RIGHT.de – Externer Datenschutzbeauftragter - Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten

Bislang galt das Verfahrensverzeichnis als bindend für Unternehmen mit mehr als 250 Mitarbeitern, bzw. für Unternehmen die besondere Daten (z.B. Gesundheitsdaten) verarbeiten. Mit der Einführung des DS-GVO ist nunmehr jedoch jedes Risiko für die Rechte und Freiheiten bezüglich der Verarbeitung von personenbezogenen Daten zu betrachten. Und der Umfang der schützenswerten personenbezogenen Daten ist dramatisch erweitert worden. Die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten zählen genauso zu diesen Daten, wie der E-Mail Verkehr mit Interessenten oder das Kontaktformular auf einer Webseite.

Da es anders als in Art. 35 DS-GVO (Datenschutz-Folgenabschätzung) nicht darauf ankommt, dass es sich voraussichtlich um ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen handelt, sondern jedes Risiko für die Rechte und Freiheiten bezüglich der Verarbeitung zu betrachten ist, wird vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten sein.

Anders als im bisherigen BDSG ist eine Möglichkeit für jedermann, in das Verzeichnis von Ver­arbeitungs­tätig­keiten Einsicht zu nehmen, nach der DS-GVO nicht vorgesehen. Ebenso entfallen mit der DSGVO die bisher in § 4d und § 4e BDSG geregelten Meldepflichten von manchen Unternehmen an die Aufsichtsbehörde. Erstellt und vorgehalten werden müssen die Verzeichnisse dennoch, da sie den Aufsichtsbehörden jederzeit auf Anfrage zur Verfügung zu stellen sind (siehe Art. 30 Abs. 4 DS-GVO und ErwGr. 82).

Vorgehen

Zunächst erfolgt eine Begehung Ihres Unternehmens und ein Datenschutz-Audit (Sichtung der Prozesse und ihres Schutzes). Dieses Vorgehen ist zwingend für die Erstellung des Verfahrensverzeichnisses nötig (siehe § 4g BDSG). Anschließend wird das Verzeichnis der Unternehmensleitung zur Freigabe zur Verfügung gestellt. Das Dokument wird dann in einer kleinen Schulung (Belehrung) allen Mitarbeitern zur Kenntnis gebracht.

Im Rahmen des Datenschutz-Audit nutzen wir einschlägige Checklisten, die es abzuarbeiten gilt. Somit sind wir auf Informationen von der Unternehmensleitung oder beauftragten Mitarbeitern angewiesen. Im Rahmen des Audits werden auch Verträge und Vereinbarungen mit Arbeitnehmern, Lieferanten und Kunden hinsichtlich der datenschutzrechtlichen Regeln überprüft.

Rechtliches

Inhalt des Verzeichnisses für Verantwortliche (Art. 30 Abs. 1 DS-GVO)

Das Verzeichnis der Verantwortlichen muss nach Art. 30 Abs. 1 DSGVO wesentliche Angaben zur Verarbeitung beinhalten wie z.B. die Zwecke der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger. Verantwortliche Stellen, die bereits jetzt über ein strukturiertes Verfahrensverzeichnis oder eine strukturierte Datenschutzdokumentation zu den Verfahren verfügen, sollten mit den geforderten Pflichtangaben des neuen Artikels aus der DSGVO keine Probleme haben.

Inhalt des Verzeichnisses für Auftragsverarbeiter (Art. 30 Abs. 2 DS-GVO)

Ein Verzeichnis beim Auftragsverarbeiter zu allen Kategorien der von ihm im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung war vom BDSG bislang nicht vorgeschrieben. Nach Art. 30 Abs. 2 DS-GVO ist ein solches Verzeichnis jedoch künftig zu erstellen. Auch hier sind die Pflichtangaben überschaubar, so dass der Aufwand der Erstellung dieses Verzeichnisses als eher gering einzustufen sein wird.

Beschreibung technischer und organisatorischer Maßnahmen

Art. 30 Abs. 1 lit. g und Art. 30 Abs. 2 lit. d DS-GVO geben vor, dass das Verzeichnis – wenn möglich – eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DS-GVO enthalten soll. Wie detailliert diese Beschreibung sein muss, lässt sich der DS-GVO nicht unmittelbar entnehmen. Jedenfalls sollte die Beschreibung der Maßnahmen nach Art. 32 DS-GVO so konkret erfolgen, dass die Aufsichtsbehörden eine erste Rechtmäßigkeitsüberprüfung vornehmen können.

Rechtsfolgen bei Verstoß

Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde können nach Art. 83 Abs. 4 lit. a DS-GVO mit einer Geldbuße sanktioniert werden.

Das Verzeichnis als Teil der Rechenschaftspflicht

Mit der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten sind keinesfalls alle von der DS-GVO geforderten Dokumentationspflichten erfüllt. Das Verzeichnis ist nur ein Baustein, um der in Art. 5 Abs. 2 normierten Rechenschaftspflicht zu genügen. So müssen beispielsweise auch das Vorhandensein von Einwilligungen (Art. 7 Abs. 1), die Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24 Abs. 1) und das Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7) durch entsprechende Dokumentationen nachgewiesen werden.

Quellen:
Die Unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK)

LiveZilla Live Chat Software