Diese Frage werden sich viele stellen, die gerade dabei sind, ihr Unternehmen entsprechend den Anforderungen der ab 25. Mai geltenden Datenschutzgrundverordnung aufzustellen. Artikel 30 DSGVO verpflichtet jeden Verantwortlichen sowie jeden Auftragsverarbeiter, also jeden der über die Verarbeitung von personenbezogenen Daten entscheidet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.
Hilfe bietet nun die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzbeauftragten des Bundes und der Länder. Die DSK hat „Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO“ veröffentlicht, in denen wichtige Tipps zum Inhalt, Aufbau und der gesetzlichen Grundlage gegeben werden.
Warum ein Verzeichnis?
Das Verzeichnis der Verarbeitungstätigkeiten dient dem Nachweis der Einhaltung der Datenschutzgrundverordnung (vgl. Erwägungsgrund 82) und betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Wer darf das Verzeichnis einsehen?
Anders als bisher muss kein öffentliches Verfahrensverzeichnis mehr vorgehalten werden. Es kann daher nicht mehr grundsätzlich jeder Betroffene Einsicht verlangen. Auch die Aufsichtsbehörden erhalten nur nach Aufforderung Einsicht in das Verzeichnis.
Form
Die einzige direkte Anforderung ist das Schrifterfordernis. In den meisten Fällen wird das Verzeichnis wohl elektronisch geführt werden. Die Aufsichtsbehörde kann sich das Verzeichnis allerdings auf Wunsch auch in Papierform vorlegen lassen. Ähnliches gilt für die Sprache. Zwar ist es regelmäßig in deutscher Sprache zu führen, aber „regelmäßig“ lässt bekanntlich auch Ausnahmen zu. Allerdings muss jeder Verantwortliche und jeder Auftragsverarbeiter unverzüglich in der Lage sein, eine deutsche Version an die Aufsichtsbehörden zu übermitteln. In der Praxis wird somit ein deutsches Verzeichnis die Regel sein.
Vielleicht nicht unbedingt erwartet: Die DSK empfiehlt, jede Änderung zu dokumentieren und diese Dokumentation für ein Jahr zu speichern.
Gibt es Ausnahmen?
Jein! Zwar schränkt Artikel 30 Absatz 5 DSGVO die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten auf Verantwortliche und Auftragsverarbeiter mit mehr als 250 Beschäftigten ein, es sei denn, die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, erfolgt nicht nur gelegentlich oder betrifft besondere Datenkategorien bzw. Daten über strafrechtliche Verurteilungen und Straftaten.
Somit fällt fast jeder Verantwortliche und Auftragsverarbeiter unter diese Pflicht, denn bereits regelmäßige Lohnabrechnungen dürften zu einem „Muss“ zur Führung eines Verzeichnisses über die Verarbeitungstätigkeiten führen.
Einen großen Teil der Hinweise der DSK nimmt die Erläuterung der verpflichtend zu machenden Angaben nach Artikel 30 Absatz 1 Satz 2 lit. a bis g DSGVO ein. Hier werden Beispiele aufgeführt, wie die Angaben zu erfolgen haben. Ein besonderes Augenmerk legt die DSK auf die technischen und organisatorischen Maßnahmen. Deren Beschreibung stelle trotz der Formulierung „wenn möglich“ in der DSGVO den Regelfall dar.
Das Ganze mag bisher theoretisch anmuten. Licht ins Dunkel bringen die von den Aufsichtsbehörden angebotenen Mustervorlagen für Verantwortliche und Auftragsverarbeiter.
26. März 2018 @ 15:17
Guten Tag,
wo können die notwendigen Nachweisformulare eingesehen werden, bzw. gibt es eine Aufstellung dazu irgendwo, um sicher zu gehen, dass alle erforderlichen Angaben erstellt werden, die einer Prüfung dann auch gerecht werden? Unsere Firma hat 5 Mitarbeiter, weder eine website noch onlineshop, wir üben keinerlei Werbung aus, es geht bei uns also nur um die Kunden-Rechnungs-Adressdaten sowie die Lohndaten der Mitarbeiter. Was müssen wir ab Mai alles an Übersichten dazu erstellen?
Danke für Ihre Antwort!
Viele Grüße
19. März 2018 @ 16:20
Hallo,
wenn ich also keine Mitarbeiter festangestellt habe, dann brauche ich das Verzeichnis nicht zu machen oder?
Viele Grüße
Marita Betz
21. März 2018 @ 8:23
Sehr geehrte Frau Betz,
leider ist es nicht so einfach. In Artikel 30 Abs. 5 DSGVO ist geregelt, dass die Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten entfällt, wenn weniger als 250 Mitarbeiter beschäftigt sind oder die Verarbeitung nicht nur gelegentlich erfolgt oder besondere Datenkategorien verarbeitet werden. In den allermeisten Fällen dürfte die Verarbeitung nicht nur gelegentlich erfolgen, so dass die Pflicht ein solches Verzeichnis zu erstellen greift.
Mir freundlichen Grüßen
Die Blogredaktion
9. März 2018 @ 23:48
Müssen Kleinbetriebe in der Augenoptik, die zwar Gesundheitsdaten speichern aber lediglich 3 Mitarbeiter haben ein Verzeichnis erstellen
12. März 2018 @ 9:11
Hallo,
ja, auch Kleinbetriebe müssen ein Verzeichnis der Verarbeitungstätigkeiten erstellen, wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt, besondere Kategorien personenbezogener Daten, zu denen Gesundheitsdaten gehören, verarbeitet werden oder wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Person birgt.
Mit freundlichen Grüßen
Ihre Blogredaktion
27. Februar 2018 @ 10:04
Guten Tag,
ich glaube allerdings, dass der Erwägungsgrund 13 die nötige Argumentationshilfe liefert, um kleine und mittlere Unternehmen von der Verpflichtung ein Verfahrensverzeichnis zu führen zu entbinden. Der Verweis auf unvermeidbare Lohnabrechnungen kann hier sicher nicht reichen um das Unternehmen in die Pflicht zu nehmen.
Ansonsten wäre die Ausnahme wohl nicht existent, oder ?
[…]
Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.
[…]
Freundliche Grüße
27. Februar 2018 @ 14:51
Vielen Dank für Ihren Kommentar. Erwägungsgrund 13 kann eher als Erläuterung für die Existenz von Art. 30 Abs. 5 DSGVO gesehen werden. Zudem kann das Verzeichnis der Verarbeitungstätigkeiten auch als Nachweis der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO herangezogen werden und dient der Umsetzung eines Datenschutzmanagements gemäß Art. 24 Abs. 1 DSGVO. Abschließend ist zu bedenken, dass die Aufsichtsbehörden eine strenge Auslegung der Einschränkungen in Art. 30 Abs. 5 DSGVO angekündigt haben.
Mit freundlichen Grüßen
Ihre Blogredaktion