Erläuterungen und Anleitung zur Erstellung und Pflege des VzV an der FU Berlin

Die vorliegenden Informationen sollen den Ersteller*innen von Verzeichnissen von Verarbeitungstätigkeiten (im Folgenden: VzV) im Sinne von Art. 30 Abs. 1 EU-Datenschutzgrundverordnung (im Folgenden: DSGVO) helfen, die datenschutzrechtlichen Hintergründe sowie den Zweck von Verarbeitungsverzeichnissen zu verstehen, sodass die VzV für die relevanten Verarbeitungstätigkeiten korrekt erstellt und gepflegt werden.

Erläuternde Hintergrundinformationen

Allgemeines

Ziel der datenschutzrechtlichen Vorschriften ist es, den*die Einzelne*n im Umgang mit seinen/ihren personenbezogenen Daten in seinem/ihrem allgemeinen Persönlichkeitsrecht – konkret in seinem/ihrem Recht auf informationelle Selbstbestimmung – vor unzulässigen Beeinträchtigungen zu schützen. Relevante und konkretisierende Vorschriften enthalten die DSGVO, das Bundesdatenschutzgesetz (BDSG), das Berliner Landesdatenschutzgesetz (BlnDSG) und Berliner Hochschulgesetz (BerlHG).

Im Datenschutzrecht gilt der sogenannte Transparenzgrundsatz. Das heißt, dass der*die Verantwortliche gegenüber den Betroffenen und der zuständigen Aufsichtsbehörde nachweisen muss, welche personenbezogenen Daten auf welcher Rechtsgrundlage und zu welchen Zwecken erhoben, verarbeitet und gespeichert werden. Mit der Erstellung und Pflege der VzV kommen die Verantwortlichen dieser Dokumentationspflicht nach. Gleichzeitig dienen die VzV der Überprüfung der Rechtmäßigkeit der Verarbeitungstätigkeiten durch den*die Datenschutzbeauftragte*n und die Aufsichtsbehörden.

Werden entgegen Art. 30 DSGVO keine VzV geführt, drohen dem/der Verantwortlichen erhebliche Sanktionen bis hin zur Untersagung der Nutzung bestimmter Systeme oder Verfahren.

Was sind personenbezogene Daten/Was bedeutet Verarbeitungstätigkeit?

Daten sind personenbezogen, sobald und solange sie sich einer identifizierten oder identifizierbaren natürlichen Person zuordnen lassen. Identifizierbar ist eine Person, wenn durch Zuordnung einer Kennung (etwa einer Nummer) oder anderer besonderer Merkmale die Identität einer Person eindeutig festgestellt werden kann. Beispiel: Auch wenn ein Datensatz statt Vor- und Nachname eines*einer Studierenden nur dessen/deren Matrikelnummer aufweist, kann der Personenbezug durch diese Nummer hergestellt werden. Die Daten dieses Datensatzes sind daher personenbezogen. Weitere Beispiele für personenbezogene Daten sind: Sozialversicherungsnummer, Steueridentifikationsnummer, Bankverbindungsdaten, IP-Adressen.

Unter dem Begriff Verarbeitung oder Verarbeitungstätigkeit sind einzelne oder mehrere Vorgänge im Zusammenhang mit personenbezogenen Daten zu verstehen, die zu einem gemeinsamen Zweck erfolgen und meist vollständig oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, sind. Beispiele dafür sind die Verarbeitung von Personaldaten zu Zwecken der Gehaltsabrechnung. Kennzeichnend ist auch die Wiederholbarkeit des Verarbeitungsprozesses. Es sollten im Verarbeitungsverzeichnis in der Regel keine kleinschrittigen Verarbeitungen aufgenommen werden, vielmehr gehören diese nur dann in das Verarbeitungsverzeichnis, wenn sie unter ein übergeordnetes Verarbeitungsverfahren zusammengefasst werden können.

Für folgende Verarbeitungstätigkeiten sind typischerweise Verzeichnisse zu erstellen:

Verarbeitung von personenbezogenen Daten (insbesondere von Studierenden, Mitarbeiter*nnen, Externen)

• zum Zwecke der Lohn- und Gehaltsabrechnung
• zum Zwecke des Newsletter Versands
• zur Verwaltung von Drittmittelprojekten
• zum Zwecke der Forschung, insbesondere zur Durchführung von Studien
• zum Zwecke der Veranstaltungsorganisation/des Projektmanagements
• zum Zwecke der MitarbeiterInnenverwaltung
• zum Zwecke der Studierendenverwaltung (Gutachten, Prüfungsleistungen, Prüfungsprotokolle etc.)

Für folgende Verfahren müssen üblicherweise keine Verzeichnisse geführt werden:

• Tätigkeiten, bei denen keine personenbezogenen Daten, bzw. anonymisierte Daten, wie Materialdatenbanken oder Entwicklungswerkzeuge verarbeitet werden
• Reine Speicherablagen für z. B. Datenbanken, Prozess-, Projekt- oder Produktunterlagen, in welchen auch BearbeiterInnen und Beteiligte genannt sein können (z. B. Autor*n und letzte*r Bearbeiter*n eines Dokuments, Besprechungsprotokolle, andere Dokumente einschließlich Erstellungs/Änderungsdatum), soweit diese keine weiteren personenbezogenen Daten enthaltenSoftwarebestellung der einzelnen Lehrstühle, Forscher, Studierenden etc.
• Statische Listen, z. B. Adresslisten, Teilnehmer*nnenlisten

Wer ist für die Erstellung und Pflege von VzV verantwortlich?

Die Erstellung der einzelnen VzV obliegt dem*der Verantwortlichen. Mit dem Begriff „Verantwortliche*r“ ist diejenige natürliche Person gemeint, die allein oder gemeinsam mit anderen (sog. „Joint Controllership“) über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Neben der formalen Verantwortlichkeit bietet es sich in der Praxis an, dass der/die MitarbeiterIn, der/die mit der Leitung der Datenverarbeitung betraut ist, das VzV erstellt.

In welchen Fällen ist ein VzV zu erstellen?

VzV sind für alle bestehenden Verarbeitungstätigkeiten sowie im Falle der Implementierung neuer oder bei Änderungen bestehender Verarbeitungstätigkeiten zu erstellen bzw. entsprechend anzupassen. Im Rahmen der Inbetriebnahme neuer Verarbeitungstätigkeiten ist der*die für die Einführung der neuen Tätigkeit zuständige MitarbeiterIn der Universität (Projektleiter*n/Bereichsleiter*n oder, sofern nicht vorhanden, der/die für die Verarbeitungstätigkeit fachlich verantwortliche MitarbeiterIn) verpflichtet, die Eintragung der Verarbeitungstätigkeit im VzV der FU Berlin vorzunehmen.

Meldung an den Datenschutzbeauftragten (DSB)

Der DSB sollte über die neue bzw. angepasste Eintragung in das VzV schnellstmöglich informiert werden. Anschließend prüft der DSB, ob das Verfahren datenschutzrechtlich zulässig ist, insbesondere ob seitens des DSB eine Datenschutzfolgeabschätzung erforderlich ist.