Der Verantwortliche hat nach Art. 30 Abs. 1 DSGVO ein Verzeichnis aller „Verarbeitungstätigkeiten“ zu führen. Möchte ein Unternehmen mit der Erstellung dieser wichtigen Übersicht beginnen, stellt sich unweigerlich die Frage, bis auf welche Detailtiefe diese „Verarbeitungstätigkeiten“ beschrieben werden müssen. Oder anders: was genau ist eine „Verarbeitungstätigkeit“?
Die Antwort auf diese Frage ist nicht nur für das Verzeichnis nach Art. 30 Abs. 1 DSGVO von Bedeutung. Auch andere Vorschriften verweisen auf Verarbeitungstätigkeiten, so etwa in Art. 28 Abs. 4 DSGVO: „um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen“.
Eine gesetzliche Definition des Begriffs findet sich in Art. 4 DSGVO nicht. Dort wird nur die „Verarbeitung“ definiert, als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Da die Verarbeitung als Begriff definiert wird, die DSGVO jedoch auch die Formulierung „Verarbeitungstätigkeit“ verwendet, wird man davon ausgehen können, dass es sich hierbei nicht um ein Synonym handelt. Ansonsten hätte der Gesetzgeber in Art. 30 Abs. 1 DSGVO auch einfach von „Verarbeitungen“ sprechen können.
LfDI Baden-Württemberg im aktuellen Tätigkeitsbericht
Der Landesbeauftragte aus Baden-Württemberg (LfDI BaWü) hat zu dieser wichtigen Frage in seinem neusten Tätigkeitsbericht (pdf)Stellung genommen (ab S. 11).
Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.
Interessant hierbei ist, dass der LfDI die Verarbeitungstätigkeit durchaus mit einem Geschäftsprozess gleichsetzt und damit wohl von einem weit geringeren Detailierungsgrad, als bei einer Verarbeitung an sich (also etwa einer Erhebung oder einer Löschung von Daten), ausgeht. Denn ein Geschäftsprozess dürfte in der Praxis zumeist nicht nur eine Verarbeitung umfassen.
Relativierend wirkt dann jedoch der zweite Satz, dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Hier scheint der LfDI dann doch einen sehr engen Konnex zwischen einer Verarbeitung und einer Verarbeitungstätigkeit ziehen zu wollen.
Doch der LfDI gibt in seinem Tätigkeitsbericht noch weitere Kriterien für die Festlegung einer Verarbeitungstätigkeit vor.
Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab. In einem kleinen Unternehmen mit wenigen Mitarbeitern kann z. B. die gesamte Personalverwaltung (inkl. Bewerbungsverfahren und Lohnabrechnung) als eine einzige Verarbeitungstätigkeit gesehen werden. Bei einem mittleren Unternehmen sollte eine stärkere Untergliederung stattfinden, z. B. in Personalgewinnung, Personaleinstellung, Verwaltung des aktuellen Personals, Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten.
Der LfDI schlägt also vor, den Umfang einer Verarbeitungstätigkeit von der Größe des Unternehmens und damit wohl auch des Umfangs der innerhalb einer Verarbeitungstätigkeit vorgenommen Verarbeitungen abhängig zu machen. Die DSGVO knüpft den Begriff der Verarbeitungstätigkeit jedoch nicht an die Größe des Unternehmens.
Hinweise der DSK
Ganz ähnlich wie der LfDI verstehen den Begriff „Verarbeitungstätigkeit“ wohl auch die anderen deutschen Aufsichtsbehörden. In den Hinweisen (pdf)der DSK zum Verzeichnis von Verarbeitungstätigkeiten stellt die DSK fest:
Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.
Interessant ist der Unterschied zur Umschreibung durch den LfDI. In den Hinweisen der DSK wird zugestanden, dass der Geschäftsprozess auf einem geeigneten Abstraktionsniveau beschrieben werden kann.
Auch aus diesen Hinweisen geht aber hervor, dass die DSK den Begriff „Verarbeitungstätigkeit“ in enger Verbindung mit dem Zweck der Verarbeitung sieht. So wird in Bezug auf die Informationen zum Zweck der Verarbeitung festgestellt: Je Beschreibung einer Verarbeitungstätigkeit ist der Verarbeitungszweck zu dokumentieren, z. B. Personalaktenführung/Stammdaten, Lohn-, Gehalts- und Bezügeabrechnung, Arbeitszeiterfassung. In diesen Beispielen wird deutlich, dass die DSK davon ausgeht, dass eine Verarbeitungstätigkeit nicht allein eine Verarbeitung, sondern mehrere Verarbeitungen umfassen darf.
Beispiel für ein Verzeichnis des BayLDA
Betrachtet man daneben die vom Bayerischen Landesamt für Datenschutzaufsicht veröffentlichen Beispiele von Verzeichnisses nach Art. 30 Abs. 1 DSGVO, lässt jedoch wieder der Schluss ziehen, dass eine „Verarbeitungstätigkeit“ nicht zwingend mit einer Verarbeitung gleichzusetzen ist. So nennt das BayLDA in seinem Verzeichnis für Vereine (pdf) eine Verarbeitungstätigkeit etwa „Mitgliederverwaltung“. Es dürfte klar sein, dass die Mitgliederverwaltung nicht nur eine einzelne Verarbeitung umfasst, sondern viele verschiedene.
Fazit
Insgesamt wird man festhalten können, dass weder in der DSGVO noch in den Hinweisen der Aufsichtsbehörden absolut klar wird, was eine „Verarbeitungstätigkeit“ darstellt. Mir erscheint, als gemeinsame Schnittmenge der Hinweise und Informationen der Behörden, als auch mit Blick auf die Handhabbarkeit der Vorgaben des Art. 30 DSGVO, eine Interpretation sinnvoll, nach der mit einer „Verarbeitungstätigkeit“ sowohl die „Verarbeitungen“ (Art. 4 Nr. 2 DSGVO) als auch zusätzliche Informationen zu diesen Verarbeitungen, wie Zwecke und Kategorien der Daten umfasst sind. Der Zweck der Durchführung einer Verarbeitungstätigkeit (z.B.: Bewerbermanagement) hängt aber auch unweigerlich mit dem Zweck der einzelnen Verarbeitungen zusammen, wie dies der LfDI BaWü betont.