. 1
RL 95/46/EG niedergelegt war, lebt insoweit fort.                   litt. f und g DS-GVO: Es wird
Entscheidend ist, dass über das VVT der einzelne                    erwartet, dass diese Informatio-
Verarbeitungsprozess zu identifizieren ist.                         nen vorliegen.

Die Inhalte des VVT für Verantwortliche ergeben
sich aus Art. 30 Abs. 1 DS-GVO und umfassen:             1.3 Muster
>>	den Namen und die Kontaktdaten
    > des Verantwortlichen;
                                                                  Die optionalen Angaben werden
    > ggf. des gemeinsam mit ihm Verantwortlichen;                gesetzlich nicht zur Dokumentation
    > ggf. des Vertreters in der EU;                              im VVT gefordert. Dennoch kann die
    > ggf. des Datenschutzbeauftragten beim                      Dokumentation der Angaben im VVT
       Verantwortlichen;                                          geboten sein, da sie zur Erfüllung
>>	die Zwecke der Verarbeitung;                                  der Nachweispflichten i. S. d. Art. 5,
>> die Kategorien betroffener Personen;                           24 DS-GVO beitragen.
>> die Kategorien personenbezogener Daten;
>>	die Kategorien von Empfängern, gegenüber de-
    nen die personenbezogenen Daten offengelegt
    worden sind oder noch offengelegt werden;

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017     6

1.3.1 Hauptblatt Meldung des/der Datenschutzbeauftragten
erfolgt:
Verzeichnis von Verarbeitungs Ja
Nein
tätigkeiten des Verantwortlichen
Hauptblatt 6. Regelungen zur Datensicherheit

Angaben zum Verantwortlichen Verweis auf übergreifende IT-Sicherheitskonzepte, die
(Art. 30 Abs. 1 lit. a DS-GVO) grunds. für alle Verarbeitungstätigkeiten gelten

1. Verantwortlicher (=Firma /Legaleinheit) 7. Regelungen zur Datenlöschung

Name/Ladungsfähige Anschrift Verweis auf übergreifende Löschkonzepte, die grunds.
für alle Verarbeitungstätigkeiten gelten
2. Gesetzlicher Vertreter (= Geschäftsführung)

Name/Kontaktdaten 8. Sachverhalte zu Drittstaatenübermittlungen

3. Vertreter in der EU (gemäß Art. 27 DS-GVO) Verweis auf übergreifende Punkte wie BCR, die grunds.
für alle Verarbeitungstätigkeiten gelten
Name / Ladungsfähige Anschrift
Erläuterungen
4. Datenschutzbeauftragter
Nr. 1
Name/Kontaktdaten Verantwortlicher ist jede Person oder Stelle, die al-
lein oder gemeinsam mit anderen über die Zwecke
Optionale Inhalte / Übergreifende und Mittel der Verarbeitung von personenbezoge-
Regelungen und Sachverhalte nen Daten entscheidet (Art. 4 Nr. 7 DS-GVO)
5. Zuständige Aufsichtsbehörde
Angaben: Name/Firma, ladungsfähige Anschrift
Name
Nr. 2
Inhaber, Vorstände, Geschäftsführer oder sonstige
Die zuständige Aufsichtsbehörde aus
gesetzliche oder nach der Verfassung des Unterneh-
Sicht des verantwortlichen. Mitunter
mens berufene Leiter
kann eine andere Behörde federfüh-
rend sein, auch dieser ist auf Anfra-
ge das VVT zur Verfügung zu stellen. Angaben: Namen der geschäftsführenden Personen
Ggf. kann hier einfach ein Link auf das Web-Impressum
eingetragen werden.

