Verfahrensverzeichnisse einfach und effektiv erstellen

Wichtig: Dieser Beitrag basiert auf dem BDSG und nicht der DSGVO. Für Verarbeitungsverzeichnisse nach der DSGVO ist der Beitrag daher nicht geeignet. Für das nach der DSGVO erforderliche Verarbeitungsverzeichnis finden sich hier Muster: Verzeichnis von Verarbeitungstätigkeiten

Verfahrensverzeichnis – das ist ein so schillernder Begriff, der immer wieder durch die Datenschutz-Sphären streift. Verfahrensverzeichnis – was ist das eigentlich?

Viele, naja…einige Unternehmen wissen zumindest, dass es so etwas als gesetzliche Anforderung gibt. Nur: Wie wird das eigentlich umgesetzt? Wer ist dafür verantwortlich und wessen Aufgabe konkret ist es denn? Was muss in ein Verfahrensverzeichnis und wie sieht so etwas aus? Fragen über Fragen…

Ich habe in all den Jahren, in denen ich Unternehmen berate, nur sehr, sehr wenige kennengelernt, die über ein vollständiges, aktuelles Verfahrensverzeichnis verfügten. Genau genommen – wenn wir ehrlich sind, ist es schon eher eine positive Ausnahme, wenn es überhaupt ein Verfahrensverzeichnis gibt. Und wer etwas Gegenteiliges behauptet, der kann m.E. nicht viel mit mittelständischen Unternehmen zu tun haben. In etlichen Terminen vor Ort, in zahlreichen Schulungen: Immer wieder gibt es auf die gleiche Frage nach dem Verfahrensverzeichnis einen typischen Gesichtsausdruck und eine Geste als Antwort: Die Schultern zücken nach oben, der Kopf neigt sich nach unten. In den Gesichtern der übliche Ausdruck des „Ja, wir wissen, dass wir sowas brauchen. Und ja, wir haben einfach keine Zeit dafür, dass in der Praxis umzusetzen“.

Und mal ehrlich: Warum sollten Unternehmen denn überhaupt ein Verfahrensverzeichnis ernsthaft vorhalten? Kontrollieren tut es niemand und geahndet wird es de facto auch nicht, wenn ein Verfahrensverzeichnis fehlt.

Durch die Beratung von Unternehmen und internen wie externen Datenschutzbeauftragten bekomme ich recht viel mit, wenn Unternehmen Kontakt zu Aufsichtsbehörden haben. Wurde hier jemals kontrolliert, ob ein Verfahrensverzeichnis vorliegt? Nicht einmal. Natürlich mag es diese Fälle geben, aber der Kontrolldruck ist hier derartig niedrig, dass die Motivation für die Erstellung des Verfahrensverzeichnisses in der Praxis recht niedrig ist.

Ich persönlich bin auch nicht davon überzeugt, dass ein Verfahrensverzeichnis faktisch wirklich eine sinnvolle (und zeitgemäße) Vorgabe ist. Wir leben in einer Zeit, die von Informationsverarbeitung bestimmt ist. Natürlich macht es da schon Sinn, wenn auch aus Sicht des Schutzes von personenbezogenen Daten eine Art von Übersicht darüber existiert, womit wie welche Daten verarbeitet werden. Nur: Die Informationsverarbeitung ist heute derart schnelllebig, die Softwareerstellungsprozesse agil, dass es praktisch gar nicht mehr möglich ist, hier ständig auf dem Laufenden zu bleiben.

Und was auch praktisch gegen die Pflicht zum Führen eines Verfahrensverzeichnisses spricht: Es funktioniert praktisch einfach nicht.

Wie im sonstigen Leben auch, funktionieren rechtliche Pflichten, sich auf eine gewisse Weise zu verhalten, meist nur dann, wenn eine oder beide der folgenden Voraussetzungen vorliegen:

  1. Die Einhaltung der rechtlichen Vorgabe ist für mich als Unternehmen mit derartig positiven Aspekten verbunden, dass es im Einklang mit meinen großen Unternehmenszielen in Einklang steht und ich es aus eigener Überzeugung umsetze.
  2. Die Nichteinhaltung der rechtlichen Vorgabe bedeutet für mich große Schmerzen (z.B. durch konkret drohende Bußgelder).

Und wenn wir ehrlich sind, sind bei der derzeitigen Ausgestaltung der rechtlichen Regelung beide Voraussetzungen nicht erfüllt. Und so ist es nicht verwunderlich, dass das Instrument der Verfahrenverzeichnisse in der Praxis einfach nicht funktioniert.

