Datenschutz und IT

Die bisherige Pflicht, ein Verfahrensverzeichnis entsprechend der alten Fassung des Bundesdatenschutzgesetzes (BDSG) zu erstellen, entfällt durch die europäische Datenschutz-Grundverordnung (DSGVO) – aber nicht ersatzlos. Unternehmen müssen auch weiterhin nachweisen können, zu welchem Zweck und auf welche Weise, welche personenbezogenen Daten verarbeitet werden. Wir beantworten 5 Fragen zum neuen „Verzeichnis von Verarbeitungstätigkeiten“ für Verantwortliche.

Was ist das Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche?

Im „Verzeichnis von Verarbeitungstätigkeiten“ nach Art. 30 (DSGVO), das das bisherige Verfahrensverzeichnis ersetzt, muss dokumentiert werden, welche personenbezogenen Daten wie (mithilfe welchen Verfahrens) verarbeitet und welche Datenschutzmaßnahmen dabei getroffen wurden. Es dient sowohl zur internen Datenschutzkontrolle als auch zur Kontrolle durch die Aufsichtsbehörde. Hierfür wird ein Formular mit den notwendigen Daten ausgefüllt. 

Holen Sie sich eine kostenlose Mustervorlage!

Durch die DSGVO wird das Verarbeitungsverzeichnis zum zentralen Bestandteil der Datenschutzdokumentation. Es steht künftig nur für interne Zwecke und zur Vorlage bei der zuständigen Aufsichtsbehörde zur Verfügung. Damit entfällt die Trennung nach unterschiedlichen Informationen für den Datenschutzbeauftragten (DSB) und die Aufsichtsbehörde, wie es bisher gemäß BDSG a. F. vorgesehen war. 

Das Verzeichnis von Verarbeitungstätigkeiten wird nicht wie bisher an den Datenschutzbeauftragten übergeben, sondern unmittelbar vom Verantwortlichen i. S. d. DSGVO geführt. Weil das Verzeichnis Dreh- und Angelpunkt des Datenschutzmanagements ist, ist es jedoch weiterhin sinnvoll, wenn es vom DSB gepflegt wird. 

Hinweis: Mit der Erstellung des Verzeichnisses sind nicht alle Dokumentationspflichten erfüllt, die von der DSGVO verlangt werden. Es ist nur ein Baustein, um der in der DSGVO definierten Rechenschaftspflichten zu genügen.

Welche weiteren Rechenschaftspflichten Unternehmen und Organisationen gemäß DSGVO und der Neufassung des BDSG zu erfüllen haben, ist im Buch „Datenschutz 2018“ übersichtlich aufbereitet. Praxisnahe Arbeitshilfen unterstützen zudem bei der direkten Umsetzung. 

Alle Informationen zur DSGVO und zum BDSG-neu kompakt und übersichtlich aufbereitet:

Datenschutz 2018

mehr erfahren

Sichern Sie sich Vorlagen zum direkten Bearbeiten:

Dokumentenmappe: Datenschutz im Unternehmen

mehr erfahren

Die neuen Datenschutzregelungen sowie Arbeitshilfen für den sofortigen Einsatz zu einem Paket geschnürt:

Das Datenschutz-Paket

mehr erfahren

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Von der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten anzufertigen, ist theoretisch nicht jedes Unternehmen betroffen. Denn Art. 30 Abs. 5 DSGVO sieht Ausnahmen vor: Unternehmen mit weniger als 250 Mitarbeitern sind von dieser Verpflichtung befreit – es sei denn, 

  • die vorgenommene Verarbeitung birgt Risiken für die Rechte und Freiheiten der betroffenen Personen, 
  • die Verarbeitung erfolgt nicht nur gelegentlich, 
  • es werden Daten besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten i. S. d. Art. 10 DSGVO verarbeitet (Stichwort: Verarbeitung von sensiblen Daten).

Die Pflicht ergibt sich, sobald einer der Punkte auf das Unternehmen zutrifft. Schon allein wegen der Lohnabrechnung, die regelmäßig erfolgt, wird jedoch kaum ein Unternehmen von der Pflicht befreit sein. 

Hinweis: Selbst wenn Ihr Unternehmen in diese Ausnahmeregelung fällt, ist es sinnvoll, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Denn es ist kaum vorstellbar, ohne das Verzeichnis den Nachweispflichten aus Art. 5 Abs. 2 DSGVO nachzukommen. 

Was muss das Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche enthalten?

Das Verzeichnis muss alle Angaben enthalten, die in Art. 30 Abs. 1 DSGVO aufgeführt sind. Das Verzeichnis enthält demnach folgende Inhalte: 

  • Name und Kontaktdaten des Verantwortlichen, eines ggf. gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen und eines etwaigen Datenschutzbeauftragten 
  • Verarbeitungszwecke 
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten 
  • Kategorien von Empfängern, die Einsicht in die personenbezogenen Daten haben oder haben werden
  • falls gegeben: Informationen zur Übermittlung der Daten an ein Drittland oder an eine internationale Organisation
  • wenn möglich, die vorgesehene Speicherdauer/Löschfrist 
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß den Anforderungen an die Sicherheit der Verarbeitung 

Was sind die formalen Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten? 

Das Verarbeitungsverzeichnis muss laut Art. 30 Abs. 3 DSGVO schriftlich geführt werden. Es kann aber auch elektronisch erfolgen. Wichtig ist, dass  das Verzeichnis in elektronischer und gedruckter Form exportierbar ist, um die Vorlagepflicht gegenüber der Aufsichtsbehörde erfüllen zu können.

Welche Rechtsfolgen drohen bei einem Verstoß? 

Fehlt ein Verzeichnis von Verarbeitungstätigkeiten oder wird es fehlerhaft geführt, drohen Geldbußen von bis zu 10.000.000 Euro oder im Falle eines Unternehmens von bis zu 2 % des gesamten erzielten Jahresumsatzes des Vorjahres – je nachdem, welcher der Beiträge höher ist. Selbiges gilt, wenn das Verzeichnis nach Aufforderung der Aufsichtsbehörde gar nicht vorgelegt wird. (juse)

Quellen: datenschutzmappe.de, GDD

War der Artikel hilfreich?
finde ich gut 18