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017 7

Nr. 3 1.3.2 Anlage
Bei Unternehmen ohne Niederlassung in der Euro-
päischen Union ist hier der benannte Vertreter des Verzeichnis von Verarbeitungs
Verantwortlichen (Art. 4 Nr. 17 DS-GVO, Art. 27 Abs.
1 DS-GVO) anzugeben.
tätigkeiten Anlage Nr. _____
Angaben zur Verarbeitungstätigkeit
Nr. 4 und zur Verantwortlichkeit
Vom Verantwortlichen bestellter Datenschutzbeauf- (Art. 30 Abs. 1 lit. b DS-GVO)
tragter* [Name, Kontaktdaten
1. Bezeichnung der Verarbeitungstätigkeit
Nr. 5
Die Meldung der Kontakt-Informationen des DSB –
z.B. (Funktions-)e-mail-Adresse, Telefonnummer – 2. Verantwortlicher Fachbereich/verantwortliche
ist verpflichtend. Führungskraft (optionaler Inhalt)

Nr. 6
Gegebenenfalls Verweise auf übergreifende Regelun- 3. Bei gemeinsamer Verantwortlichkeit: Name
gen (falls solche existieren, die grds. alle Verarbei- und Kontaktdaten des Leiters/der Leiter des/
tungen betreffen) – Der Verweis an dieser Stelle auf der weiteren Verantwortlichen
übergreifende Regelungen entbindet nicht von der
Dokumentation von ggf. erforderlichen Abweichun-
gen zu den einzelnen Verarbeitungstätigkeiten. Angaben zur Verarbeitungstätigkeit
Verweis z.B. auf ein IT-Sicherheitskonzept, das
alle Verarbeitungstätigkeiten einschließt. Eventuell 4. Zwecke der Verarbeitungen/der Verarbei
auch Verweise auf relevante Dokumente eines ISMS tungstätigkeit
nach ISO27001.

Nr. 7 5. Rechtsgrundlage der Verarbeitungen/der
Verweis auf Löschkonzepte, die grds. für alle Verar- Verarbeitungstätigkeit
beitungen gelten.

Nr. 8 6. Beschreibung der Kategorien betroffener Per
Ein Verweis Regelungen zur Drittstaatenübermitt- sonen und der Kategorien personenbezogener
lung sind hier sinnvoll, wenn alle oder die Mehrzahl Daten (Art. 30 Abs. 1 lit. c DS-GVO)
der Verarbeitungen hierdurch geregelt werden, z.B.
durch BCR.
6.1 Betroffene 6.2 Kategorien personen
Personengruppen bezogener Daten

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017 8

7. Kategorien von Empfängern, denen die Daten Garantien zum Schutz der personenbezogenen Da-
offengelegt worden sind oder noch offengelegt ten im Drittland, soweit weder eine Anerkennung
werden (Art. 30 Abs. 1 lit. d DS-GVO) des Datenschutzniveaus, EU-Standardverträge noch
BCR vorliegen:
interne, externe – auch im Konzern, eingebundene
Dienstleister 9. Vorgesehene Fristen für die Löschung der
verschiedenen Datenkategorien (Art. 30 Abs. 1
lit. f DS-GVO)
Laut Gesetz sind nur die Kategorien
von Empfängern anzugeben. Bei
10. Allgemeine Beschreibung der technischen
genauerer Darstellung sind spätere
und organisatorischen Maßnahmen (Art. 30
Änderungen zu berücksichtigen und
Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO)
die regelmäßige Pflege der Angaben
zu gewährleisten.
10.1 Art der eingesetzten DV-Anlagen und
Software (optional)
8. Datenübermittlungen in Drittländer >> DV-Anlagen
oder internationale Organisationen >> Software (und ggf. Unterprogramme)
(Art. 30 Abs. 1 lit. e DS-GVO) >> Schnittstellen

Übermittlung 10.2 Allgemeine Beschreibung der technischen
Ja und organisatorischen Maßnahmen (Art. 30
Nein Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO)
>> Bezug zum IT-Sicherheitskonzept, Abweichun-
Name des Drittlandes / der internationalen gen bzw. Ergänzungen
Organisation (DS-GVO) > oder: Link auf TOM (Processor) hier anführen
> oder: Verweis auf Datenschutz-Zertifizierung
Optionale Angaben etc.
Ggf. vereinbarte Garantien
Anerkannter Drittstaat Optionale Angaben
EU-Standardvertrag C/C >> Zu Informationspflichten
EU-Standardvertrag C/P >> Zu Verträgen mit Dienstleistern
Aufsichtsbehördlich genehmigter Vertrag >> Zu Vereinbarungen zur gemeinsamen
BCR Verantwortung
Andere: >> Zu durchgeführten Datenschutzfolgeabschät-
Ende optionale Angaben zungen zur Verarbeitungstätigkeit oder einzel-
nen Verarbeitungsschritten
Ende optionale Angaben