Nun hatte ich – wie viele andere wohl auch – die Hoffnung, dass die Verfahrensverzeichnisse mit der EU-Datenschutz-Grundverordnung (DS-GVO) sterben würden. Aber ich habe schlechte Nachrichten für uns: Die Verfahrensverzeichnisse werden auch mit der DS-GVO bleiben. Denn Kommissions-, EP- und Ratsentwurf der DS-GVO sehen in Artikel 28 eine Verpflichtung zum Führen von Verfahrensverzeichnissen vor. In der Ratsfassung sind die Pflichten zudem sehr ähnlich dem, was in Deutschland in Verfahrensverzeichnissen anzugeben ist. Das Ende des Trilogs steht ja kurz vor der Tür und so werden wir bald wissen, wohin die weitere Reise bei den Verfahrensverzeichnissen auch nach 2018 denn geht.

Und durch die DS-GVO kommt dann vielleicht auch etwas mehr Bewegung in die Umsetzung der Verfahrensverzeichnisse: Sie haben vielleicht mitbekommen, dass die DS-GVO zu höheren Bußgeldandrohungen führt. Und das wird auch bei Verletzungen der Pflicht zur Führen von Verfahrensverzeichnissen der Fall sein. In den derzeitigen Entwürfen (Stand: 07.12.2015) ist eine Geldbuße von bis zu 500.000,00 € oder im Fall eines Unternehmens bis in Höhe von 1 % seines weltweiten Jahresumsatzes vorgesehen. Sie merken schon: Das können große Schmerzen werden. Wenn es denn de facto kontrolliert werden würde. Und genau das muss sich dann noch zeigen: Werden die drohenden Schmerzen denn auch konkret genug sein…

Und wir können jetzt lange darüber lamentieren und jammern, dass ein Verfahrensverzeichnis Blödsinn ist. Es hilft ja nichts. Ich bin ja ein großer Freund des „einfach machen statt zu jammern“. Und wenn Sie hier schon ein bisschen länger lesen, dann wissen Sie sicher, dass das „einfach machen“ bei mir gerne so geschrieben wird: EINFACH machen!

Eine Einführung in das Thema der Erstellung zu Verfahrensverzeichnissen können Sie sehen:

Aber wie machen wir das denn jetzt konkret? Nun ja…dazu habe ich mir etwas einfallen lassen. Ich kann Ihnen die Arbeit ja nicht komplett abnehmen, aber ich biete Ihnen gerne die erste Bergstation. Was zum Teufel ist denn damit nun wieder gemeint? Tja…seien wir ehrlich. Wenn Sie an die Erstellung des Verfahrensverzeichnis denken, dann sehen Sie möglicherweise einen großen dunklen Berg vor sich. Und Sie haben Recht! Es ist ein Berg. Aber Sie wissen auch, wie das ist, wenn man erst einmal den ersten Schritt gemacht hat und auf dem Weg ist. Und beim Erreichen der ersten Bergstation merken Sie: Oh, das geht ja doch einigermaßen. Und abends vor der gemütlichen Hütte der ersten Bergstation genießen Sie ein kühles Getränk und schauen sich den Sonnenuntergang an. Beim Hinaufblicken auf den Berg sehen Sie: Der Berg ist gar nicht so dunkel und auch gar nicht mehr so hoch. Sie schaffen das!

Und so geht es:

Wem obliegt das Führen des Verfahrensverzeichnisses?

Die erste Frage, die sich in einem Unternehmen stellt, dürfte häufig sein, wessen Aufgabe es denn eigentlich ist, das Verfahrensverzeichnis zu führen, also zu erstellen und zu pflegen. In Deutschland wird dies zum überwiegenden Teil so gesehen, dass die Pflicht zum Führen des Verfahrensverzeichnisses originäre Pflicht der verantwortlichen Stelle, also des Unternehmens ist und damit nicht Aufgabe des Datenschutzbeauftragten. Zum Teil wird sogar vertreten, dass die Pflicht nicht auf den Datenschutzbeauftragten delegiert werden könne. Doch de facto bleibt es ja doch immer an ihm hängen, Sie kennen das.

