Verzeichnis für Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)

Verarbeitungsverzeichnis als Verein – Brauch ich das wirklich?

Als Verein, Selbständiger oder Geschäftsführer eines kleinen oder mittelständischen Betriebes brauchen Sie in der Tat ein Verarbeitungsverzeichnis bzw. offiziell ein “Verzeichnis für Verarbeitungstätigkeiten” (VVT) – früher auch Verfahrensverzeichnis genannt.

Rechtliche Grundlage

Die Datenschutzgrundverordnung sieht vor, dass jeder, der regelmäßig Daten verarbeitet, ein Verzeichnis für Verarbeitungstätigkeiten führen muss.

Ganz genau liest sich das im Artikel 30 (“Verzeichnis von Verarbeitungstätigkeiten”) so:

Jeder Verantwortliche und ggf. sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. (…) (Art. 30 DSGVO)

Dann folgen ziemlich viele Angaben, was in dem Verzeichnis drin stehen muss (lit. a-g), wie es zu führen ist und dass man es “der Aufsichtsbehörde auf Anfrage zur Verfügung” stellen muss (Art. 30 Nr. 4).

Unter Punkt 5 findet sich dann (scheinbar) eine Ausnahmeregelung:

Die (…) genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien (…) einschließt.

Zugegebenermaßen etwas umständlich formuliert. Das heißt nichts anderes, als dass alle kleinen Unternehmen, die nicht regelmäßig Daten verarbeiten und keine “besonderen Datenkategorien” (z.B. Gesundheitsdaten, religiöse oder parteiliche Zugehörigkeit etc.) verarbeiten, kein Verfahrensverzeichnis führen müssen.

Grund zum Aufatmen? Leider nicht.

Der gemeine Passus lautet “nicht nur gelegentlich”.

  • Haben Sie Kunden? Dann erfassen Sie deren Adressen für Ihre Auftragsbearbeitung und Buchhaltung hoffentlich nicht “nur gelegentlich” (also bei dem einen Kunden schon, beim andern vielleicht nicht?)
  • Zahlen Sie Ihren Mitarbeitern Löhne? Dann tun Sie das nicht “nur gelegentlich”.
  • Haben Sie eine Webseite und vielleicht sogar einen Newsletter? Dann betreiben Sie beides auch nicht “nur gelegentlich”. (Übrigens; Wenn Sie dazu Mailchimp nutzen, übermitteln Sie die Daten sogar noch an ein unsicheres Drittland: USA = datenschutzrechtlich ganz “böse” 😉 )
  • Und als Verein? Denken Sie an Ihre Mitglieder- und Sponsorenverwaltung, die Beitragsverwaltung oder die Veröffentlichung von Fotos oder Spielergebnissen auf Ihrer Website….

Sie sehen: Um ein Verarbeitungsverzeichnis kommt im Grunde kaum ein Verantwortlicher herum. Mehr dazu lesen Sie im Beritrag “Datenschutz – Womit fange ich an“. Und jetzt kommt das richtig Gemeine, nämlich die Frage: Wer benötigt einen Datenschutzbeauftragten?

Nach Artikel 38 Bundesdatenschutzgesetz (neu) (BDSGneu) (“Datenschutzbeauftragte nichtöffentlicher Stellen”)

… benennen der Verantwortliche (…) einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen

“Beschäftigen” heißt hier auch “ehrenamtlich” oder mehrere Teilzeitkräfte, die sich eine Stelle teilen.

Das bedeutet:

Unternehmen mit weniger als 19 Mitarbeitern, die regelmäßig Löhne zahlen oder eine Buchhaltung haben oder Kunden mit Werbung ansprechen, oder, oder, ….  müssen dieses Verarbeitungsverzeichnis ganz allein erstellen. Diese Grenze wurde erst 2019 von 9 auf 19 Mitarbeiter angehoben. Das ist aber nur eine scheinbare Erleichterung. Die Gesetzeslage und Verantwortlichkeiten bleiben gleich. Das Haftungsrisiko für Verantwortliche auch. Sie müssen sich also weiter um den Datenschutz bemühen, nur sind Sie nicht verpflichtet, einen kompetenten Ansprechpartner zu bestellen. Also führen Sie auch Ihr Verzeichnis für Verarbeitungstätigkeiten selbst.

