Erfassung von Verarbeitungstätigkeiten in einem Verarbeitungsverzeichnis
Praxisratgeber
Überblick über die Verarbeitungstätigkeiten im Verein – Pflicht und Werkzeug zugleich
Jeder Verantwortliche hat nach Art. 30 DSGVO die Pflicht, ein Verzeichnis über seine Verarbeitungstätigkeiten zu führen. Das Verzeichnis wirkt zunächst sehr bürokratisch. Allerdings ist es ein sehr gutes Werkzeug, um einen Überblick über die Verarbeitungen personenbezogener Daten im Verein zu erhalten und auf Basis dessen notwendige Dokumente zu erstellen. Genauso verhält es sich mit der Bearbeitung von Auskunftsanfragen oder Löschanträgen.
Unerlässlich bei Kontrollen durch Aufsichtsbehörden
Zudem ist dieses Verzeichnis häufig das erste Dokument, welches die Aufsichtsbehörden im Fall einer Kontrolle oder Eingabe verlangen, um sich selbst einen Überblick über die Daten zu verschaffen.
Wie sollte das Verarbeitungsverzeichnis aufgebaut sein?
Die Form dieses Verzeichnisses ist frei wählbar. Viele Aufsichtsbehörden oder auch beratende Ausschüsse haben in den letzten Jahren viele verschiedene Vorlagen und Muster dazu veröffentlicht. Für Vereine empfiehlt sich eine einfache und übersichtliche Zusammenfassung in Tabellenform.
Die Stiftung Datenschutz bietet eine entsprechende Vorlage an. Diese findet ihr am Ende dieser Seite.
Inhalte des Verarbeitungsverzeichnis – Was ihr mindestens festhalten müsst
Die Mindestinhalte des Verzeichnisses sind gesetzlich vorgegeben (Art. 30 Abs. 1 DSGVO).
1. Name und Kontaktdaten des Vereins
Der Name und die Kontaktdaten des Vereins werden im Kopf der Übersicht oder im Deckblatt des Verzeichnisses festgehalten. Bei den Kontaktdaten sollten wenigstens die Anschrift und eine Telefonnummer des Vereins bzw. eines Verantwortlichen aufgeführt werden, wenn möglich auch eine E-Mail-Adresse.
2. Name und Kontaktdaten des Datenschutzbeauftragten
Wenn ein Datenschutzbeauftragter benannt wurde, dann sind im Kopf der Übersicht oder im Deckblatt des Verzeichnisses die Kontaktdaten festzuhalten. Auch hier sollte bei den Kontaktdaten wenigstens die Anschrift und eine Telefonnummer vermerkt werden, wenn möglich auch eine E-Mail-Adresse.
3. Name der Verarbeitungstätigkeit
Jede Verarbeitung ist einzeln zu betrachten und zu dokumentieren. Die größte Schwierigkeit liegt in der Abgrenzung der unterschiedlichen Verarbeitungstätigkeiten.
Eine Verarbeitungstätigkeit ist ein in sich geschlossener Prozess, der die Verarbeitung von personenbezogenen Daten zur Grundlage hat.
Der Name einer Verarbeitungstätigkeit sollte so eindeutig sein, dass sich auch Fremde (z.B. Aufsichtsbehörden, neues Personal) in die Prozesse einarbeiten könnten.
Typische Verarbeitungstätigkeiten in Vereinen können sein:
- Verwaltung von Mitgliedern
- Buchhaltung und Kasse
- Planung und Durchführung von Veranstaltungen und Festen
- Vereinsführung (Protokolle, Vorstandssitzungen, Entscheidungen, Planungen)
- Pflege des Social Media Auftritts (z.B. Facebook-Fanpage)
- Zur Verfügungstellung einer Webseite
- Einsatz eines Videokonferenzsystems
- Verwaltung von Beschäftigtendaten (Personalakten, Gehaltsabrechnungen)
- Trainingsverwaltung (Abteilungen, Trainingszeiten, Termine, Wettkämpfe)
4. Zweck der Verarbeitung
Der Zweck der Verarbeitung der Daten muss klar und eindeutig ausformuliert werden. Anhand der folgenden Frage könnt ihr eine Zweckformulierung erarbeiten.
Warum und wozu werden die Daten verarbeitet?
5. Kategorie der betroffenen Personen
Es müssen Angaben dazu gemacht werden, von welchen Personen die Daten erfasst und verarbeitet werden z.B. Vereinsmitglieder, Besucher, Kinder.
An dieser Stelle reicht es aus, die Kategorien der Personengruppen zu nennen. Mehrfachnennungen sind möglich und abhängig von der Art der Verarbeitung. Es sind keine konkreten Namen zu nennen.
6. Kategorie der zu verarbeitenden Daten
Es sind alle Kategorien der zu verarbeitenden Daten aufzulisten. Dabei sind zum einen die Daten der direkten Verarbeitung zu nennen, aber auch die Daten, die ggf. im Hintergrund einer Verarbeitung erfasst werden (indirekte Daten) z.B. Metadaten, Protokolldaten.
An dieser Stelle reicht es ebenfalls aus, die Kategorien der Daten zu nennen. Es sind keine konkreten Inhaltsdaten zu erfassen.