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017 9

Erläuterungen                         Eine Verarbeitungstätigkeit (aus der Anwendung
                                                           des BDSG als „Verfahren“ vertraut) kann mehrere
                       Nr. 1                               Teil-Geschäftsprozesse zusammenfassen. Dement-
Eindeutige Bezeichnung der dokumentierten Verar-           sprechend kann eine Verarbeitung auch mehrere
beitung/der Verarbeitungstätigkeit auf Grundlage           Zwecke umfassen, so dass auch mehrere Zweckbe-
eines Fachprozesses. Es sollte eine im Unternehmen         stimmungen angegeben werden können.
geläufige Bezeichnung des Fachprozesses gewählt                Die erforderliche Detailtiefe hängt von der Ge-
werden.                                                    schäftstätigkeit des Verantwortlichen ab.
Beispiele:                                                     Es können neben dem Fachprozess auch beglei-
>> Allgemeine Kundenverwaltung                             tende mitarbeiterbezogene Unterstützungsprozesse
>> Customer-Relationship-Management (CRM)                  vorliegen wie z.B. zur Personalführung/-einsatzpla-
                                                           nung. Diese können entweder als Teil einer ande-
                       Nr. 2                               ren Verarbeitung, oder als eigene Verarbeitung be-
Nach der Unternehmensorganisation für die konkre-          schrieben sein.
te Verarbeitungstätigkeit verantwortlicher Fachbe-
reich/verantwortliche Führungskraft (sofern möglich                               Nr. 5
und sinnvoll, zumindest als Funktionsbezeichnung)          Die Nennung der einschlägigen Rechtsgrundlage
                                                           ist für Accountability-Pflichten und die Gewähr-
                       Nr. 3                               leistung von transparenzpflichten ggü. betroffenen
Falls mehrere Verantwortliche gemeinsam für die            Personen notwendig.
Verarbeitungstätigkeiten verantwortlich sind, bspw.
innerhalb einer Unternehmensgruppe, sind hier                                     Nr. 6
Name und Kontaktdaten des/der weiteren Verant-             Beschreibung der Kategorien betroffener Personen
wortlichen anzugeben (Firma/ladungsfähige An-              und der Kategorien personenbezogener Daten (Art.
schrift; Art. 30 Abs. 1 Lit. a DS-GVO, Art. 26 Abs.        30 Abs. 1 lit. c DS-GVO)
1 DS-GVO)
                                                           Nr. 6.1
                              Nr. 4                        Als betroffene Personengruppen kommen bei-
Beispiele:                                                 spielsweise Kunden, Interessenten, Arbeitnehmer,
>>	Verarbeitungstätigkeit: „Allgemeine Kundenver-         Schuldner, Versicherungsnehmer usw. in Betracht.
   waltung“; verfolgte Zweckbestimmungen: „Auf-
   tragsbearbeitung, Buchhaltung und Inkasso“              Nr. 6.2
>>	Verarbeitungstätigkeit: „Customer-Relationship-        Den einzelnen Personengruppen sind die jeweils
   Management“; verfolgte Zweckbestimmungen:               auf sie bezogenen verwendeten Daten oder Daten-
   „Dokumentation und Verwaltung von Kunden-               kategorien zuzuordnen. Damit sind keine personen-
   beziehungen, Marketing, Neukundenakquise,               bezogenen Daten, sondern „Datenbezeichnungen“/
   Kundenbindungsmaßnahmen, Kundenberatung,                Datenkategorien gemeint (z.B. „Adresse“, „Ge-
   Beschwerdemanagement, Kündigungsprozess“                burtsdatum“, „Bankverbindung“). Werden solche

