Wichtige Bestandteile des Verzeichnisses der Verarbeitungstätigkeiten: Schwellwertanalyse

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, ein Verzeichnis der Verarbeitungstätigkeiten (VVT) zu erstellen und fortlaufend zu pflegen. Dieses Dokument ist nicht nur eine bürokratische Anforderung, sondern stellt einen essenziellen Bestandteil des Datenschutzmanagements dar. Trotz dieser klaren Vorgabe vernachlässigen viele Unternehmen diese Verpflichtung oft erheblich, was aus Compliance-Perspektive ein erhebliches Risiko darstellt. In diesem Artikel werden die wichtigsten Elemente des VVT, die Bedeutung der Schwellwertanalyse sowie die damit verbundenen Risiken und Folgen näher beleuchtet.

Die Notwendigkeit eines Verzeichnisses der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten ist mehr als nur eine Pflichtübung. Es bietet eine transparente Übersicht über alle Verarbeitungstätigkeiten eines Unternehmens, die personenbezogene Daten betreffen. Gemäß Art. 30 der DSGVO müssen folgende Elemente im VVT dokumentiert werden:

1. Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls des Datenschutzbeauftragten.
2. Zweck der Verarbeitung.
3. Kategorien betroffener Personen und der Daten.
4. Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben werden.
5. Übermittlungen von Daten in Drittländer und die dort bestehenden Garantien.
6. Fristen für die Löschung der verschiedenen Datenkategorien.
7. Eine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten.

Das Verzeichnis sollte nicht nur als Nachweis für die Einhaltung der DSGVO dienen, sondern auch als internes Werkzeug zur Überwachung der Datenverarbeitung. Aus diesem Grund reichen die im Gesetz genannten Punkte keinesfalls aus um den datenschutzrechtlichen Anforderungen gerecht zu werden.

Die Konsequenzen mangelnder Dokumentation

Unternehmen, die versäumen, ein VVT ordnungsgemäß zu erstellen oder zu aktualisieren, setzen sich erheblichen rechtlichen und finanziellen Risiken aus. Bei Datenschutzverletzungen oder Prüfungen durch Aufsichtsbehörden kann eine fehlende oder unzureichende Dokumentation zu Geldbußen führen. Darüber hinaus könnte das Fehlen eines VVT das Vertrauen von Kunden und Geschäftspartnern schädigen und zu einem Reputationsverlust führen. Da die DSGVO empfindliche Strafen für Verstöße vorsieht, ist es von entscheidender Bedeutung, dass Unternehmen die Erstellung und Pflege ihres VVT ernst nehmen.

Schwellwertanalyse: Ein zentrales Element

Ein wichtiger, meist übersehener Bestandteil des VVT ist die Durchführung einer Schwellwertanalyse für jede Verarbeitungstätigkeit. Diese Analyse dient dem Zweck, das Risiko zu bewerten, das mit der Verarbeitung personenbezogener Daten verbunden ist. Sie ermöglicht es Unternehmen zu bestimmen, ob eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss, welche gemäß Art. 35 DSGVO erforderlich ist, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen aufweist.

Durchführung der Schwellwertanalyse

Bei der Schwellwertanalyse werden verschiedene Faktoren berücksichtigt, wie:

• Die Art der verarbeiteten Daten (z. B. sensible Daten, besondere Kategorien von Daten).
• Die Menge der verarbeiteten Daten.
• Der Zweck der Verarbeitung.
• Die Art der betroffenen Personen (z. B. Kunden, Mitarbeiter).
• Die Dauer und Häufigkeit der Verarbeitung.
• Die möglichen Auswirkungen auf die betroffenen Personen im Falle einer Verletzung der Gewährleistungsziele.

Im Detail ist für die Schwellwertanlyse, sofern nicht offensichtlich umfangreich Gesundheitsdaten verarbeitet werden o.ä., auch auf verschiedene Referenzdokumente zurückzugreifen, wie einem Working Papier (WP 248 Rev. 01 ) der ehemaligen Datenschutzgruppe nach Art. 29. (nun EDSA) und einer Positivliste des DSK (https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf). Das ist zunächst verwirrend, im Ergebnis aber nicht sehr anspruchsvoll.
Liegt eine hohe Risikoeinschätzung vor, ist eine umfassende DSFA unerlässlich, um potenzielle Gefahren zu identifizieren und geeignete Abhilfemaßnahmen zu ergreifen. Ergebnis der Schwellwertanalyse sollten klar dokumentierte Feststellungen sein – auch wenn kein hohes Risiko identifiziert wird, ist eine entsprechende Dokumentation der durchgeführten Analyse erforderlich.

Fazit

In der heutigen datenschutzorientierten Geschäftswelt ist die korrekte Erstellung und Pflege eines Verzeichnisses der Verarbeitungstätigkeiten unabdingbar. Unternehmen sind aufgefordert, für jede Verarbeitung eine sorgfältige Schwellwertanalyse durchzuführen und deren Ergebnisse im VVT festzuhalten. Diese Maßnahmen tragen nicht nur zur Einhaltung der DSGVO-Vorgaben bei, sondern helfen Unternehmen auch, ihre Datenverarbeitungsprozesse effizient und sicher zu gestalten.

Um Ihnen die Arbeit zu erleichtern, stellen wir unseren Kunden Muster für das Verzeichnis der Verarbeitungstätigkeiten sowie für die Schwellwertanalyse zur Verfügung. Mit diesen Vorlagen können die erforderlichen Schritte schnell und strukturiert erledigt werden. Lassen Sie uns gemeinsam dafür sorgen, dass Ihr Unternehmen DSGVO-konform agiert und das Vertrauen Ihrer Kunden bewahrt wird.