Zum Hauptinhalt springen

Verarbeitungsverzeichnis

Wie soll eine Hochschule die vielen Vorgänge, in denen sie Daten von und über Menschen verarbeitet, kennen? Wie kann sie drohende Datenlecks rechtzeitig erkennen, um sie zu verhindern? Und wie sollen all die Daten rechtzeitig gelöscht werden? Ganz einfach: mit Hilfe eines Verarbeitungsverzeichnis. Wir zeigen Ihnen, wie Sie all Ihre Vorgänge richtig erfassen und persönlich am Datenschutz Ihrer Hochschule mitwirken.

Sinn und Zweck eines VVT

Im Rahmen der Nachweispflichten der DSGVO muss jeder Verantwortliche (Hochschule) ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. Das umfasst auch alle Verarbeitungstätigkeiten, die von der Hochschule im Auftrag durchgeführt werden.

Das Verarbeitungsverzeichnis (VVT) soll beschreiben, worum es bei einer konkreten Datenverarbeitung geht, z.B. wer fachlich zuständig ist und wie im Verlauf des Verfahrens/Projekts mit den Daten umgegangen wird. Durch den Detailgrad der Dokumentation kann das VVT einer Hochschule mehrere Funktionen abdecken: zum einen kommt die Hochschule ihrer Dokumentationspflicht nach, und zum anderen dient sie als Kontrollinstanz, ob die datenschutzrechtlichen Anforderungen bei den einzelnen Verarbeitungstätigkeiten auch adäquat umgesetzt werden.

Ein VVT muss aktuell sein. Sollten also zukünftig bezogen auf die einzelnen Verarbeitungstätigkeiten Änderungen erfolgen, muss das VVT aktualisiert werden (z.B. Benutzung einer neuen Software oder bei der Veränderung von Verfahrensabläufen). Eine Änderungshistorie (wann, was, durch wen) ist zu empfehlen.

Inhalt eines VVT

Die Anforderungen an ein VVT sind in dem Art. 28 DSGVO aufgeführt. Im Folgenden stellen wir die einzelnen Punkte detaillierter dar.Die Anforderungen an ein VVT sind in dem Art. 28 DSGVO aufgeführt. Im Folgenden stellen wir die einzelnen Punkte detaillierter dar.

Der Verantwortliche ist die Stelle, welche über die Datenverarbeitung entscheidet. Entscheidend ist, dass der Verantwortliche im VVT nicht der fachlich verantwortliche Mitarbeiter der Hochschule ist, der z.B. die Verarbeitungstätigkeit ausführt oder in dessen Abteilung Mitarbeitende Verarbeitungstätigkeiten dieser Art ausführen lässt. Der Verantwortliche ist der Präsident der jeweiligen Hochschule. 

Die Rubrik Vertreter ist grundsätzlich nicht auszufüllen, denn es handelt sich hierbei nicht um den Vertreter des Verantwortlichen (beispielsweise der Vizepräsident), sondern die Rubrik Vertreter ist nur anwendbar, wenn es sich um ein Unternehmen handelt, das seine Hauptniederlassung außerhalt der EU hat. Ein solches Unternehmen ist verpflichtet, über einen Vertreter in der EU zu verfügen, damit dieser Ansprechpartner für die Aufsichtsbehörden ist und damit über diesen Vertreter die DSGVO überhaupt anwendbar ist.

Die Nennung einer Fachverantwortlichen Person ist hingegen hilfreich. Aufkommende Fragen zu einer bestimmten Verarbeitungstätigkeiten (oder einem bestimmten Prozess) kann von dieser Person ggfs. schneller beantwortet werden als von einer Fachfremden Person.

Die Rubrik Gemeinsame Verantwortliche ist nur auszufüllen, wenn die Hochschule die personenbezogenen Daten extern an eine weitere Stelle wie z.B. eine Hochschule oder ein Unternehmen weiterleitet und diese Stelle bzgl. der Datenverarbeitung einen eigenen Entscheidungsspielraum hat. Zum Beispiel bei Kooperationen legen mehrere Stellen "auf gleicher Augenhöhe" ein Verfahren fest. Liegt dieser Fall vor, sind beide Stellen als Verantwortliche einzutragen und zusätzlich sind in einer Anlage die konkrete Verteilung der Verantwortlichkeiten hinsichtlich des Gesamtprozesses darzulegen, siehe Art. 26 DSGVO.