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017      10

Datenkategorien angegeben, so müssen diese so                    DS-GVO durch verbindliche
konkret wie möglich sein. Nicht ausreichend, da zu           >>	interne Datenschutzvorschriften (BCR) oder EU-
allgemein, sind etwa Angaben wie „Kundendaten“                   Standardverträge erbracht werden.
oder Ähnliches.
                                                             Liegt keine der genannten Garantien vor, sind hier
Beispiele:                                                   andere getroffene Garantien zu dokumentieren (Art.
>>	Kunden: Adressdaten, Kontaktkoordinaten (ein            49 Abs. 1. UAbs. 2 DS-GVO)
    schl. Telefon-, Fax-und E-Mail-Daten), Geburtsda-
    tum, Vertragsdaten, Bonitätsdaten, Betreuungs-                                   Nr. 9
    informationen einschließl. Kundenentwicklung,            Anzugeben sind hier die konkreten Aufbewah-
    Produkt- bzw. Vertragsinteresse, Statistikdaten,         rungs-/Löschfristen, die in Verarbeitungstätigkei-
    Abrechnungs- und Leistungsdaten, Bankverbin-             ten implementiert sind, bezogen auf einzelne Ver-
    dung                                                     arbeitungsschritte, falls unterschiedlich.
>>	Beschäftigtendaten (Lohn und Gehalt): Kon-               Soweit diese in einem Löschkonzept dokumentiert
    taktdaten, Bankverbindung, Sozialversiche-               sind, reicht der konkrete Verweis auf das vorhan-
    rungsdaten, etc.                                         dene und in der Verarbeitungstätigkeit umgesetzte
                                                             Löschkonzept aus.
                        Nr. 7
Empfängerkategorien sind insbesondere am Prozess                                    Nr. 10
beteiligte weitere Stellen des Unternehmens/Kon-             Allgemeine Beschreibung der technischen und or-
zerns oder andere Gruppen von Personen oder Stel-            ganisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g
len, die Daten – ggf. über Schnittstellen – erhalten         i.V.m. Art. 32 Abs. 1 DS-GVO)
z.B. in den Prozess eingebundene weitere Fachab-
teilungen, Vertragspartner, Kunden, Behörden, Ver-           Nr. 10.1
sicherungen, Auftragsverarbeiter (z.B. Dienstleis-           Optional kann an dieser Stelle eine knappe Be-
tungsrechenzentrum, Call-Center, Datenvernichter,            schreibung der technischen Infrastruktur wie der
Anwendungsentwicklung, Cloud Service Provider)               technischen und organisatorischen Sicherheits-
usw.                                                         maßnahmen angegeben werden, um ein besse-
                        Nr. 8                                res Verständnis der allgemeinen Beschreibung der
Drittländer sind solche außerhalb der EU/des EWR             technischen und organisatorischen Maßnahmen
Beispiele für internationale Organisationen:                 (siehe 10.2.) zu ermöglichen.
Institutionen der UNO, der EU
                                                             Nr. 10.2
>>	Geeignete Garantien beim Empfänger sind grds.            Soweit sich die technischen und organisatorischen
    erforderlich, falls für den kein                         Maßnahmen schon aus vorhandenen Sicherheits-
>>	Angemessenheitsbeschluss der EU-Kommission               richtlinien/Konzepten/Zertifizierungen ergeben, ist
    gem. Art. 45 Abs. 3 DS-GVO                               ein konkreter Verweis hierauf ausreichend. Insbe-
>>	vorliegt. Solche Garantien können gem. Art. 46           sondere sind hier Abweichungen zu einem übergrei-

