Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung

dokumente 16
Fachbeitrag

Die Datenschutz-Grundverordnung (DSGVO) bringt einige Veränderungen mit sich. Vor allem was die umfangreichen Dokumentationspflichten betrifft, müssen sich die Verantwortlichen – wie z.B. Unternehmen, Freiberufler oder Vereine – künftig auf höhere Anforderungen im Datenschutz einstellen. Einen Kernpunkt wird dabei das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO bilden. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Das altbekannte Verfahrensverzeichnis

Das Verzeichnis von Verarbeitungstätigkeiten nach der Datenschutz-Grundverordnung ist im Grundsatz nichts anderes, als das altbekannte Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e Bundesdatenschutzgesetz (BDSG). Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Das Verzeichnis von Verarbeitungstätigkeiten löst folglich das alte Verfahrensverzeichnis ab, bringt allerdings auch einige Neuerungen mit sich.

Kein Verzeichnis = Bußgeld

Eigentlich ist die Pflicht, unter gewissen Voraussetzungen ein Verzeichnis über alle relevanten Verarbeitungstätigkeiten führen zu müssen, nicht neu. Allerdings war ein Verstoß dagegen bisher nicht direkt bußgeldbewehrt. Mit Einführung der Datenschutz-Grundverordnung müssen die Verantwortlichen nun die Verzeichnisse von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorhalten können, ansonsten droht ein Bußgeld, Art. 83 Abs. 4 a DSGVO. Unabhängig von der abzuwartenden Bußgeldpraxis der Aufsichtsbehörden, bewegt sich der mögliche Rahmen hier bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes, so dass hier in jedem Fall zu entsprechender Vorsorge zu raten sein dürfte.

Nicht mehr öffentlich

Während das alte Verfahrensverzeichnis in weiten Teilen noch auf Antrag jedermann zugänglich zu machen war, besteht diese Pflicht bei den Verzeichnissen von Verarbeitungstätigkeiten nur noch gegenüber den Aufsichtsbehörden. Es wird also nicht mehr zwischen internen und öffentlichen Verzeichnissen unterschieden.

Neue Pflicht für Kleinstunternehmer

Für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeiter gibt es zwar eine gewisse Erleichterung, die allerdings nur selten einschlägig sein dürfte. Demnach sind diese nach Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit, außer

  • die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen (z.B. Scoring),
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 DSGVO (z.B. Gesundheitsdaten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 DSGVO.

In erster Linie die Ausnahme von der Ausnahme „die Verarbeitung erfolgt nicht nur gelegentlich“, unterwirft die meisten Unternehmen wieder der Pflicht ein Verzeichnis führen zu müssen. Ganz abgesehen von auftretenden Schwierigkeiten bei der Auslegung was denn nun nur gelegentlich ist und was nicht, dürfte es bei der Masse von Unternehmen mit weniger als 250 Mitarbeiter Datenverarbeitungsvorgänge geben, die eindeutig regelmäßig erfolgen. Dies bedeutet zusätzlichen bürokratischen Aufwand für Kleinstunternehmer wie etwa Handwerker und kleine Gewerbetreibende, aber auch Arztpraxen und Apotheken. Diese waren nach der bislang geltenden Gesetzeslage regelmäßig nicht verpflichtet Verfahrensverzeichnisse zu führen, mit Einführung der Datenschutz-Grundverordnung wird sich das ändern.

Inhalt und Verpflichtete

Der Inhalt der Verzeichnisse für Verarbeitungstätigkeiten wird in Art. 30 DSGVO festgelegt und ähnelt dem der bisherigen Verfahrensverzeichnisse. Demnach müssen die wesentlichen Angaben zur Datenverarbeitung angegeben werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Neu ist, dass neben den verantwortlichen Stellen nun auch die Stellen, die nur im Auftrag der verantwortlichen Stellen Daten verarbeiten (Auftragsdatenverarbeiter), entsprechende Verzeichnisse führen müssen, Art. 30 Abs. 2 DSGVO.

Tipps zur Umsetzung

Unternehmen die bereits jetzt ein gutes Datenschutzmanagement haben und Verfahrensverzeichnisse führen, wird die Umstellung naturgemäß leichter fallen. Es sollte in diesen Fällen geprüft werden, inwieweit die bisher geführten Verfahrensverzeichnisse die inhaltlichen Anforderungen des Art. 30 DSGVO erfüllen und ggf. entsprechend ergänzt werden müssen.

Im Falle von fehlender Datenschutzdokumentation muss zunächst ermittelt werden, in welchen Fällen personenbezogene Daten von z.B. Kunden, Lieferanten oder Beschäftigten erhoben und verarbeitet werden. Hierzu bietet es sich als erster Anhaltspunkt an, alle innerhalb der Systemlandschaft des Unternehmens eingesetzten Anwendungen und Tools aufzulisten, in denen personenbezogene Daten gespeichert werden. Dies hilft gleichsam bei der Ermittlung der Datenflüsse im Unternehmen und kann auch als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten dienen. Dieses wird in der Praxis zwecks Übersichtlichkeit meist aus mehreren Verzeichnissen für verschiedene Verarbeitungsvorgänge (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) bestehen.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.