Skip to main content

Verarbeitungsverzeichnis

Wie soll eine Hochschule die vielen Vorgänge, in denen sie Daten von und über Menschen verarbeitet, kennen? Wie kann sie drohende Datenlecks rechtzeitig erkennen, um sie zu verhindern? Und wie sollen all die Daten rechtzeitig gelöscht werden? Ganz einfach: mit Hilfe eines Verarbeitungsverzeichnis. Wir zeigen Ihnen, wie Sie all Ihre Vorgänge richtig erfassen und persönlich am Datenschutz Ihrer Hochschule mitwirken.

In einem Verarbeitungsverzeichnis (VVT) werden sämtliche Verarbeitungstätigkeiten der Hochschule aufgeführt, die einen datenschutzrechtlichen Bezug haben. 

Dabei ist das VVT erforderlich, um den Rechenschaftspflichten gegenüber der Aufsichtsbehörde und gegenüber den Betroffenen nachzukommen. Für den Fall, dass die Aufsichtsbehörde ein Datenschutzaudit bei der Hochschule durchführt, wird sich die Aufsichtsbehörde zunächst das VVT ansehen, um einen ersten Überblick zu bekommen, in welchen Bereichen eine Verarbeitung von personenbezogenen Daten erfolgt und ob diese Datenverarbeitung auf den ersten Blick wahrscheinlich DSGVO-konform ist.

Grundsätzlich sollte berücksichtigt werden, dass Verarbeitungstätigkeiten, die anonyme Daten betreffen, nicht im VVT mit aufgeführt werden müssen. Sobald anonyme Daten vorliegen, ist die DSGVO nicht mehr anwendbar.

Ein VVT muss weiter aktuell sein. Sollten also zukünftig bezogen auf die einzelnen Verarbeitungstätigkeiten Änderungen erfolgen, muss das VVT aktualisiert werden (z.B. Benutzung einer neuen Software).

Auch wenn die Hochschule Auftragsverarbeiter ist, muss ein Verarbeitungsverzeichnis erstellt werden.

Bei einem VVT gibt es erfahrungsgemäß einzelne Punkte, die beim Ausfüllen eher Probleme bereiten als andere.

Verantwortlicher

Der Verantwortliche ist die Stelle, welche über die Datenverarbeitung entscheidet. Entscheidend ist, dass der Verantwortliche im VVT nicht der fachlich verantwortliche Mitarbeiter der Hochschule ist, der z.B. die Verarbeitungstätigkeit ausführt oder in dessen Abteilung Mitarbeitende Verarbeitungstätigkeiten dieser Art ausführen lässt. Der Verantwortliche ist der Präsident der jeweiligen Hochschule. 

Vertreter

Die Rubrik Vertreter ist grundsätzlich nicht auszufüllen, denn es handelt sich hierbei nicht um den Vertreter des Verantwortlichen (=des Präsidenten der jeweiligen Hochschule), sondern die Rubrik Vertreter ist nur anwendbar, wenn es sich um ein Unternehmen handelt, das seine Hauptniederlassung außerhalt der EU hat. Ein solches Unternehmen ist verpflichtet, über einen Vertreter in der EU zu verfügen, damit dieser Ansprechpartner für die Aufsichtsbehörden ist und damit über diesen Vertreter die DSGVO überhaupt anwendbar ist.

Gemeinsame Verantwortliche

Die Rubrik Gemeinsame Verantwortliche ist nur auszufüllen, wenn die Hochschule die personenbezogenen Daten extern an eine weitere Stelle wie z.B. eine Hochschule oder ein Unternehmen weiterleitet und diese Stelle bzgl. der Datenverarbeitung einen eigenen Entscheidungsspielraum hat.

Verarbeitungstätigkeit

Im Rahmen der Beschreibung der Verarbeitungstätigkeit sollte höchstens in einem kurzen Einleitungssatz angegeben werden, um was für eine Verarbeitungstätigkeit es sich handelt. Dabei gibt es keine strikten Vorgaben, wie die Verarbeitungstätigkeit beschrieben werden muss. Aufgrund der fachlichen Kenntnisse der Hochschulmitarbeiter haben diese einen Gestaltungsspielraum dahingehend, wie sie die Verarbeitungstätigkeit erklären. Entscheidend ist jedoch, dass die Verarbeitungstätigkeit einen datenschutzrechtlichen Bezug hat.