Im Rahmen der Beschreibung der Verarbeitungstätigkeit sollte höchstens in einem kurzen Einleitungssatz angegeben werden, um was für eine Verarbeitungstätigkeit es sich handelt. Dabei gibt es keine strikten Vorgaben, wie die Verarbeitungstätigkeit beschrieben werden muss. Aufgrund der fachlichen Kenntnisse der Hochschulmitarbeiter haben diese einen Gestaltungsspielraum dahingehend, wie sie die Verarbeitungstätigkeit erklären. Entscheidend ist jedoch, dass die Verarbeitungstätigkeit einen datenschutzrechtlichen Bezug hat.

Der Zweck der Datenverarbeitung sollte ein übergreifender Oberbegriff sein, eindeutig und aussagekräftig. Die Aufsichtsbehörde muss, bei Sichtung des VVT, die Möglichkeit haben, die Angemessenheit der Schutzmaßnahmen und die Zulässigkeit der Verarbeitung vorläufig einschätzen zu können.

Verarbeitungszwecke sind beispielsweise:

Bewerbungsmanagement, Personalaktenführung, Arbeitszeiterfassung, Studierendenverwaltung, Studienplatzbewerbung, Verwaltung von Studienleistung, Studienberatung.

Es können mehrere Verarbeitungstätigkeiten demselben Zweck dienen.

Die Angabe der Rechtsgrundlage ist zwar im VVT laut DSGVO nicht zwingend erforderlich, jedoch handelt es sich bei dem Erfordernis der Rechtsgrundlage als Bestandteil des Grundsatzes der Rechtmäßigkeit um einen der wesentlichsten Grundsätze der DSGVO. Dies bedeutet, eine Datenverarbeitung ist grundsätzlich verboten, außer es besteht eine Erlaubnisnorm. Deshalb ist es für die Aufsichtsbehörde entscheidend, auch wenn die DSGVO es nicht explizit vorschreibt, im VVT zu erkennen, ob die Datenverarbeitung der Hochschule rechtmäßig ist.

Bei der Rechtsgrundlage gibt es zwei Kategorien, die in erster Linie in Betracht kommen.

  • Grundsätzlich sollte als Rechtsgrundlage ein Gesetz, eine Rechtsverordnung oder eine Hochschulsatzung gewählt werden, wenn eine solche einschlägig ist. Denn im Gegensatz zu Unternehmen können sich nur öffentliche Stellen auch auf Gesetze und weitere Rechtsnormen als Rechtsgrundlage beziehen. Dies hat den Vorteil, dass hierbei keinerlei „Zustimmung“ von Seiten einer betroffenen Person erforderlich ist.

Häufige Rechtsgrundlagen im Hochschulbereich sind:

  • Art. 6 Absatz 1 S. 1 lit.e, Abs. 3 DSGVO iVm § 111 HmbHG (für die Verarbeitung von Studierendendaten iVm der entsprechenden Hochschulsatzung).
  • Art. 6 Absatz 1 S. 1 lit.e, Abs. 3 DSGVO iVm § 10 HmbDSG (für die Verarbeitung von Mitarbeiterdaten).
  • Eher nachrangig kommt die Einwilligung als Rechtsgrundlage an Hochschulen in Betracht. Der Versand von Newslettern durch eine Hochschule wird häufig auf die Einwilligung gestützt.

Es ist auch verpflichtend, dass die in der jeweiligen Verarbeitungstätigkeit verarbeiteten personenbezogenen Daten aufgeführt werden. Dabei handelt es sich sehr häufig um den Namen, die E-Mail-Adresse und die Anschrift. Auch Lebensläufe, Empfehlungsschreiben oder Fotos stellen jedoch personenbezogene Daten dar. Gerade aber in den einzelnen Abteilungen der Hochschulverwaltung können die personenbezogenen Daten recht speziell sein. Ein Anhaltspunkt kann auch immer die jeweilige Hochschulsatzung oder Dienstanweisung sein, wenn diese dort auch die verarbeiteten personenbezogenen Daten angibt. Dies kann z.B. bei der Hochschulsatzung zur Datenverarbeitung im Anhang geregelt sein. Auch in den Immatrikulationsordnungen werden die entsprechenden personenbezogenen Daten genannt.

