Erstellung und Aktualisierung des Verarbeitungsverzeichnisses

Auf Grundlage des Art. 30 der Datenschutz-Grundverordnung (DS-GVO) ist die Universität Konstanz als Verantwortliche zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten (VVT), die ihrer Zuständigkeit unterliegen, verpflichtet. Bestehende Verarbeitungsübersichten nach § 11 des Landesdatenschutzgesetzes des Bundeslandes Baden-Württemberg (LDSG BW) sind eine gute Grundlage für das VVT – müssen aber an die Vorgaben der DS-GVO angepasst werden.

Definitionen

Personenbezogene Daten

Im Sinne der Verordnung sind personenbezogene Daten alle Informationen, von denen direkt auf eine einzelne Person geschlossen (d.h. sie identifiziert) oder mithilfe derer ein Bezug zu einer Person hergestellt werden kann (d.h. sie identifizierbar macht). Es gilt ein Bezug auch dann als herstellbar, wenn es möglich ist, auch über Umwege auf die Person schließen zu können, insbesondere mittels Zuordnung zu einer persönlichen Kennnummer (bei Studierenden beispielsweise die Matrikelnummer), zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen.

Beispiele:

Dabei kann unter Umständen schon die Kombination aus Vorname und Nachname genügen, um eine Person eindeutig zu identifizieren. Nachname und Arbeitgeber zusammen können ebenfalls eindeutig sein.

Grundsätzlich ist davon auszugehen, dass sich über die IP-Adresse des ein Personenbezug herstellen lässt. Zur Thematik siehe ZENDAS: „Personenbezogene Daten: IP-Adresse“.

Eine E-Mailadresse ist dann ein personenbezogenes Datum, wenn sie selbst den Namen der Person enthält ("max.mustermann@uni-konstanz.de"). Der Personenbezug kann verhindert werden, indem funktionale E-Mailadressen vergeben werden ("haustechnik@uni-konstanz.de").

Verarbeitungstätigkeiten

Der Ausdruck „Verarbeitung“ bezeichnet jeden ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (s. Art. 4 lit. 2 DS-GVO).

Eine Verarbeitungstätigkeit kann – wie früher das Verfahren nach LDSG – als Geschäftsprozess verstanden werden. Ihre Abläufe und Komponenten bilden eine arbeitsorganisatorisch abgeschlossene Einheit zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen (abgeleitet aus Art. 18 Abs. 1 der EU-Richtlinie 95/46/EG).

Da es nach diesem Verständnis entscheidend auf die Zweckbestimmung ankommt, ist der Begriff der ‚Verarbeitungstätigkeit‘ von einer Flexibilität und Offenheit geprägt, je nachdem, wie eng oder weit ein spezifischer Zweck definiert wird. Dem Verantwortlichem kommt daher bei ihrer Deutung ein nicht unerheblicher Gestaltungsspielraum zu (vgl. [DSB14]).

 

Motivation, Verantwortlichkeiten und Ablauf

Motivation

Das Verzeichnis von Verarbeitungstätigkeiten spielt - wie das bisherige Verfahrensverzeichnis nach LDSG - eine wesentliche Rolle, um datenschutzrechtliche Vorgaben überhaupt einhalten zu können.

Ein Eintrag im Verzeichnis der Verarbeitungstätigkeiten dokumentiert hierbei sowohl die rechtskonforme Verarbeitung der personenbezogenen Daten als auch die ergriffenen technischen und organisatorischen Schutzmaßnahmen. Nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherstellen zu können (Eigenkontrolle, vgl. [LfD17]).

Erstellt und vorgehalten werden muss das Verzeichnis, da sie dem Datenschutzbeauftragten des Landes Baden-Württemberg jederzeit auf Anfrage zur Verfügung zu stellen sind (s. Art. 30 Abs. 4 DS-GVO und ErwGr. 82). Es hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Für eine Prüfung muss das Verzeichnis aus sich heraus also für einen Dritten verständlich sein, der die Verarbeitung nachvollziehen möchte. Nötigenfalls muss dafür das Verzeichnis um Anlagen (weitere Beschreibungen, Skizzen, Bilder) ergänzt werden.

Zudem dient es der strukturierten Datenschutzdokumentation und ist damit wesentliche Grundlage für die Erfüllung der Aufgaben des Datenschutzbeauftragten.

Anders als im bisherigen LDSG ist eine Möglichkeit für jedermann, in das Verzeichnis von Verarbeitungstätigkeiten Einsicht zu nehmen, nach der DS-GVO nicht vorgesehen. Dies wird kompensiert durch erweiterte Informationspflichten gemäß Artt. 13,14 DS-GVO.

Verantwortlichkeiten und Ablauf

Adressat der in der DS-GVO normierten Verpflichtungen ist im Allgemeinen die Universitätsleitung.

Sowohl Erstellung als auch Aktualisierung der Dokumentation einzelner Verarbeitungstätigkeiten wird üblicher- und zweckmäßigerweise an die jeweiligen organisatorischen Untereinheiten / Fachabteilungen delegiert, die mit der jeweiligen Datenverarbeitung befasst und für den Betrieb zuständig sind - also diejenige Stellen, "die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" (Art. 4 Satz 1 Nr. 7).

In der DS-GVO gibt es keinen expliziten Bezug zwischen dem Datenschutzbeauftragten und dem Verarbeitungsverzeichnis. Die Führung der Verarbeitungsübersicht gehört weder zu seinen vorgeschriebenen Aufgaben noch ist er dazu verpflichtet hierzu Vorgaben zu machen. Gleichzeitig muss der Verantwortliche sicherstellen, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird (s. Art. 38 DS-GVO Abs. 1).

Die Zentrale Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS) berät die Universität Konstanz in allen Belangen des Datenschutzes. Unter Umständen kann es ratsam sein, Entwürfe einer Verarbeitungsübersicht an die ZENDAS zur Begutachtung weiterzuleiten. Diese Prüfung kann jedoch einige Zeit in Anspruch nehmen.