Ein Verzeichnis von Verarbeitungstätigkeiten, auch Verarbeitungsverzeichnis oder kurz VVT genannt, muss gemäß Art. 30 Abs. 1 DSGVO jeder Verantwortliche führen. Darin müssen alle Verarbeitungstätigkeiten aufgeführt werden, also alle Prozesse, bei denen personenbezogene Daten verarbeitet werden.
Wer muss das Verzeichnis führen?
Die DSGVO schreibt die Aufgabe, das Verzeichnis zu führen, dem Verantwortlichen zu. Seit der Einführung von § 79a BetrVG ist klar, dass der Betriebsrat Teil des Verantwortlichen, also des Arbeitgebers ist. Die Pflicht zum Führen des Verarbeitungsverzeichnisses trifft also erst einmal nur den Arbeitgeber. Die Einführung von § 79a BetrVG bedeutet aber, dass im Verzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats dokumentiert werden müssen. Allerdings kann der Arbeitgeber dies alleine nicht leisten, da er keinen Einblick in die Verarbeitungstätigkeit des Betriebsrats hat. Der Arbeitgeber ist also in jedem Fall auf die Hilfe des Betriebsrats angewiesen, der wiederum durch § 79a BetrVG verpflichtet ist, dem Arbeitgeber insoweit auch zu helfen. Im Wesentlichen gibt es also zwei Möglichkeiten:
- Der Arbeitgeber führt das Verarbeitungsverzeichnis. Der Betriebsrat stellt alle dafür notwendigen Informationen zur Verfügung.
- Der Betriebsrat führt das Verarbeitungsverzeichnis für seinen Bereich selbst. Da das Verzeichnis aber letztendlich dem Arbeitgeber zuzuschreiben ist, empfiehlt es sich, dem Arbeitgeber dann zumindest ein Einsichtsrecht zu gewähren.
Unsere ganz klare Empfehlung lautet, dass das Verzeichnis gemäß Variante 2 direkt durch den Betriebsrat erstellt wird. Die Nutzung von datenschutzBR ist ebenfalls mit Variante 2 am besten möglich. Das Verzeichnis enthält auch keine ganz spezifischen Angaben, die dem Arbeitgeber Aufschluss über Vorgänge im Betriebsrat geben könnten, die ihn nichts angehen. Die Einsichtsmöglichkeit des Arbeitgebers stellt also keine Gefahr für den Betriebsrat dar. Diese Informationen würde der Arbeitgeber aber auch bei Variante 1 erhalten.
Welchen Inhalt hat das Verzeichnis?
Im Verzeichnis müssen folgende Punkte benannt werden:
- Name und die Kontaktdaten des Verantwortlichen (also des Arbeitgebers)
- Zwecke der Verarbeitung
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Kategorien von Empfängern
- Eine Angabe, ob Daten in ein Drittland (also in Länder außerhalb der EU und des EWR) übermittelt werden
- Löschfristen
- Eine Beschreibung der technischen und organisatorischen Maßnahmen.
All diese Punkte werden in datenschutzBR über den Bereich „Datenschutz“ und dort im speziellen in der Kachel „Verarbeitungstätigkeiten des Betriebsrats“ abgefragt (Name und Kontaktdaten des Arbeitgebers finden sich dort übrigens nicht, sondern werden in der linken Seitenleiste im Menü „Verwaltung“ hinterlegt). Wenn Sie dort alle Fragen zu einer Verarbeitungstätigkeit beantworten, können Sie davon ausgehen, dass die Angaben zu dem jeweiligen Verfahren vollständig sind. Bitte beachten Sie, dass die vorausgefüllten Verfahren nur als Vorlage dienen und unbedingt noch angepasst werden müssen!
Welche Einträge muss das Verfahrensverzeichnis enthalten?
Eine Verarbeitungstätigkeit – oder ein Verfahren – liegt immer dann vor, wenn Sie personenbezogene Daten im Rahmen der Betriebsratstätigkeit verarbeiten. Bei jeder Handlung in Bezug auf personenbezogene Daten sollten Sie also einmal hinterfragen, welcher Verarbeitungstätigkeit dies zuzurechnen ist.
Schon zu Beginn Ihrer Nutzung von datenschutzBR war die Kachel „Verarbeitungstätigkeiten des Betriebsrats“ nicht leer, sondern vorausgefüllt mit den häufigsten Verarbeitungstätigkeiten des Betriebsrats, die sich meist direkt aus dem BetrVG ergeben. Vermutlich werden Sie einerseits nicht alle dieser Verfahren auch tatsächlich durchführen. In Betrieben mit weniger als 200 Beschäftigten ist beispielsweise das Verfahren „Auskunft nach dem Entgelttransparenzgesetz“ überhaupt nicht relevant. Andererseits werden Sie sicherlich weitere Verarbeitungstätigkeiten vornehmen, die in den Vorlagen nicht genannt werden. Das sind z.B. alle Verarbeitungstätigkeiten, die sich direkt aus einer Betriebsvereinbarung ergeben oder die Sie im Rahmen von § 80 Abs. 1 Nr. 1 BetrVG (Kontrolle der Zugunsten der Beschäftigten geltenden Gesetze) durchführen.
Zur Erstellung des Verfahrensverzeichnisses sollten Sie also genau hinterfragen, welche personenbezogenen Daten der Betriebsrat überhaupt verarbeitet und welche Verarbeitungstätigkeiten sich daraus ergeben.
Und wenn das Verzeichnis fertig ist?
Sie haben alle Verarbeitungstätigkeiten dokumentiert und das Verzeichnis kann jetzt in einer (virtuellen) Schublade verrotten? Von wegen! Verarbeitungsverzeichnisse sind fast immer im Wandel, mal kommen neue Verarbeitungstätigkeiten dazu, mal fallen bestehende weg. Die Frage, welchem Verzeichniseintrag eine bestimmte Handlung zuzuordnen ist, sollte immer im Hinterkopf bleiben. Außerdem kann es sinnvoll sein, im Gremium feste Termine zur Überprüfung des Verzeichnisses zu vereinbaren – beispielsweise zwei Mal im Jahr.