Es ist auch von Vorteil für den kundigen Leser, wenn er erkennen kann, ob sensible Daten – also z.B. Gesundheitsdaten oder Sozialversicherungsdaten – verarbeitet werden und wenn ja, welche sensiblen Daten. Deshalb sollten auch die verarbeiteten sensiblen Daten im Verarbeitungsverzeichnis angegeben werden.

Es müssen weiter die Kategorien der Betroffenen, also der Personen, deren personenbezogenen Daten verarbeitet werden, genannt werden. Im Hochschulbereich sind dies häufig Studierende und Mitarbeitende der Hochschulverwaltung. Weiter sind die Betroffenen zumeist Lehrende, wobei diese interne und externe Lehrende sein können. Weitere Betroffene können auch allgemein „Externe“ sein, wie z.B. Ansprechpartner bei Dienstleistern, Interessenten von Newslettern, der Website oder von Veranstaltungen. Weitere Beispiele für "Kategorien betroffener Personen" sind:

  • Professoren / Dozenten
  • Beschäftigte
  • Studierende
  • Gastdozenten
  • gastweise an der Hochschule tätige Personen
  • Kooperationspartner
  • Ehemalige (Alumni / Emeriti)
  • Kontaktpersonen an andren Hochschulen
  • Kontaktpersonen der Lieferanten
  • Bewerber auf Studienplätze
  • Stellenbewerber
  • Tagungs- / Konferenzteilnehmer
  • Studienteilnehmer / Probanden
  • Schüler*innen
  • Nutzer von Webseiten
  • usw.

Bei der Rubrik Empfänger müssen alle internen (andere Abteilungen) und auch externen Stellen wie z.B. weitere Hochschulen bzw. Unternehmen angegeben werden, an welche personenbezogene Daten weitergeleitet werden. Dabei ist nicht entscheidend, ob diese Stellen die personenbezogenen Daten als Auftragsverarbeiter oder Verantwortliche verarbeiten. Weiter müssen auch die internen Abteilungen der Hochschule genannt werden, an welche die personenbezogenen Daten weitergegeben werden.

Werden personenbezogene Daten in Drittländer weitergeleitet, muss dies grundsätzlich angegeben werden. Dabei muss auch nicht nur die Tatsache genannt werden, dass personenbezogene Daten an Drittländer weitergegeben werden, sondern es muss auch genau das betreffende Drittland angegeben werden, in welches die personenbezogenen Daten weitergeleitet werden.

Wenn Daten in irgendeiner Weise außerhalb der EU gelangen könnten (z. B. Nutzung eines Cloud-Service oder die Zusammenarbeit mit Unternehmen / Institutionen im EU-Ausland vorliegen) sollte der Datenschutzbeauftragte frühzeitig darüber informiert werden.

Achtung: Geht es z.B. um eine frei zugängliche Homepage mit Fotos oder Videos liegt durch die Übertragung im Internet auch immer eine Datenübermittlung in ein Drittland vor! An dieser Stelle sollte im VVT ein Hinweis wie zum Beispiel "Verbreitung über das Internet" erfolgen.

Bei der Rubrik zur Löschung sollten, falls die personenbezogenen Daten nicht sofort, nach dem der Zweck erfüllt ist, gelöscht werden, die jeweiligen Aufbewahrungspflichten genannt werden. Tendenziell kommen drei Kategorien von Aufbewahrungspflichten in Betracht.