Und es sprechen sogar gewichtige Gründe dafür, dass entgegen der herrschenden Auffassung in Deutschland, sehr wohl der Datenschutzbeauftragte im Unternehmen zur Führung des Verfahrensverzeichnisses verpflichtet ist. Nach der Rechtsprechung des EuGH ist die EU-Datenschutzrichtlinie (95/46/EG) im Sinne einer Vollharmonisierung zu verstehen.1 Und wenn wir uns dann mal die entsprechende Regelung zu Verfahrensverzeichnissen in Artikel 18 der EU-Datenschutzrichtlinie ansehen, erkennen wir, dass nach Artikel. 18 Abs. 2 2. Spiegelstrich, 2. Unterspiegelstrich der EG-Datenschutzrichtlinie der Datenschutzbeauftragte die Aufgabe hat, ein Verzeichnis über die Verarbeitungen (also ein „Verfahrensverzeichnis“) zu führen.

Das BDSG ist m.E. daher richtlinienkonform dahingehend auszulegen, dass der Datenschutzbeauftragte das Verfahrensverzeichnis zu führen hat2, dabei aber gleichwohl vom Unternehmen mit den erforderlichen Informationen zu versorgen ist. Das Unternehmen selbst ist nur dann selbst zum Führen des Verfahrensverzeichnisses verantwortlich, wenn keine Pflicht zur Bestellung eines Datenschutzbeauftragten im Unternehmen besteht.

Wie starte ich? Eine wichtige Grundüberlegung zur Arbeitserleichterung

Sehr häufig erlebe ich in Gesprächen die Frustration der Beteiligten, dass es ja gar nicht möglich sei, überhaupt einen Überblick darüber zu erhalten, wo wie (und womit) welche personenbezogenen Daten im Unternehmen verarbeitet werden. Und ich kann das nur zu gut nachvollziehen. Selbst in kleinen Organisationseinheiten ist das nur schwer nachzuvollziehen. Und wenn wir bedenken, dass wir ggf. nicht nur über Applikationen sprechen, mit denen Daten verarbeitet werden, sondern auch über Dateien, dann geht der Spaß erst richtig los. All die schönen Excel-Dateien im Unternehmen allein…wäre ja ein Heidenspaß, die alle zu dokumentieren.

Aber entspannen Sie sich: Auch hier können wir uns das europäische Datenschutzrecht zunutze machen. Denn in der EU-Datenschutzrichtlinie (95/46/EG) gibt es in Artikel 21 eine Einschränkung der meldepflichtigen Vorgänge von Verarbeitungen. Denn danach sind unter meldepflichtigen Verarbeitungen eine Verarbeitung oder eine Mehrzahl von Verarbeitungen zu verstehen, die „zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen“ dienen. Mit anderen Worten: Sie brauchen nicht jede einzelne Applikation und schon gar nicht jede einzelne Datei in ein Verfahrensverzeichnis aufzunehmen. Sie können das gerne tun, müssen es aber nicht. Und da ein Verfahrensverzeichnis in der Regel auch nicht dazu dient, eine IT-Dokumentation zu ersetzen, sehe ich keinen Grund darin, das Verfahrensverzeichnis noch komplexer zu machen, wenn es auch einfach geht.
Warum also 20 Verfahren, die im Bereich der Personaldatenverarbeitung verwendet werden, zum Verzeichnis nehmen, wenn wir diese Verarbeitungen zu einem Verfahren bündeln dürfen, da diese eine „Mehrzahl von Verarbeitungen“ darstellen, die zu dem Zweck „Personaldatenverarbeitung“ verwendet werden. Ich denke, Sie verstehen, worauf ich hinaus möchte.

Effektives Erstellen eines Verfahrensverzeichnisses

Es gibt verschiedene Wege, um ein Verfahrensverzeichnis zu erstellen. Eine gute Möglichkeit stellt der (virtuelle) Gang durchs Unternehmen dar.

Ich nutze diesen Weg auch bei meiner Internetseite zu Verfahrensverzeichnissen mit Musterbeispielen.

Und so geht es: Stellen Sie sich vor, Sie würden vor dem Unternehmen stehen. Und nun stellen Sie sich vor, welche Verarbeitungen bei einem Gang durch’s Unternehmen denn so vorkommen? Sie gehen zum Eingang des Gebäudes. Befindet sich dort eine Videoüberwachungsanlage? Aha…ein „Verfahren“. Gibt es eine Zeiterfassung am Eingang (z.B. per Transponder oder Magnetstreifenkarte)? Aha…ein Verfahren. Und so geht es weiter. Gehen Sie gedanklich (oder real) durch die Abteilungen und Räume. Finden Sie weitere Verfahren oder Bündel von Verfahren? Sicher!

