Datenschutzreihe: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO

In den nächsten Wochen beginnen wir mit einer Reihe von Berichten, die sich an den ausgegebenen Kurzpapieren der Datenschutzkonferenz DSK orientieren. Starten werde wir unsere Beiträge mit dem Thema: Verzeichnis von Verarbeitungstätigkeiten (kurz: Verzeichnisse) nach Art. 30 DS-GVO.

BDSG zu DS-GVO

Grundsätzlich ist festzuhalten, dass jeder Verantwortliche (z.B. Unternehmen, Freiberufler und andere) und nun auch jeder Auftragsverarbeiter zur Führung eines solchen Verzeichnisses verpflichtet ist. Das alte Verfahrensverzeichnis aus dem BDSG wird durch ein schriftliches bzw. elektronisches Verzeichnis aller Verarbeitungstätigkeiten ersetzt. Diese Verzeichnisse betreffen automatisierte und auch nicht – automatisierte Verarbeitungen personenbezogener Daten.

Stellen mit weniger als 250 Mitarbeitern

Das Gesetz sieht für Unternehmen mit weniger als 250 Mitarbeitern keine Pflicht zum Führen der Verzeichnisse. Der Gesetzgeber definiert dazu wie immer Ausnahmen.

Ausnahmen liegen vor, wenn der Verantwortliche und nun auch der Auftragsverarbeiter Verarbeitungen personenbezogener Daten durchführt,

  • die ein Risiko für Rechte und Freiheiten der Betroffenen bedingen, so z.B. Überwachungsmaßnahmen oder
  • die besondere Datenkategorien gemäß Art. 9 DS-GVO wie Gesundheitsdaten oder auch strafrechtliche Verurteilungen und Straftaten nach Art. 10 DS-GVO berühren oder
  • die im häufigsten Fall die nicht nur gelegentliche Verarbeitung von beispielsweise Kunden- oder Beschäftigtendaten betrifft.

Trifft eine dieser Fallgruppen für Sie zu, so sind Sie verpflichtet, diese Verarbeitungsverzeichnisse nach Art. 35 DS-GVO zu führen.

Änderungen zum BDSG

Es bestand bis jetzt nach dem BDSG die Pflicht, ein Verzeichnis für jedermann öffentlich bereit zu halten. Jeder hatte die Möglichkeit, dies anzufordern und eine grundlegende Sicht in die Verarbeitungen eines Unternehmens etc. zu bekommen. Das ist nach der DS-GVO nicht mehr erforderlich.

Auch entfällt die Meldepflicht mancher Unternehmen nach § 4d und § 4e BDSG. Nach der DS-GVO sind Unternehmen nicht mehr verpflichtet, diese Meldungen vorzunehmen.

Inhalt eines Verzeichnisses für Verantwortliche nach Art. 30 Abs. 1 DS-GVO

Nach wie vor müssen die Verzeichnisse wesentliche Angaben wie beispielsweise der Zweck der Verarbeitung oder auch die Kategorien der personenbezogenen Daten bzw. der betroffenen Personen bereithalten. Dies ist nun in Art. 30 Abs. 1 DS-GVO geregelt.

Bereits bestehende Verzeichnisse eines Unternehmens erfordern keine allzu großen Umformulierungen.

Inhalt eines Verzeichnisses für Auftragsverarbeiter nach Art. 30 Abs. 2 DS-GVO

Nach Art. 30 Abs. 2 DS-GVO müssen Auftragsverarbeiter nun im Gegensatz zum BDSG ein Verzeichnis der von ihm im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten erstellen.

Beschreibung der TOMs

Art. 30 Abs. 1 lit. g und Art. 30 Abs. 2 lit. d DS-GVO verlangen, dass Aufsichtsbehörden durch die angehängten technisch-organisatorischen Maßnahmen gemäß Art. 32 Absatz 1 DS-GVO eine erste Rechtmäßigkeitsentscheidung durchführen können. Wie detailliert diese auszufüllen sind, gibt die DS-GVO nicht vor.

Rechenschaftspflicht

Nach der DS-GVO müssen aber noch weitere Dokumentationspflichten erfüllt werden:

  • Vorhandensein von Einwilligungen (Art. 7 Abs. 1)
  • die Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24 Abs. 1)
  • Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7)

Rolle der Verzeichnisse ab dem 25. Mai 

Auch mit der Umstellung auf die DS-GVO werden die Verzeichnisse eine große Rolle in der Rechtfertigung der Verarbeitung der personenbezogenen Daten spielen. Durch sie können einerseits die gesetzlichen Vorgaben überhaupt nur eingehalten werden und andererseits können Unternehmen die Anforderungen der Aufsichtsbehörden nur mit Vorhalten der Verzeichnisse bei einer Kontrolle erfüllen.

 

Falls Sie Fragen haben oder Hilfe beim Ausfüllen der Verarbeitungsverzeichnisse brauchen, dann fragen Sie uns. Wir helfen gerne.