Bei der Durchführung von bestimmten Verarbeitungstätigkeiten mit verschiedenen Medien (z.B. per Website, Social Media, per E-Mail, in Papierform) gibt es die Möglichkeit, entweder die Benutzung der einzelnen Medien der jeweiligen Verarbeitungstätigkeit hinzuzufügen oder die Benutzung der einzelnen Medien als eigene Verarbeitungstätigkeit darzustellen. Dabei besteht für den Ersteller eines VVTs ein eigenes Ermessen, wie er dabei vorgeht und welche Möglichkeit er wählt. Als Leitlinie sollte er jedoch berücksichtigen, dass die Beschreibung der Verarbeitungstätigkeit nach dem Kriterium zu erfolgen hat, ob der Schwerpunkt eher bei der „Verarbeitungstätigkeit“ oder bei der Nutzung der „einzelnen Medien“ liegt. Dies bedeutet z.B., dass bei der Nutzung einer Website der Schwerpunkt eher auf der Nutzung des Internets liegt. Bei der Verarbeitungstätigkeit „Anmeldung“ liegt der Schwerpunkt eher auf der Verarbeitungstätigkeit „Anmeldung“ als auf „E-Mail“, wenn die Anmeldung per E-Mail erfolgt.

Zweck

Der Zweck der Datenverarbeitung sollte ein übergreifender Oberbegriff sein. Die Verarbeitungstätigkeiten dagegen sollten detaillierter sein als der Zweck und stellen einfach nur eine datenschutzrechtliche Darstellung der Tätigkeit dar. Zwecke können z.B. sein: Bewerbungsmanagement, Studierendenverwaltung, Studienberatung. Es können mehrere Verarbeitungstätigkeiten demselben Zweck dienen.

Rechtsgrundlage

Die Angabe der Rechtsgrundlage ist zwar im VVT laut DSGVO nicht zwingend erforderlich, jedoch handelt es sich bei dem Erfordernis der Rechtsgrundlage als Bestandteil des Grundsatzes der Rechtmäßigkeit um einen der wesentlichsten Grundsätze der DSGVO. Dies bedeutet, eine Datenverarbeitung ist grundsätzlich verboten, außer es besteht eine Erlaubnisnorm. Deshalb ist es für die Aufsichtsbehörde entscheidend, auch wenn die DSGVO es nicht explizit vorschreibt, im VVT zu erkennen, ob die Datenverarbeitung der Hochschule rechtmäßig ist.

Bei der Rechtsgrundlage gibt es zwei Kategorien, die in erster Linie in Betracht kommen.

  • Grundsätzlich sollte als Rechtsgrundlage ein Gesetz, eine Rechtsverordnung oder eine Hochschulsatzung gewählt werden, wenn eine solche einschlägig ist. Denn im Gegensatz zu Unternehmen können sich nur öffentliche Stellen auch auf Gesetze und weitere Rechtsnormen als Rechtsgrundlage beziehen. Dies hat den Vorteil, dass hierbei keinerlei „Zustimmung“ von Seiten einer betroffenen Person erforderlich ist.

Häufige Rechtsgrundlagen im Hochschulbereich sind:

  • Art. 6 Abs. 1 S. 1 e), Abs. 3 DSGVO iVm § 111 HmbHG (für die Verarbeitung von    

Studierendendaten).

  • Art. 6 Abs. 1 S. 1 e) Abs. 3 DSGVO iVm § 10 HmbDSG (für die Verarbeitung von    Mitarbeiterdaten).
  • Nachrangig kommt die Rechtsgrundlage der Einwilligung in Betracht. Sie sollte nur gewählt werden, wenn keine Rechtsnorm als Rechtsgrundlage vorliegt. Die Einwilligung hat alleine aufgrund der Verpflichtung, ihr Vorhandensein revisionssicher nachzuweisen, den Nachteil, dass sie wegen der zahlreichen einzelnen abzugebenden Einwilligungserklärungen unpraktikabel ist. Die Rechtsgrundlage der Einwilligung ist z.B. beim Versand eines Newsletters einschlägig.