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017        11

fenden Sicherheitskonzept (siehe Hauptblatt Nr. 6)                    2. Verzeichnis von Verarbeitungs
zu dokumentieren. Wenn eine Datenschutz-Folgen-                       tätigkeiten für Auftragsverarbeiter
abschätzung für die Verarbeitung hohe Risiken aus-
weist, so sind die zur Bewältigung dieser Risiken                     2.1 Prämissen
getroffenen Sicherheitsvorkehrungen für die Verar-                    Das Verzeichnis der Verarbeitungstätigkeiten, das
beitung in der Datenschutz-Folgenabschätzung zu                       ein Auftragsverarbeiter zu erstellen hat (VVT-AV,
dokumentieren. (Art. 35 Abs. 7 lit. d DS-GVO). Ein                    Art. 30 Abs. 2 DS-GVO) dient primär dazu, eine ers-
Verweis auf das Vorhandensein einer Datenschutz-                      te Übersicht darüber zu erhalten, welche Leistun-
Folgenabschätzung ist eine sinnvolle optionale An-                    gen für welchen Auftraggeber erbracht werden.
gabe (siehe unten).                                                       Im Gegensatz zu den heutigen Regelungen des
                                                                      BDSG treffen den Auftragsverarbeiter für seine Leis-
                       Nr. 11                                         tungen eigene Verantwortlichkeiten. So ist er zum
Im Hinblick auf die vielfältigen Nachweispflichten,                   Beispiel dafür verantwortlich, dass hinreichende
denen das Unternehmen im Datenschutz unterliegt,                      Sicherheitskonzepte (siehe Art. 32 DS-GVO) oder
kann es sinnvoll sein, weitere Aspekte zur Verar-                     auch die Aspekte des Privacy by Design und Default
beitungstätigkeit zu dokumentieren. Diese sind nur                    umgesetzt werden.
intern zu verwenden. Zu diesen zusätzlichen Do-                           Die Erstellung eines VVT-AV sollte sich grund-
kumentationen, die sinnvollerweise hier erfolgen,                     sätzlich aus Sicht des Dienstleisters und damit an
gehören z. B.                                                         seinen Standardleistungen (Produkten) orientie-
>>	Angaben zur Zusammenstellung der Informati-                       ren. Hieraus lassen sich die „Kategorien von Ver-
    onspflichten (insbes. Artt. 13,14 DS-GVO)                         arbeitungen, die im Auftrag jedes Verantwortlichen
>>	Verträge mit Dienstleistern (Art. 28 DS-GVO)                      durchgeführt werden“ ableiten.6
>>	Vereinbarungen zur gemeinsamen Verantwor-                             Bei der Bestimmung der Leistung - insbesondere
    tung (Art. 26 DS-GVO)                                             bei der vertraglichen Gestaltung - sollte darauf ge-
>>	Eine Bewertung der Risiken der Verarbeitungs-                     achtet werden, was in den Verantwortungsbereich
    tätigkeit für die Rechte und Freiheiten natürli-                  des Auftragsverarbeiters bzw. des Auftraggebers
    cher Personen                                                     fällt. So ist zum Beispiel die Weitergabe personen-
>>	durchgeführte Datenschutzfolgeabschätzungen                       bezogener Daten an einen vom Auftragsverarbeiter
    zur Verarbeitungstätigkeit oder einzelnen Ver-                    eingesetzten Unterauftragnehmer im Drittland Be-
    arbeitungsschritten (Art. 35 DS-GVO)                              standteil der vom Auftragsverarbeiter angebotenen
                                                                      Leistungskette. Insoweit fällt diese Weitergabe in
                                                                      die Sphäre des Auftragsverarbeiters und ist von
                                                                      ihm in seinem VVT-AV zu dokumentieren. Dagegen
                                                                      fällt eine vom Auftraggeber angewiesene Weiter
                                                                      gabe seiner Daten an eine Stelle im Drittland in

6 Z ur Bestimmung, was eine Standarddienstleistung ausmacht, siehe zum Beispiel den bisherigen Standard „Anforderungen an
   Auftragnehmer nach § 11 BDSG“ - DS-BVD-GDD-01von GDD und BvD, http://www.dsz-audit.de/wp-content/uploads/GDD-BvD-
   DATENSCHUTZSTANDARD-DS-BVD-GDD-01-V1-0.pdf.