Beispiel der Mitgliederverwaltung mittels einer Vereinssoftware:
| Direkte Verarbeitung | Inhaltsdaten | Indirekte Verarbeitung |
|---|---|---|
| Mitgliedsname | Marie Mustermann | Zugangsdaten des Benutzers der Software |
| Mitgliedsnummer | 012345678 | Abrechnungsdaten für die Software |
| Kontaktdaten | Musterstraße 1 in Musterstad | Protokolldaten (Logdaten) |
| Lastschriftdaten | IBAN: DE76 3748 8392 3292 | Rechte des Benutzers |
| Trainingsabteilung | Volleyball | ... |
7. Kategorie von Empfängern intern
Wenn die zu verarbeitenden Daten, neben dem Verantwortlichen (Vorstand), auch anderen Personen innerhalb des Vereins offengelegt oder zur weiteren Verarbeitung übermittelt werden, dann sind diese Personen oder Stellen zu nennen z.B. Kassenprüfer, Trainer, Abteilungsleiter.
Hinweis
„Empfänger von Daten“: Wem werden die Daten übermittelt oder auch nur offengelegt?
8. Kategorie von Empfängern extern
Wenn die zu verarbeitenden Daten Empfängern außerhalb des Vereins offengelegt oder zur weiteren Verarbeitung übermittelt werden, dann sind diese Personen oder Stellen zu nennen z.B. Finanzamt, Dachverband, Veröffentlichung auf Social Media.
9. Vorliegen einer besonderen Erlaubnis der Übermittlung in Drittländer nach Art. 49 DSGVO
Wenn sich einzelne Empfänger der Daten außerhalb der Europäischen Union befinden, sind Angaben zum Empfänger und zum Empfängerland zu machen z.B. Cloudanbieter aus den USA. Werden die Daten in kein Drittland übermittelt, kann die Angabe lauten: „findet nicht statt“.
Grundsätzlich muss vor einer geplanten Datenübermittlung in ein Drittland die Zulässigkeit geprüft werden. Nur unter speziellen Voraussetzungen ist eine grenzüberschreitende Übermittlung erlaubt (siehe hier).
Ist in diesem Zusammenhang die Erlaubnis im Art. 49 der DSGVO zu finden, dann muss die erfüllte Bedingung im Verzeichnis der Verarbeitungstätigkeit genannt sein.
Beispiele
- Erlaubnis aufgrund einer ausdrücklichen Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a DSGVO)
- Erlaubnis auf der Grundlage eines zu erfüllenden Vertrages… (Art. 49 Abs. 1 lit. b DSGVO)
- Erlaubnis zur Geltendmachung oder Verteidigung von Rechtsansprüchen… (Art. 49 Abs. 1 lit. e DSGVO)
Findet eine Datenübermittlung im Rahmen von Art. 45 (Angemessenheitsbeschluss) oder Art. 46 (z.B. Standardvertragsklauseln) statt, müssen keine Angaben dazu erfolgen.
Findet keine Datenübermittlung in ein Drittland statt, dann bleibt diese Angabe aus.
10. Löschfristen der verschiedenen Datenkategorien
Der Grundsatz der „Speicherbegrenzung“ (Art. 5 Abs. 1 lit. e DSGVO) macht es erforderlich, dass für personenbezogene Daten bereits vor der Verarbeitung feststehen muss, wie lange diese Daten verarbeitet bzw. wann diese Daten gelöscht werden. Es muss der Zeitpunkt der Löschung oder das Kriterium, wonach die Löschung erfolgt, angegeben werden. Es ist zu beachten, dass einige Daten gesetzlichen Aufbewahrungsfristen unterliegen, z.B. Buchhaltungsdaten. Weitere Informationen findet ihr hier.
Beispiele
Zeitpunkt der Löschung: 10 Jahre nach Erstellung der Spendenquittung, 6 Monate nach Durchführung der Veranstaltung, am Ende des Kalenderjahres.
Kriterium: Nach Beendigung der Mitgliedschaft, nach Widerruf der Einwilligung, zum Ende der Videokonferenz
11. Technische und Organisatorische Maßnahmen (TOMs)
Die Verarbeitung von personenbezogenen Daten muss durch den Verein umfangreich gesichert werden. An dieser Stelle kann im Verzeichnis auf die Übersicht der „technischen und organisatorischen Maßnahmen“ des Vereins verwiesen werden. Wenn es erforderlich ist, können an dieser Stelle besondere Schutzmaßnahmen für die jeweilige Verarbeitung aufgeführt werden z.B. Schutzmaßnahmen zum Videokonferenztool.
Vorgehen
Zunächst ist es wichtig die unterschiedlichen Prozesse im Verein zu kennen. Wer verarbeitet Daten und wie kann dieser Prozess benannt und abgegrenzt werden? Für die Erstellung des Verzeichnisses ist eine Zusammenarbeit mit den einzelnen Bearbeitern der Daten notwendig. Das erstellte Verzeichnis sollte jährlich überprüft und wenn notwendig, aktualisiert werden. Außerdem muss es auf Anfrage der zuständigen Aufsichtsbehörde vorgelegt werden können.
Autorin: Jacqueline Vogel
Download
Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten
Wir bieten eine Vorlage für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten an. Die Vorlage ist leicht in der Handhabung und orientiert sich an den Bedürfnissen von Vereinen und sonstigen gemeinnützigen Organisationen. Sie enthält neben allgemeinen Information zahlreiche Beispiele aus der Praxis, die die Erstellung und Pflege des Verzeichnisses erleichtern und eine praktische Hilfestellung für im Ehrenamt Aktive bieten soll. Die Vorlage kann mit Tabellenkalkulationsprogrammen wie Microsoft Excel oder LibreOffice Calc geöffnet werden.
Autor:innen der Vorlage: Cristina Bittner, Kirstin Vedder und Hendrik vom Lehn
…oder in verwandten Einträgen
