Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters

Fachbeitrag

Nach Art. 30 Abs. 2 DSGVO ist neuerdings auch der Auftragsverarbeiter zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Nachfolgend möchten wir kurz darstellen, was inhaltlich in das Verzeichnis aufzunehmen ist und welche Probleme die Anforderungen mit sich bringen können. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Die Namen und Kontaktdaten

Nach Art. 30 Abs. 2 lit. a DSGVO hat das Verzeichnis neben dem Namen und den Kontaktdaten des oder der Auftragsverarbeiter(s) auch die Namen und Kontaktdaten jedes Verantwortlichen zu enthalten, in dessen Auftrag der Auftragsverarbeiter tätig ist. Darüber hinaus wird diskutiert, ob in dem Verzeichnis des Auftragsverarbeiters jeder Verantwortliche einer bestimmten Kategorie von Verarbeitungstätigkeiten zuzuordnen ist.

Diese Anforderungen werden den ein oder anderen Auftragsverarbeiter in der Praxis an den Rande des mit verhältnismäßigen Mitteln Leistbaren bringen. In Branchen, in denen die geschäftsmäßige Auftragsverarbeitung das grundlegende Geschäftsmodell darstellt (Cloud-Computing, Hosting-Anbieter etc.), müssten die Namen und Kontaktdaten tausender Verantwortlicher in das Verzeichnis aufgenommen und schlimmstenfalls mit einzelnen Kategorien von Verarbeitungstätigkeiten verknüpft werden.

Von Experten wird daher bereits gefordert, einen Möglichkeitsvorbehalt in die Vorschrift einzufügen. Als pragmatischere Lösung wird zudem vorgeschlagen, das Verzeichnis von hauptgeschäftlichen Auftragsverarbeitern auf die Angabe von Kategorien von Verantwortlichen zu beschränken und den Aufsichtsbehörden auf Anfrage eine gesonderte Liste der Verantwortlichen zur Verfügung zu stellen. Von offizieller Stelle gibt es bisher leider keinen Hinweis, wie mit dieser Problematik zu verfahren ist.

Im Ergebnis geht die Regelung des Art. 30 Abs. 2 lit. a DSGVO an dem, was in gewissen Bereichen praktisch leistbar ist, vorbei. Es ist auch kaum vorstellbar, dass die Aufsichtsbehörden daran interessiert sind, Verzeichnisse mit tausenden von Verantwortlichen zu sichten – zumal solch umfangreiche Listen in der Regel wenig aussagekräftig sein dürften. Pragmatische Lösungen, wie sie auch schon vorgeschlagen werden, müssen hier möglich sein.

Die Kategorien von Verarbeitungen

Gemäß Art. 30 Abs. 2 lit. b DSGVO sind in das Verzeichnis die Kategorien von Verarbeitungen aufzunehmen. „Kategorien von Verarbeitungen“ bedeutet, dass nicht jeder einzelne Verarbeitungsprozess im Detail aufgeführt werden muss. Ausreichend ist vielmehr, wenn mehrmals erbrachte, sich gleichende Verarbeitungen als Kategorie aufgeführt werden.

Nicht geregelt und bisher nicht geklärt ist, wie grob die Einteilung in Kategorien von Verarbeitungstätigkeiten ausfallen darf. Da die Führung des Verzeichnisses von Verarbeitungstätigkeiten mit verhältnismäßigem Aufwand möglich sein muss, muss eine grobe Kategorienbildung ausreichend sein. Nur so wäre mit verhältnismäßigem Aufwand eine Zuordnung von Verantwortlichen zu einer Kategorie von Verarbeitungen möglich, wenn man sich auf den Standpunkt stellt, dass eine entsprechende Zuordnung erforderlich ist.

Übermittlungen von personenbezogenen Daten an ein Drittland

Nach Art. 30 Abs. 2 lit. c DSGVO sind in das Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation aufzunehmen, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien. Die Anforderung entspricht derjenigen aus Art. 30 I lit. e DSGVO für den Verantwortlichen.

Beschreibung der technischen und organisatorischen Maßnahmen

Gemäß Art. 30 Abs. 2 lit. d DSGVO ist, wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 in das Verzeichnis aufzunehmen. Die Regelung entspricht der aus Art. 30 I lit. g DSGVO und ist dort gleichermaßen für den Verantwortlichen vorgesehen. Hinsichtlich der Einschränkung „wenn möglich“ wurde von Experten schon mahnend darauf hingewiesen, dass erwartet wird, dass entsprechende Informationen vorliegen.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

3 Kommentare zu diesem Beitrag

  1. Es „müssten die Namen und Kontaktdaten tausender Verantwortlicher in das Verzeichnis aufgenommen und schlimmstenfalls mit einzelnen Kategorien von Verarbeitungstätigkeiten verknüpft werden.“

    Mir scheint so, als der Autor dieses Mal sehr wirtschaftsfreundlich eingestellt zu sein. Gerade für Auftragsverarbeiter wie Cloud-Dienstleister sollte es doch ein leichtes sein eine Aufstellung der Kunden (= Verantwortlichen) und der jeweils gebuchten Produkte/Dienste (= Verarbeitungstätigkeiten) zu generieren.

    Da sehe ich die Herausforderungen für „echte“ Verantwortliche (nehmen wir mal als Beispiel Versicherungen) doch sehr viel größer!

  2. Im Anhang zur Kommentierung von Art. 30 finden sich bei Bergmann/Möhrle/Herb, Datenschutzrecht, Boorberg-Verlag jeweils Muster für Verfahrensverzeichnisse für Verantwortliche und Auftragsverarbeiter

    • Dieser Tipp ist „wirtschaftsfreundlich“… erstmal 100€ bezahlen, um mal an eine halbwegs brauchbare Vorlage für ein Verzeichnis zu kommen. ;) Unsere Behörden sind damit scheinbar selbst restlos überfordert.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.