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017                 12

die Sphäre des Auftraggebers. Die entsprechende en ausschließlich in den Fällen des Art. 49 Abs. 1
Weisung ist zwar zu dokumentieren, nicht aber Ge- und 2 DS-GVO zu dokumentieren sind. Die auf diese
genstand des VVT-AV. Regelung gestützten weitergaben dürfen allerdings
Die Dokumentation von Weisungen ist nicht Ge- nicht „wiederholt“ erfolgen. Die Geschäftsprozes-
genstand des VVT-AV. Dies betrifft die allgemeinen se eines Dienstleisters sind jedoch gerade auf eine
Weisungen sowie insbesondere die Weisungen zur Wiederholung angelegt. Insofern kommt diese Re-
Weitergabe von personenbezogenen Daten in ein gelung regelmäßig nicht zur Anwendung. Eine Do-
Drittland. Hier ist der Auftragsverarbeiter frei, wie kumentation anderer Garantien, wie zum Beispiel
er eine entsprechende Dokumentation führt. Bei ei- eines Angemessenheitsbeschlusses der Kommission
ner Reihe von Dienstleistern bietet sich an, hierzu oder durch Standardvertragsklauseln zur Drittlands-
in der Kommunikation mit den Auftraggebern ge- weitergabe ist nicht gefordert.
nutzte Ticketsysteme zu nutzen. Wichtig ist aller- Die Ausnahmeregelungen des Art. 30 Abs. 5
dings dabei, dass die entsprechenden Weisungen DS-GVO finden auf das VVT-AV regelmäßig keine
quasi auf „Knopfdruck“ aus einem solchen System Anwendung. Dies ergibt sich insbesondere schon
herausgefiltert werden können. daraus, dass eine Befreiung von der Führung des
Kundenspezifische Abweichungen von der an- VVT nur dann erfolgen kann, wenn die Verarbeitung
gebotenen Standardleistung ergeben sich regelmä- nur gelegentlich erfolgt. Die Verarbeitungsprozesse
ßig aus den konkreten vertraglichen Vereinbarun- eines Dienstleisters sind jedoch schon allein aus
gen, insbesondere aus dem Vertrag nach Art. 28 dem Geschäftszweck auf eine regelmäßige und dau-
DS-GVO. Zur Dokumentation dieser vertraglichen erhafte Durchführung angelegt.
Abweichungen von der Standardleistung kann auf Der Auftragsverarbeiter bestimmt nicht die
den entsprechenden Vertrag verlinkt werden. Dabei Zwecke und Mittel der (Kategorien von) Verarbei-
können Anpassungen insbesondere Änderungen der tungen. Daher steht das VVT-AV des Auftragsver-
Standardleistung, zum Beispiel durch Customizing, arbeiters nach Art. 30 Abs. 2 DS-GVO auch nicht
oder der vereinbarten technischen und organisato- im Mittelpunkt des gesamten Datenschutz-Manage-
rischen Maßnahmen betreffen. Allerdings ist durch ment-Systems. Es erscheint sinnvoll, dass das VVT-
die Dokumentationsbeschränkung auf „Kategorien AV durch die dienstleistenden Fachbereiche beim
von Verarbeitungen“ die Dokumentation der kon- Auftragsverarbeiter geführt wird oder durch die Be-
kreten (angepassten) Leistung nicht erforderlich. reiche Vertrieb/Vertragsmanagement.
Durch eine Verlinkung auf den jeweiligen Vertrag Der Datenschutzbeauftragte des Auftragsverar-
könnte jedoch die Abweichung von der Standard- beiters kann im Rahmen seines Beratungsauftrags
dienstleistung hinreichend nachvollziehbar ge- Vorschläge für Vorgaben zum VVT-AV machen und
macht werden. im Rahmen seines Überwachungsauftrags die Füh-
Die im Zusammenhang mit der Weitergabe von rung und Pflege dieses VVT-AV überprüfen.
personenbezogenen Daten an Stellen in Drittlän-
dern geforderte Dokumentation der „Garantien“ ist
in normalen Dienstleistungsprozessen regelmäßig
entbehrlich. Dies ergibt sich daraus, dass Garanti-

