Skip to main content

Verarbeitungsverzeichnis

Wie soll eine Hochschule die vielen Vorgänge, in denen sie Daten von und über Menschen verarbeitet, kennen? Wie kann sie drohende Datenlecks rechtzeitig erkennen, um sie zu verhindern? Und wie sollen all die Daten rechtzeitig gelöscht werden? Ganz einfach: mit Hilfe eines Verarbeitungsverzeichnis. Wir zeigen Ihnen, wie Sie all Ihre Vorgänge richtig erfassen und persönlich am Datenschutz Ihrer Hochschule mitwirken.

Im Rahmen der Nachweispflichten der DSGVO muss jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten erstellen und führen.

Das VVT soll beschreiben, worum es bei einer konkreten Datenverarbeitung geht, z.B. wer verantwortlich ist und wie im Verlauf des Verfahrens/Projekts mit den Daten umgegangen wird. Dabei kann es gegebenenfalls schwierig sein, dass konkrete Verfahren, dass zu dokumentieren ist, herauszuarbeiten:

Zunächst kann man vom äußeren Bild der tatsächlichen Abläufe ausgehen. Stellt das Vorhaben einen zusammenhängenden Prozess dar? Abläufe, bei der die gesamte Datenverarbeitung innerhalb einer Verantwortlichkeit und dem gleichen Zweck verbleibt, können in einem VVT beschrieben werden. Das trifft häufig zum Beispiel bei Forschungsprojekten zu. Hier werden Daten durch das konkrete Forschungsprojekt erhoben, gespeichert und verarbeitet. Ergebnisse werden eventuell veröffentlicht und Rohdaten gemäß der Wissenschaftlichen Praxis aufbewahrt.  Danach werden die personenbezogenen Daten gelöscht/anonymisiert (bzw. archiviert gem. ArchivO), das Projekt ist (endgültig) abgeschlossen. Hier besteht über den gesamten 'Lebensweg' der Daten (von Erhebung bis Löschung) ein einheitlicher Zweck (das Forschungsprojekt) und eine einheitliche Verantwortlichkeit.

Andere Verfahren sind dagegen mehrstufig aufgebaut. Hier wechseln vor allem die Verantwortlichkeiten, oder aber auch die Zwecke der Verarbeitung können wechseln. Ein Beispiel für ein mehrstufiges Verfahren ist das Einstellungsverfahren. Bewerbungen gehen dezentral ein, werden gespeichert, es werden Gespräche geführt, der zuständige Personalrat beteiligt, Entscheidungen getroffen, Zu- und Absagen versandt; Sobald eine Bewerbung erfolgreich ist und es kommt zu einer Einstellung, werden die Daten des erfolgreichen Bewerbers an die Personalabteilung abgegeben. (Ende Verfahren, Verantwortlichkeitswechsel). Umgang und weitere Datenverarbeitung durch die Personalabteilung stellt dann wieder ein eigenes Verfahren dar (Personalverwaltung).  

Ein VVT muss aktuell sein. Sollten also zukünftig bezogen auf die einzelnen Verarbeitungstätigkeiten Änderungen erfolgen, muss das VVT aktualisiert werden (z.B. Benutzung einer neuen Software).

Auch wenn die Hochschule Auftragsverarbeiter ist, muss ein Verarbeitungsverzeichnis erstellt werden.

Die Anforderungen an ein VVT sind in dem Art. 28 DSGVO aufgeführt. Im Folgenden stellen wir die einzelnen Punkte etwas detaillierter dar.

Verantwortlicher

Der Verantwortliche ist die Stelle, welche über die Datenverarbeitung entscheidet. Entscheidend ist, dass der Verantwortliche im VVT nicht der fachlich verantwortliche Mitarbeiter der Hochschule ist, der z.B. die Verarbeitungstätigkeit ausführt oder in dessen Abteilung Mitarbeitende Verarbeitungstätigkeiten dieser Art ausführen lässt. Der Verantwortliche ist der Präsident der jeweiligen Hochschule. 

Vertreter

Die Rubrik Vertreter ist grundsätzlich nicht auszufüllen, denn es handelt sich hierbei nicht um den Vertreter des Verantwortlichen (beispielsweise der Vizepräsident), sondern die Rubrik Vertreter ist nur anwendbar, wenn es sich um ein Unternehmen handelt, das seine Hauptniederlassung außerhalt der EU hat. Ein solches Unternehmen ist verpflichtet, über einen Vertreter in der EU zu verfügen, damit dieser Ansprechpartner für die Aufsichtsbehörden ist und damit über diesen Vertreter die DSGVO überhaupt anwendbar ist.