 

Personenbezogene Daten

Es ist auch verpflichtend, dass die in der jeweiligen Verarbeitungstätigkeit verarbeiteten personenbezogenen Daten aufgeführt werden. Dabei handelt es sich sehr häufig um den Namen, die E-Mail-Adresse und die Anschrift. Auch Lebensläufe, Empfehlungsschreiben oder Fotos stellen jedoch personenbezogene Daten dar. Gerade aber in den einzelnen Abteilungen der Hochschulverwaltung können die personenbezogenen Daten recht speziell sein. Ein Anhaltspunkt kann auch immer die jeweilige Hochschulsatzung oder Dienstanweisung sein, wenn diese dort auch die verarbeiteten personenbezogenen Daten angibt. Dies kann z.B. bei der Hochschulsatzung zur Datenverarbeitung im Anhang geregelt sein. Auch in den Immatrikulationsordnungen werden die entsprechenden personenbezogenen Daten genannt.

Es ist auch von Vorteil für den kundigen Leser, wenn er erkennen kann, ob sensible Daten – also z.B. Gesundheitsdaten oder Sozialversicherungsdaten – verarbeitet werden und wenn ja, welche sensiblen Daten. Deshalb sollten auch die verarbeiteten sensiblen Daten im Verarbeitungsverzeichnis angegeben werden.

Kategorie der Betroffenen

Es müssen weiter die Kategorien der Betroffenen, also der Personen, deren personenbezogenen Daten verarbeitet werden, genannt werden. Im Hochschulbereich sind dies häufig Studierende und Mitarbeitende der Hochschulverwaltung. Weiter sind die Betroffenen zumeist Lehrende, wobei diese interne und externe Lehrende sein können. Weitere Betroffene können auch allgemein „Externe“ sein, wie z.B. Ansprechpartner bei Dienstleistern, Interessenten von Newslettern, der Website oder von Veranstaltungen.

Empfänger

Bei der Rubrik Empfänger müssen alle externen Stellen wie z.B. weitere Hochschulen bzw. Unternehmen angegeben werden, an welche personenbezogene Daten weitergeleitet werden. Dabei ist nicht entscheidend, ob diese Stellen die personenbezogenen Daten als Auftragsverarbeiter oder Verantwortliche verarbeiten. Weiter müssen auch die internen Abteilungen der Hochschule genannt werden, an welche die personenbezogenen Daten weitergegeben werden.

Drittländer

Werden personenbezogene Daten in Drittländer weitergeleitet, muss dies grundsätzlich angegeben werden. Dabei muss auch nicht nur die Tatsache genannt werden, dass personenbezogene Daten an Drittländer weitergegeben werden, sondern es muss auch genau das betreffende Drittland angegeben werden, in welches die personenbezogenen Daten weitergeleitet werden.

Löschung

Bei der Rubrik zur Löschung sollten, falls die personenbezogenen Daten nicht sofort, nach dem der Zweck erfüllt ist, gelöscht werden, die jeweiligen Aufbewahrungspflichten genannt werden. Tendenziell kommen drei Kategorien von Aufbewahrungspflichten in Betracht.

  • Bundesgesetzliche, in erster Linie Aufbewahrungspflichten aus § 257 HGB (aufgrund buchhalterischer Verpflichtungen) und Aufbewahrungspflichten aus § 147 AO (aufgrund von Verpflichtungen gegenüber dem Finanzamt)
  • Landesgesetzliche, z.B. § 3 HmbArchG (Anbieten von Unterlagen an das Staatsarchiv), § 78 Abs. 5 HmbPersVG (Vernichtung von Unterlagen erst nach Abschluss des Mitbestimmungsverfahrens)
  • Hochschulsatzungen, z.B. die Datenschutzsatzung der jeweiligen Hochschule oder die Aktenordnung der jeweiligen Hochschule.

Technische und Organisatorische Maßnahmen (TOMs)

Bei den TOMs geht es um Datensicherheit. Hier sollten grundsätzlich die für die gesamte Hochschule geltenden allgemeinen TOMs als Referenzdokument beigefügt werden. Sollten für den Bereich der Verarbeitungstätigkeit zusätzliche speziellere TOMs bestehen, sollten auch diese dort hinzugefügt oder angegeben werden. Dabei kann es sich z.B. um Zugriffsrechte im Rahmen eines Berechtigungskonzepts für die jeweilige Software handeln, die nur in einer bestimmten Abteilung genutzt wird (z.B. Personalabteilung).

Datenschutzfolgeabschätzung

Bezüglich der Rubrik Datenschutzfolgenabschätzung sollte das MMKH kontaktiert werden, inwiefern das MMKH der Auffassung ist, dass hinsichtlich der jeweiligen Verarbeitungstätigkeit eine Datenschutzfolgenabschätzung erfolgen muss.

Stand: 27.05.2020