Und Sie können davon ausgehen, dass in 80% aller Unternehmen zumindest 2/3 aller Verfahren identisch sind. Sie haben also im Wesentlichen alle die gleichen Verfahren, die in das Verfahrensverzeichnis zu übernehmen sind.

Hier ist Ihr erste Bergstation

Warum die Welt noch einmal neu erfinden, wenn doch ein Großteil der Verfahren identisch ist und es hierfür Muster gibt? Genau das war mein Gedanke dabei, als die Idee der Internetseite zu Verfahrensverzeichnisse entstand und umgesetzt wurde.

Sie finden auf meiner Internetseite zu Verfahrensverzeichnissen Vorlagen für die typischerweise in Unternehmen vorkommenden Verfahren. Schauen Sie doch einfach, ob diese auch in Ihrem Unternehmen vorkommen und übernehmen Sie diese als ersten Aufschlag. Denn: Sie können diese Verfahren für Ihr Unternehmen viel besser und schöner umsetzen als ich das je könnte. Und trotzdem ist es doch extrem hilfreich, wenn jemand schon einmal die Vorarbeit für Sie geleistet hat und Sie lediglich „anpassen“ müssen.

Die Logik des Verfahrensverzeichnisses ist dabei folgende:

  1. Stellen Sie sich Ihr Verfahrensverzeichnis wie einen Aktenordner vor.
  2. In Ihrem Aktenordner gibt es ein Vorblatt mit folgenden Angaben:
    • Name oder Firma der verantwortlichen Stelle
    • Anschrift der verantwortlichen Stelle
    • Leiter der Datenverarbeitung
    • Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter
  3. Nach dem Vorblatt fügen Sie Ihre „TOMs“ ein, also ihre technischen und organisatorischen Maßnahmen zur Datensicherheit i.S.d. Anlage zu § 9 Satz 1 BDSG. Die Idee: Für den Großteil der Verfahren in einem Unternehmen gelten dieselben technischen und organisatorischen Maßnahmen. Es macht keinen Sinn, diese immer zu wiederholen. Besser ist, später in den Verfahrensbeschreibungen einfach auf die „Standard-TOMs“ zu verweisen und lediglich die Abweichungen zu den TOMs aufzuführen.
  4. Dann gibt es diverse Anlagen mit den Verfahren in Ihrem Unternehmen mit jeweils folgenden Angaben:
    • Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
    • Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
    • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
    • Regelfristen für die Löschung der Daten
    • Geplante Datenübermittlung in Drittstaaten
    • Allgemeine Beschreibung der nach § 9 BDSG zur Einhaltung der Datensicherheit getroffenen technischen und organisatorischen Maßnahmen
    • Liste der zugriffsberechtigten Personen

In vielen mittelständischen Unternehmen reichen 8-15 Verfahren aus, um eine ausreichend vollständige Beschreibung der Datenverarbeitungsprozesse im Hinblick auf die Verarbeitung personenbezogener Daten zu erreichen.

Lösen Sie sich von dem Gedanken, dass Ihr Verfahrensverzeichnis eine vollständige Dokumentation ist. Datenschutzrecht hat einen starken Zweckbezug. Also orientieren Sie sich jeweils am „Zweck“ einer Datenverarbeitung. Hierbei kann die Organisationsstruktur des Unternehmens hilfreiche Hinweise für eine Struktur geben.

Und stellen Sie sich doch einfach einmal vor, wie schön es ist, wenn Sie ihr Verfahrensverzeichnis fertig haben. Okay…richtig fertig mag es vielleicht nie sein. Aber Sie werden sehen, dass Sie – viel schneller als Sie dachten – ein Ergebnis haben werden, dass sich vorzeigen lässt. Und auch regelmäßig pflegen lässt.

Ach ja…nicht ganz unwesentlich. Sie müssen ja auch noch das sog. Verfahrensverzeichnis für Jedermann

Nun aber ab zur ersten Bergstation:

Wichtig: Der gerade angegebene Link ist veraltet. Für das nach der DSGVO erforderliche Verarbeitungsverzeichnis finden sich hier Muster: Verzeichnis von Verarbeitungstätigkeiten


  1. EuGH, Urteil vom 24. November 2011, Az.: C‐468/10 und C‐469/10 
  2. So auch Raum, in: Eßer/Kramer/von Lewinski: Auernhammer – Bundesdatenschutzgesetz (BDSG), 4. Auflage 2014, § 4g Rdnr. 54