Gemeinsame Verantwortliche

Die Rubrik Gemeinsame Verantwortliche ist nur auszufüllen, wenn die Hochschule die personenbezogenen Daten extern an eine weitere Stelle wie z.B. eine Hochschule oder ein Unternehmen weiterleitet und diese Stelle bzgl. der Datenverarbeitung einen eigenen Entscheidungsspielraum hat. Zum Beispiel bei Kooperationen legen mehrere Stellen "auf gleicher Augenhöhe" ein Verfahren fest. Liegt dieser Fall vor, sind beide Stellen als Verantwortliche einzutragen und zusätzlich sind in einer Anlage die konkrete Verteilung der Verantwortlichkeiten hinsichtlich des Gesamtprozesses darzulegen, siehe Art. 26 DSGVO.

Verarbeitungstätigkeit

Im Rahmen der Beschreibung der Verarbeitungstätigkeit sollte höchstens in einem kurzen Einleitungssatz angegeben werden, um was für eine Verarbeitungstätigkeit es sich handelt. Dabei gibt es keine strikten Vorgaben, wie die Verarbeitungstätigkeit beschrieben werden muss. Aufgrund der fachlichen Kenntnisse der Hochschulmitarbeiter haben diese einen Gestaltungsspielraum dahingehend, wie sie die Verarbeitungstätigkeit erklären. Entscheidend ist jedoch, dass die Verarbeitungstätigkeit einen datenschutzrechtlichen Bezug hat.

Zweck

Der Zweck der Datenverarbeitung sollte ein übergreifender Oberbegriff sein, eindeutig und aussagekräftig. Die Aufsichtsbehörde muss, bei Sichtung des VVT, die Möglichkeit haben, die Angemessenheit der Schutzmaßnahmen und die Zulässigkeit der Verarbeitung vorläufig einschätzen zu können.

Verarbeitungszwecke sind beispielsweise:

Bewerbungsmanagement, Personalaktenführung, Arbeitszeiterfassung, Studierendenverwaltung, Studienplatzbewerbung,Verwaltung von Studienleistung, Studienberatung.

Es können mehrere Verarbeitungstätigkeiten demselben Zweck dienen.

    Rechtsgrundlage

    Die Angabe der Rechtsgrundlage ist zwar im VVT laut DSGVO nicht zwingend erforderlich, jedoch handelt es sich bei dem Erfordernis der Rechtsgrundlage als Bestandteil des Grundsatzes der Rechtmäßigkeit um einen der wesentlichsten Grundsätze der DSGVO. Dies bedeutet, eine Datenverarbeitung ist grundsätzlich verboten, außer es besteht eine Erlaubnisnorm. Deshalb ist es für die Aufsichtsbehörde entscheidend, auch wenn die DSGVO es nicht explizit vorschreibt, im VVT zu erkennen, ob die Datenverarbeitung der Hochschule rechtmäßig ist.

    Bei der Rechtsgrundlage gibt es zwei Kategorien, die in erster Linie in Betracht kommen.

    • Grundsätzlich sollte als Rechtsgrundlage ein Gesetz, eine Rechtsverordnung oder eine Hochschulsatzung gewählt werden, wenn eine solche einschlägig ist. Denn im Gegensatz zu Unternehmen können sich nur öffentliche Stellen auch auf Gesetze und weitere Rechtsnormen als Rechtsgrundlage beziehen. Dies hat den Vorteil, dass hierbei keinerlei „Zustimmung“ von Seiten einer betroffenen Person erforderlich ist.

    Häufige Rechtsgrundlagen im Hochschulbereich sind:

    • Art. 6 Absatz 1 S. 1 lit.e, Abs. 3 DSGVO iVm § 111 HmbHG (für die Verarbeitung von Studierendendaten iVm der entsprechenden Hochschulsatzung).
    • Art. 6 Absatz 1 S. 1 lit.e, Abs. 3 DSGVO iVm § 10 HmbDSG (für die Verarbeitung von Mitarbeiterdaten).
    • Eher nachrangig kommt die Einwilligung als Rechtsgrundlage an Hochschulen in Betracht. Der Versand von Neslettern durch eine Hochschule wird häufig auf die Einwilligung gestützt.

    Personenbezogene Daten

    Es ist auch verpflichtend, dass die in der jeweiligen Verarbeitungstätigkeit verarbeiteten personenbezogenen Daten aufgeführt werden. Dabei handelt es sich sehr häufig um den Namen, die E-Mail-Adresse und die Anschrift. Auch Lebensläufe, Empfehlungsschreiben oder Fotos stellen jedoch personenbezogene Daten dar. Gerade aber in den einzelnen Abteilungen der Hochschulverwaltung können die personenbezogenen Daten recht speziell sein. Ein Anhaltspunkt kann auch immer die jeweilige Hochschulsatzung oder Dienstanweisung sein, wenn diese dort auch die verarbeiteten personenbezogenen Daten angibt. Dies kann z.B. bei der Hochschulsatzung zur Datenverarbeitung im Anhang geregelt sein. Auch in den Immatrikulationsordnungen werden die entsprechenden personenbezogenen Daten genannt.

