Diese Frage werden sich viele stellen, die gerade dabei sind, ihr Unternehmen entsprechend den Anforderungen der ab 25. Mai geltenden Datenschutzgrundverordnung aufzustellen. Artikel 30 DSGVO verpflichtet jeden Verantwortlichen sowie jeden Auftragsverarbeiter, also jeden der über die Verarbeitung von personenbezogenen Daten entscheidet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.

Hilfe bietet nun die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzbeauftragten des Bundes und der Länder. Die DSK hat „Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO“ veröffentlicht, in denen wichtige Tipps zum Inhalt, Aufbau und der gesetzlichen Grundlage gegeben werden.

Warum ein Verzeichnis?

Das Verzeichnis der Verarbeitungstätigkeiten dient dem Nachweis der Einhaltung der Datenschutzgrundverordnung (vgl. Erwägungsgrund 82) und betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Wer darf das Verzeichnis einsehen?

Anders als bisher muss kein öffentliches Verfahrensverzeichnis mehr vorgehalten werden. Es kann daher nicht mehr grundsätzlich jeder Betroffene Einsicht verlangen.  Auch die Aufsichtsbehörden erhalten nur nach Aufforderung Einsicht in das Verzeichnis.

Form

Die einzige direkte Anforderung ist das Schrifterfordernis. In den meisten Fällen wird das Verzeichnis wohl elektronisch geführt werden. Die Aufsichtsbehörde kann sich das Verzeichnis allerdings auf Wunsch auch in Papierform vorlegen lassen. Ähnliches gilt für die Sprache. Zwar ist es regelmäßig in deutscher Sprache zu führen, aber „regelmäßig“ lässt bekanntlich auch Ausnahmen zu. Allerdings muss jeder Verantwortliche und jeder Auftragsverarbeiter unverzüglich in der Lage sein, eine deutsche Version an die Aufsichtsbehörden zu übermitteln. In der Praxis wird somit ein deutsches Verzeichnis die Regel sein.

Vielleicht nicht unbedingt erwartet: Die DSK empfiehlt, jede Änderung zu dokumentieren und diese Dokumentation für ein Jahr zu speichern.

Gibt es Ausnahmen?

Jein! Zwar schränkt Artikel 30 Absatz 5 DSGVO die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten auf Verantwortliche und Auftragsverarbeiter mit mehr als 250 Beschäftigten ein, es sei denn, die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, erfolgt nicht nur gelegentlich oder betrifft besondere Datenkategorien bzw. Daten über strafrechtliche Verurteilungen und Straftaten.

Somit fällt fast jeder Verantwortliche und Auftragsverarbeiter unter diese Pflicht, denn bereits regelmäßige Lohnabrechnungen dürften zu einem „Muss“ zur Führung eines Verzeichnisses über die Verarbeitungstätigkeiten führen.

Einen großen Teil der Hinweise der DSK nimmt die Erläuterung der verpflichtend zu machenden Angaben nach Artikel 30 Absatz 1 Satz 2 lit. a bis g DSGVO ein. Hier werden Beispiele aufgeführt, wie die Angaben zu erfolgen haben. Ein besonderes Augenmerk legt die DSK auf die technischen und organisatorischen Maßnahmen. Deren Beschreibung stelle trotz der Formulierung „wenn möglich“ in der DSGVO den Regelfall dar.

Das Ganze mag bisher theoretisch anmuten. Licht ins Dunkel bringen die von den Aufsichtsbehörden angebotenen Mustervorlagen für Verantwortliche und Auftragsverarbeiter.