  • Bundesgesetzliche, in erster Linie Aufbewahrungspflichten aus § 257 HGB (aufgrund buchhalterischer Verpflichtungen) und Aufbewahrungspflichten aus § 147 AO (aufgrund von Verpflichtungen gegenüber dem Finanzamt)
  • Landesgesetzliche, z.B. § 3 HmbArchG (Anbieten von Unterlagen an das Staatsarchiv), § 78 Abs. 5 HmbPersVG (Vernichtung von Unterlagen erst nach Abschluss des Mitbestimmungsverfahrens)
  • Hochschulsatzungen, z.B. die Datenschutzsatzung der jeweiligen Hochschule oder die Aktenordnung der jeweiligen Hochschule.

Bei den TOMs geht es um Datensicherheit. Hier sollten grundsätzlich die für die gesamte Hochschule geltenden allgemeinen TOMs als Referenzdokument beigefügt werden. Sollten für den Bereich der Verarbeitungstätigkeit zusätzliche speziellere TOMs bestehen, sollten auch diese dort hinzugefügt oder angegeben werden. Dabei kann es sich z.B. um Zugriffsrechte im Rahmen eines Berechtigungskonzepts für die jeweilige Software handeln, die nur in einer bestimmten Abteilung genutzt wird (z.B. Personalabteilung).

Bezüglich der Rubrik Datenschutz-Folgenabschätzung sollte das MMKH, der Datenschutzkoordinator der Hochschule oder der bestellte Datenschutzbeauftragte der Hochschule kontaktiert werden, damit eine Einschätzung erfolgen kann, inwiefern bei der konkreten Verarbeitungstätigkeit eine Datenschutzfolgenabschätzung erfolgen muss.

Umsetzung eines VVT

Für die Umsetzung eines VVT müssen die einzelnen Verfahren herausgearbeitet und dokumentiert werden.

Dabei kann es gegebenenfalls schwierig sein, dass konkrete Verfahren, dass zu dokumentieren ist, herauszuarbeiten:

Zunächst kann man vom äußeren Bild der tatsächlichen Abläufe ausgehen. Stellt das Vorhaben einen zusammenhängenden Prozess dar? Abläufe, bei der die gesamte Datenverarbeitung innerhalb einer Verantwortlichkeit und dem gleichen Zweck verbleibt, können im VVT als eine Verarbeitung/ein Vorgang beschrieben werden. Das trifft zum Beispiel bei Forschungsprojekten häufig zu. Hier werden Daten durch das konkrete Forschungsprojekt erhoben, gespeichert und verarbeitet. Ergebnisse werden eventuell veröffentlicht und Rohdaten gemäß der Wissenschaftlichen Praxis aufbewahrt. Danach werden die personenbezogenen Daten gelöscht/anonymisiert (bzw. archiviert gem. ArchivO), das Projekt ist (endgültig) abgeschlossen. Hier besteht über den gesamten 'Lebensweg' der Daten (von Erhebung bis Löschung) ein einheitlicher Zweck (das Forschungsprojekt) und eine einheitliche Verantwortlichkeit.

Andere Verfahren sind dagegen mehrstufig aufgebaut. Hier wechseln vor allem die Verantwortlichkeiten, oder aber auch die Zwecke der Verarbeitung können wechseln. Ein Beispiel für ein mehrstufiges Verfahren ist das Einstellungsverfahren. Bewerbungen gehen dezentral ein, werden gespeichert, es werden Gespräche geführt, der zuständige Personalrat beteiligt, Entscheidungen getroffen, Zu- und Absagen versandt; Sobald eine Bewerbung erfolgreich ist und es kommt zu einer Einstellung, werden die Daten des erfolgreichen Bewerbers an die Personalabteilung abgegeben. (Ende Verfahren, Verantwortlichkeitswechsel). Umgang und weitere Datenverarbeitung durch die Personalabteilung stellt dann wieder ein eigenes Verfahren dar (Personalverwaltung).

Das VVT kann schriftlich oder elektronisch geführt werden. Besondere Anforderungen an das Format stellt die DSGVO nicht. Die Datenschutzaufsichtsbehörden der Länder stellen unterschiedliche Vorlagen zur Verfügung. Die Hochschulen arbeiten zurzeit mit einer SaaS-Anwendung eines externen Dienstleisters, in der (intern) Verantwortliche ihre Verfahren einpflegen können. Die einzelnen Verfahren/Verarbeitungstätigkeiten.

Stand: 29.09.2021