    Es ist auch von Vorteil für den kundigen Leser, wenn er erkennen kann, ob sensible Daten – also z.B. Gesundheitsdaten oder Sozialversicherungsdaten – verarbeitet werden und wenn ja, welche sensiblen Daten. Deshalb sollten auch die verarbeiteten sensiblen Daten im Verarbeitungsverzeichnis angegeben werden.

    Kategorie der Betroffenen

    Es müssen weiter die Kategorien der Betroffenen, also der Personen, deren personenbezogenen Daten verarbeitet werden, genannt werden. Im Hochschulbereich sind dies häufig Studierende und Mitarbeitende der Hochschulverwaltung. Weiter sind die Betroffenen zumeist Lehrende, wobei diese interne und externe Lehrende sein können. Weitere Betroffene können auch allgemein „Externe“ sein, wie z.B. Ansprechpartner bei Dienstleistern, Interessenten von Newslettern, der Website oder von Veranstaltungen. Weitere Beispiele für "Kategorien betroffener Personen" sind:

    • Professoren / Dozenten
    • Beschäftigte
    • Studierende
    • Gastdozenten
    • gastweise an der Hochschule tätige Personen
    • Kooperationspartner
    • Ehemalige (Alumni / Emeriti)
    • Kontaktpersonen an andren Hochschulen
    • Kontaktpersonen der Lieferanten
    • Bewerber auf Studienplätze
    • Stellenbewerber
    • Tagungs- / Konferenzteilnehmer
    • Studienteilnehmer / Probanden
    • Schüler*innen
    • Nutzer von Webseiten
    • usw.

    Empfänger

    Bei der Rubrik Empfänger müssen alle internen (andere Abteilungen) und auch externen Stellen wie z.B. weitere Hochschulen bzw. Unternehmen angegeben werden, an welche personenbezogene Daten weitergeleitet werden. Dabei ist nicht entscheidend, ob diese Stellen die personenbezogenen Daten als Auftragsverarbeiter oder Verantwortliche verarbeiten. Weiter müssen auch die internen Abteilungen der Hochschule genannt werden, an welche die personenbezogenen Daten weitergegeben werden.

    Drittländer

    Werden personenbezogene Daten in Drittländer weitergeleitet, muss dies grundsätzlich angegeben werden. Dabei muss auch nicht nur die Tatsache genannt werden, dass personenbezogene Daten an Drittländer weitergegeben werden, sondern es muss auch genau das betreffende Drittland angegeben werden, in welches die personenbezogenen Daten weitergeleitet werden.

    Wenn Daten in irgendeiner Weise außerhalb der EU gelangen könnten (z. B. Nutzung eines Cloud-Service oder die Zusammenarbeit mit Unternehmen / Institutionen im EU-Ausland vorliegen) sollte der Datenschutzbeauftragte frühzeitig darüber informiert werden.

    Löschung

    Bei der Rubrik zur Löschung sollten, falls die personenbezogenen Daten nicht sofort, nach dem der Zweck erfüllt ist, gelöscht werden, die jeweiligen Aufbewahrungspflichten genannt werden. Tendenziell kommen drei Kategorien von Aufbewahrungspflichten in Betracht.

    • Bundesgesetzliche, in erster Linie Aufbewahrungspflichten aus § 257 HGB (aufgrund buchhalterischer Verpflichtungen) und Aufbewahrungspflichten aus § 147 AO (aufgrund von Verpflichtungen gegenüber dem Finanzamt)
    • Landesgesetzliche, z.B. § 3 HmbArchG (Anbieten von Unterlagen an das Staatsarchiv), § 78 Abs. 5 HmbPersVG (Vernichtung von Unterlagen erst nach Abschluss des Mitbestimmungsverfahrens)
    • Hochschulsatzungen, z.B. die Datenschutzsatzung der jeweiligen Hochschule oder die Aktenordnung der jeweiligen Hochschule.

    Technische und Organisatorische Maßnahmen

    Bei den TOMs geht es um Datensicherheit. Hier sollten grundsätzlich die für die gesamte Hochschule geltenden allgemeinen TOMs als Referenzdokument beigefügt werden. Sollten für den Bereich der Verarbeitungstätigkeit zusätzliche speziellere TOMs bestehen, sollten auch diese dort hinzugefügt oder angegeben werden. Dabei kann es sich z.B. um Zugriffsrechte im Rahmen eines Berechtigungskonzepts für die jeweilige Software handeln, die nur in einer bestimmten Abteilung genutzt wird (z.B. Personalabteilung).

    Datenschutzfolgeabschätzung

    Bezüglich der Rubrik Datenschutzfolgenabschätzung sollte das MMKH kontaktiert werden, inwiefern das MMKH der Auffassung ist, dass hinsichtlich der jeweiligen Verarbeitungstätigkeit eine Datenschutzfolgenabschätzung erfolgen muss.

    Stand: 27.05.2020