Ein Lichtblick

Zum Glück gibt es keinen Zwang, das in einem bestimmten sprachlichen oder optischen Stil zu tun. Eine der Grundüberlegungen der DSGVO ist, dass es in leichter und verständlicher Sprache erfolgen soll. Sie können also frei weg so schreiben, wie Sie es sehen. Wichtig ist nur, dass die Angaben inhaltlich stimmen, alle wichtigen Angaben enthalten sind und das Dokument schriftlich zu führen ist. Übrigens müssen Sie dieses Dokument der zuständigen Datenschutzbehörde auf Verlangen vorzeigen.

Wenn Sie die Suchmaschine Ihrer Wahl benutzen und “Verzeichnis für Verarbeitungstätigkeiten” eingeben, erhalten Sie ganz viele Mustervorlagen.

Meine Favoriten für ein Muster-Verarbeitungsverzeichnis sind:

Hangeln Sie sich einfach entlang der Beispiele und Erklärungen. Überlegen Sie, welche “Prozesse” gibt es in meinem Unternehmen – Marketing, Anfrage, Angebot, Rechnungsstellung,… – und tragen Sie alles ein, was Ihnen einfällt. Woher kommen die Daten (Quelle), welchen Zweck hat die Datenerfassung und auf welcher rechtlichen Grundlage basiert die Erfassung. Vergessen Sie nicht, dass auch IP-Adressen zu den personenbezogenen Daten gehören. Wenn Sie an dieser Stelle schon eine erste Risikoanalyse durchführen, sind Sie perfekt aufgestellt.

Weshalb ein Verzeichnis für Verarbeitungstätigkeiten (VVT) für den Datenschutz im Verein aus meiner Sicht zwingend notwendig ist, habe ich schon dargestellt. Muster habe ich Ihnen auch verlinkt. Aber jetzt mal “Butter bei die Fische”. Jetzt werden wir konkret.

Verarbeitungsverzeichnis im Verein

Bevor wir uns an die Beispiele wagen, schauen wir noch einmal in den Art. 4 der DSGVO, was eigentlich alles “Verarbeitungstätigkeiten” sind:

  •  das Erheben,
  • das Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung,
  • Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich oder die Verknüpfung,
  • die Einschränkung,
  • das Löschen oder
  • die Vernichtung

Ganz schön viel, oder? Daraus ergeben sich also folgende

Beispiele für typische Verarbeitungsvorgänge im Verein:

  • Lohnabrechnung über externen Dienstleister (Achtung: keine Auftragsverarbeitung; ggf. Vertrag zur gemeinsamen Verantwortung schließen!)
  • Mitgliederverwaltung (Rechtsgrundlage rechtliche Verpflichtung, vertragliche Verpflichtung)
  • Beitragsverwaltung (Rechtsgrundlage vertragliche Verpflichtung)
  • Versand von Informationen über Newsletter-Tool (Rechtsgrundlage Einwilligung; Achtung: Auftragsverarbeitung!; ggf. Doppel-Achtung bei Übermittlung in Drittland wie USA!)
  • Versand von Informationen über E-Mail (Rechtsgrundlage abhängig von den Inhalten; Achtung: Auftragsverarbeitung!)
  • Vereinswebsite über Hostinganbieter (Achtung: Auftragsverarbeitung!)
  • Veröffentlichung von Fotos auf der Vereinswebsite (Rechtsgrundlage je nach Fall berechtigtes Interesse oder Einwilligung)
  • Veröffentlichung von Bildern Minderjähriger auf der Website (Rechtsgrundlage Einwilligung der Erziehunsberechtigten)
  • Meldung an Verband (Rechtsgrundlage vertragliche Verpflichtung)

Sie sehen also, die Rechtsgrundlagen variieren. Wichtig ist besonders die Nachweisbarkeit – vor allem der Einwilligungen.

Denken Sie daher daran, mit Ihrem Website-Host und E-Mail-Provider einen AV-Vereinbarung abzuschließen. Und vergessen Sie bei all Ihren Verfahren nicht die Löschfristen.

Übrigens, das Verarbeitungsverzeichnis ist die Grundlage, um Ihren Informationspflichten nach Art. 13 DSGVO nachzukommen. Und weil das Verarbeitungsverzeichnis im Verein so wichtig ist, gibt es meine Erstberatung inklusive VVT.

Sie möchten doch lieber etwas Hilfe bei der Erstellung? Dann sprechen Sie mich an!

Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.

Bildquellen

  • Akten-Pixabay-Fachdozent-cr: Pixabay Fachdozent