Das Verzeichnis der Verarbeitungstätigkeiten

Trennlinie

Das Verzeichnis der Verarbeitungstätigkeiten

Hannover im Januar 2018

Das Verzeichnis der Verarbeitungstätigkeiten ist das zentrale Datenschutz-Dokument in der Steuerberatungskanzlei und ist bei Prüfungshandlungen die Grundlage. Im Verzeichnis der Verarbeitungstätigkeiten werden die Datenschutzwerte katalogisiert, die durch die technisch-organisatorischen Maßnahmen geschützt werden sollen. Es ist Grundlage für die Dokumentation der Zweckbindung und der Speicherbegrenzung. Es wird ausgewiesen, an wen welche personenbezogenen Daten übermittelt werden und ist die Grundlage für die Durchführung einer Datenschutz-Risikoanalyse und einer Datenschutz-Folgenabschätzung sowie für die Erfüllung der Transparenzvorschriften.

Ein Beitrag von Stephan Rehfeld, scope & focus Service-Gesellschaft mbH.

Was ist eine Verarbeitungstätigkeit?

Eine Verarbeitung oder Verarbeitungstätigkeit kann mit einem Geschäftsprozess gleichgesetzt werden, in dem personenbezogene Daten verarbeitet werden. Dementsprechend ist das Verzeichnis der Verarbeitungstätigkeiten eine Geschäftsprozesslandkarte für die Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden.

Scheinbare Erleichterung für KMU (Art. 30 Abs. 5 DSGVO)

  • Generell ist das Verzeichnis der Verarbeitungstätigkeiten nicht von Unternehmen oder Einrichtungen zu führen, „die weniger als 250 Mitarbeiter beschäftigen, es sei denn,
  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw.
  • die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“

Fazit: Steuerkanzleien verarbeiten besondere Kategorien personenbezogener Daten gemäß Artikel 9. Aus diesem Grund müssen alle Steuerberatungskanzleien ein Verzeichnis der Verarbeitungstätigkeiten führen. Die Befreiung eines KMU von der Pflicht zur Führung eines Verfahrensverzeichnisses wird nur in Ausnahmefällen auch bei Unternehmen vorliegen.

Wer führt das Verzeichnis der Verarbeitungstätigkeiten?

Im Kanon der Aufgaben des Datenschutzbeauftragten ist die Pflicht zur Führung der Verzeichnisse gestrichen worden.

Bisher (BDSG 2001) hatte die Regelung vorgesehen, dass Geschäftsprozessverantwortliche dem Datenschutzbeauftragten Veränderungen am Geschäftsprozess melden. Der Daten­schutzbeauftragte aktualisiert dann das Verfahrensver­zeichnis. Dies entfällt mit der DSGVO. Jetzt gilt stattdessen die Vorstellung, dass die Geschäftsprozessverantwortlichen die Änderungen an den Geschäftsprozessen selbständig in das Verzeichnis der Verarbeitungstätigkeiten pflegen und auch für die Archivierung und der Möglichkeit des sofortigen Zugriffs bei Prüfungen verantwortlich sind.

Welche Verarbeitungen werden von Steuerberatungskanzleien betrieben?

Eine Geschäftsprozesslandkarte sämtlicher Geschäftsprozesse einer Steuerkanzlei kann zum Beispiel dem „Handbuch Qualitätssicherung und Qualitätsmanagement in der Steuerberatung“ entnommen werden. Die abgebildeten Geschäftsprozesse sind regelmäßig identisch mit den Verarbeitungen einer Steuerkanzlei. Im Folgenden ein Auszug:

Screenshot aus BStBK, DStV, DATEV, Handbuch Qualitätssicherung und Qualitätsmanagement in der Steuerberatung

Inhalt des Verzeichnisses der Verarbeitungstätigkeiten

Die folgenden Angaben hat der Verantwortliche zu führen (Art. 30 DSGVO):

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Musterverzeichnisse mit vielen Tipps und Hinweisen können auf der Seite der Landesbeauftragten für Datenschutz in Niedersachsen heruntergeladen werden
(https://www.lfd.niedersachsen.de/download/120050).