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017 13

2.2 Inhalte                                                              2.3 Aufbau
Die Inhalte des VVT für Auftragsverarbeiter ergeben                      Für den Aufbau des VVT wird ein 3-stufiger Aufbau
sich aus Art. 30 Abs. 2 DS-GVO:                                          empfohlen:
>> den Namen und die Kontaktdaten:
    > des Auftragsverarbeiters oder der Auftrags-                       1. Vorblatt 1 mit den Angaben zum
       verarbeiter;                                                      Auftragsverarbeiter:
    > jedes Verantwortlichen, in dessen Auftrag                         >>	Auftragsverarbeiter: Name, ladungsfähige
       der Auftragsverarbeiter tätig ist;                                    Adresse und Geschäftsleitung
    > gegebenenfalls des Vertreters des Verant-                         >>	Vertreter des Auftragsverarbeiters: Name,
       wortlichen;                                                           ladungsfähige Adresse Geschäftsleitung
    > gegebenenfalls des Vertreters des Auftrags-                           (soweit erforderlich)
       verarbeiters;                                                     >>	Datenschutzbeauftragter7:
    > eines etwaigen Datenschutzbeauftragten des                            Name, Telefonnummer / E-Mail-Adresse
       Auftragsverarbeiters;
>> d ie Kategorien von Verarbeitungen, die im                           2. Vorblatt 2 mit Angaben zu den
    Auftrag jedes Verantwortlichen durchgeführt                          Dienstleistungen:
    werden;                                                              >>	Allgemeine Beschreibung der technischen und
>> g gf. Übermittlungen von personenbezogenen                               organisatorischen Maßnahmen gem. Art. 32
    Daten an ein Drittland oder an eine internatio-                          (z.B. Sicherheitskonzepte bzw. Verweise darauf,
    nale Organisation;                                                       Zertifizierungen)
    > einschließlich der Angabe des betreffenden                        >>	Datenweitergabe in ein Drittland (soweit sie
       Drittlands oder der betreffenden internatio-                          z. B. im Rahmen der Lieferkette in der in der
       nalen Organisation;                                                   Sphäre des Auftragsverarbeiters liegt)
    > bei den in Art. 49 Abs. 1 UAbs. 2 genannten                       >>	Kategorien der Dienstleistungen:
       Datenübermittlungen die Dokumentierung                                > Dienstleistung 1:
       geeigneter Garantien;                                                    • Bezeichnung, „Kategorisierung“, Anhalt:
>> w enn möglich, eine allgemeine Beschreibung                                    „Leistung“ i.S.d. BvD-GDD-ADV-Standards
    der technischen und organisatorischen Maß-                                  • ggf. Abweichungen von der zuvor be-
    nahmen gem. Art. 32 Abs. 1 DS-GVO.                                             schriebenen Datenweitergabe in ein Dritt-
                                                                                   land
                                                                                • ggf. Anpassungen des Sicherheitskon-
                                                                                   zepts]
                                                                                > Dienstleistung … :
                                                                         		        • …

7 H
   ier ist nur der Datenschutzbeauftragte des Auftragsverarbeiters, der das Verzeichnis führt, aufzunehmen (analog zu Art. 30 Abs. 1 DS-
  GVO). Es bedarf keiner gesonderten zusätzlichen Datenerhebung bezüglich des Namens und der Kontaktdaten der Datenschutzbeauftrag-
  ten der jeweiligen Auftraggeber. Diese Angaben sind auch nach Art. 28 DS-GVO nicht zur Weitergabe an den Auftragnehmer vorgesehen.

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017                   14

3. Hauptblatt mit den Angaben zu den Kunden:                                  > Gebuchte Dienstleistungen:
                                                                              > Verweise auf Vorblatt 2, ggf. Verlinkung auf
>>	Kunde 1:                                                                      Vertrag – insbesondere bei Abweichungen
   > Verantwortlicher8                                                           von der Standarddienstleistung
       • Name, ladungsfähige Adresse                                          > …
    > Vertreter des Verantwortlichen: [
       • Name, ladungsfähige Adresse                                    >>	Kunde 2:
          (soweit erforderlich)                                          • …

Alternativ kann sich auch die Führung des Hauptblattes in Tabellenform anbieten

             VORBLATT 1                                     VORBLATT 2                                     HAUPTBLATT

   Angaben zum                                     Angaben zu                                     Angaben zu
   Auftragsverarbeiter:                            Dienstleistungen:                              Kunden:
   Auftragsverarbeiter:                            Allgemeine Beschreibung                        Kunde 1:
   • Name, ladungsfähige                          der technischen und orga                      Verantwortlicher:
      Adresse und Geschäfts                       nisatorischen Maßnahmen                        • Name, ladungsfähige
      leitung                                      gem. Art 32.                                      Adresse
   Vertreter des                                   • Sicherheitskonzepte bzw.                    Vertreter des
   Auftragsverarbeiter:                               Verweise darauf, Zertifizie-                Verantwortlichen:
   • Name, ladungsfähige                             rungen                                      • Name, ladungsfähige
      Adresse und Geschäfts                       Drittlandübermittlung                             Adresse
      leitung                                      • Namen                                       Gebuchte Dienstleistung:
   Datenschutzbeauftragter:                        Kategorien der Dienst                         1.) …
   • Name, ladungsfähige                          leistungen
                                                                                                  Verweis auf Vorblatt 2
      Adresse und Geschäfts                       >> Dienstleistung 1
      leitung                                                                                     2.) …
                                                      • Bezeichnung, „Kate-
                                                         gorisierung“, Anhalt:
                                                         „Leistung“ i.S.d. BvD-                   Kunde 2:
                                                         GDD-ADV-Standards                        …
                                                      • ggf. Anpassungen des
                                                         Sicherheitskonzepts
                                                   >> Dienstleistung 2
                                                   …

8 V erantwortlicher in diesem Sinne ist – auch in einer Leistungskette – immer der direkte Auftraggeber. Die DS-GVO sieht im Bereich der
   ADV eine gestufte Verantwortung vor, im Gegensatz zum BDSG, das von der „Durchgriffsverantwortung“ des Auftraggebers ausgeht. Von
   daher sind die Auftraggeber der „weiteren Auftragsverarbeiter“ (Unterauftragnehmer) die „Verantwortlichen“ in diesem Zusammenhang.

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017                    15

HAUPTBLATT
Angaben zu Kunden (alternative Darstellung einer Beziehungs-Matrix

1 2 N
t u ng tung t u ng
Leistungs- eis tleis eis
n stl n s n stl
beziehungen Die Die … Die
Kunde 1:
Kunde 1
>> Verantwortlicher:
• Name, ladungsfähige Adresse
>> Vertreter des Verantwortlichen: Kunde 2
• Name, ladungsfähige Adresse
…
Kunde 2:
… Kunde N

3. Verzeichnis von Verarbeitungs werden zu können, trifft diese gem. Art. 27 Abs.
tätigkeiten für Vertreter in der EU 1 DS-GVO die Pflicht, schriftlich einen Vertreter zu
bestellen, der innerhalb der Union niedergelassen
Entsprechend dem in Art. 3 Abs. 2 DS-GVO nieder- sein muss.
gelegten Marktortprinzip findet die DS-GVO selbst Gem. Art. 27 Abs. 4 DS-GVO hat der Vertreter in
dann Anwendung auf die Verarbeitung personen- der Union die Aufgabe, für Aufsichtsbehörden und
bezogener Daten, wenn sie durch einen nicht in betroffene Personen bei sämtlichen Fragen im Zu-
der Union niedergelassenen Verantwortlichen oder sammenhang mit der Verarbeitung zur Gewährleis-
Auftragsverarbeiter vorgenommen wird. Dies gilt, tung der Einhaltung dieser Verordnung als Anlauf-
wenn die Datenverarbeitung im Zusammenhang da- stelle zu dienen.
mit steht, betroffenen Personen in der Union Waren Aus diesem Grunde hat der Vertreter in der Uni-
oder Dienstleistungen anzubieten oder das Verhal- on das VVT vorzuhalten oder, sofern er für einen
ten betroffener Personen zu beobachten, soweit ihr Auftragsverarbeiter benannt ist, das jeweilige VVT-
Verhalten in der Union erfolgt. AV. Hierbei handelt es sich um inhaltsgleiche Dupli-
Um des Verantwortlichen oder Auftragsverarbei- kate, sodass insoweit auf die obigen Ausführungen
ters außerhalb der Union jedoch überhaupt habhaft verwiesen werden kann.

GDD-Praxishilfe DS-GVO V a: Verzeichnis
von Verarbeitungstätigkeiten / Stand: April 2017 16

Gesellschaft für Datenschutz
und Datensicherheit e.V.

Die Inhalte dieser Praxishilfe wurden im Rahmen des GDD-Erfakreises Köln,
Unterarbeitsgruppe „VVT“ erstellt.

Mit freundlicher Unterstützung des GDD-Arbeitskreises „DS-GVO Praxis“.

Herausgeber:
Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Heinrich-Böll-Ring 10
53119 Bonn
Tel.: +49 2 28 96 96 75-00
Fax: +49 2 28 96 96 75-25
www.gdd.de
info@gdd.de

Stand:
Version 1.0 (April 2017)

Sie können auch lesen