Verzeichnis von Verarbeitungstätigkeiten gem. DSGVO

Lesezeit: ca. 4 Minuten

Die DSGVO fordert in Art. 30 DS-GVO, dass der Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führt, die in seinem Zuständigkeitsbereich liegen. Bereits jetzt gab es eine gesetzliche Anforderung, dass ein sog. „Verfahrensverzeichnis“ erstellt wird. Vielfach sind solche Verfahrensverzeichnisse nur im geringen Umfang vorhanden. Da auch die Einhaltung dieser Regelung bußgeldbewehrt ist, empfehlen wir, diese Dokumentationspflicht ernst zu nehmen und umzusetzen. Das Verzeichnis der Verarbeitungstätigkeiten ist in unserer Praxis daneben die Dokumentationsgrundlage zum Nachweis der Überwachungspflichten. Das Verzeichnis der Verarbeitungstätigkeiten muss, anders als bisher, Dritten nicht zugänglich gemacht werden, sondern dient allein der internen datenschutzrechtlichen Dokumentation. Bei einer aufsichtsrechtlichen Überprüfung wird nach unserer Erfahrung ein solches Verzeichnis der Verarbeitungstätigkeiten sofort verlangt.

Struktur der Verzeichnisse der Verarbeitungstätigkeit gem. DSGVO

Der Gesetzgeber legt nicht fest, wie die Struktur der Verzeichnisse aller Verarbeitungstätigkeiten sein soll. Wir empfehlen, nicht eine zu grobe Struktur zu wählen, da aufgrund der Überwachungspflichten mindestens eine jährliche Überprüfung der verschiedenen Verarbeitungsvorgänge erfolgen soll. Wir haben die Erfahrung gemacht, dass die Überwachung von nicht so umfangreichen Verzeichnissen von Verarbeitungstätigkeiten einem Datenschutzbeauftragten leichter fällt.

Praxistipp:

Im Personalbereich empfiehlt es sich nicht, nur ein Verzeichnis der Verarbeitungstätigkeiten für alle Geschäftsprozesse in der Personalabteilung zu erstellen. Der Bereich Lohn- und Gehaltsabrechnung, das Bewerbungsmanagement, die „normale Personalarbeit“ sowie ein betriebliches Eingliederungsmanagement sollten jeweils eigenständig in einem Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.

Der Gesetzgeber schreibt in Art. 30 Abs. 1 fest, welche Einzelheiten in einem Verzeichnis der Verarbeitungstätigkeiten festzuhalten sind. Beispielsweise sind Kategorien der Empfänger zu benennen, an denen die personenbezogenen Daten weitergegeben werden. Die vorgesehenen Fristen für die Löschung der Daten sowie die Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DS-GVO sind in einem solchen Dokument festzuhalten.

In Anbetracht der Rechenschaftspflicht empfehlen wir aber, weitere Aspekte in dem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. In der Anlage (Anlage xx) haben wir ein Muster für ein Verzeichnis der Verarbeitungstätigkeiten beigefügt. Zum einen ist in unserem Muster eine Rubrik für die Überwachungsdokumentation des Datenschutzbeauftragten vorgesehen, zum anderen ist eine ausdrückliche Dokumentation der Prüfung der Grundsätze der Verarbeitung gemäß Art. 5 und der Einhaltung der Rechtmäßigkeit gemäß Art. 6 DS-GVO vorgesehen. Die Überprüfung der Anforderungen nach Art. 25 DS-GVO, eines Datenschutzes durch Technikgestaltung oder durch datenschutzfreundliche Voreinstellung, sollte dokumentiert werden.

Praxistipp:

Wir haben die Erfahrung gemacht, dass die Informationssammlung für die Verzeichnisse der Verarbeitungstätigkeiten Mühe macht und sich einige Zeit hinzieht. Kalkulieren Sie pro Verzeichnis der Verarbeitungstätigkeiten einen Zeitumfang von mindestens 4 – 8 Arbeitsstunden. Wenn Sie beispielsweise insgesamt 10 verschiedene Fachanwendungen im Unternehmen einsetzen, entsteht ein nicht unerheblicher Zeitbedarf, um eine den gesetzlichen Anforderungen genügende Dokumentation zu erstellen.

Aus einem weiteren Grund ist ein gutes Verzeichnis der Verarbeitungstätigkeiten mit entsprechender genauer Dokumentation wichtig. Hier finden sich alle notwendigen Informationen, die für die Umsetzung der Informationspflichten nach Art. 13 und Art. 14 DS-GVO notwendig sind. Insoweit werden die entsprechenden Daten an anderer Stelle zur Umsetzung der datenschutzrechtlichen Pflichten benötigt.

Neue Pflichten für Auftragsverarbeiter gem. DSGVO

Neu ist die Pflicht für Auftragsverarbeiter gemäß Art. 30 Abs. 2 DS-GVO, ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten zu führen. Im Moment ist unklar, ob für jeden Kunden ein einzelnes Dokument erstellt werden muss, oder ob bei vielen gleichlautenden Verarbeitungen ein zentrales Dokument erstellt werden kann, das dann auf eine Kundenliste referenziert. Unabhängig davon ist ein eigenes Verzeichnis der Verarbeitungstätigkeiten zu führen, das u. a. eine genauere Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO enthält. Wir beobachten teilweise die Praxis, dass Verantwortliche von ihren Auftragsverarbeitern genau dieses Dokument nach Art. 30 Abs. 2 DS-GVO abfordern, um sich ihre eigenen Dokumentationspflichten zu erleichtern. Darauf sollten sich Auftragsverarbeiter, beispielsweise IT-Dienstleister und IT-Systemhäuser einstellen.

Ausnahmen oder doch nicht?

In Art. 30 Abs. 5 ist eine Ausnahmeregelung vorgesehen. Diese Ausnahmeregelung ist aber so unglücklich formuliert, dass sie faktisch keine Anwendung findet. Zwar soll bei Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, kein Verzeichnis der Verarbeitungstätigkeiten zu erstellen sein. Allerdings werden dann im Nachgang Gegenausnahmen formuliert. Wenn beispielsweise die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen in sich trägt, ist dann doch ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Auch wird erwartet, dass ein Verarbeitungsverzeichnis von Kleinunternehmen erstellt wird, wenn eine Verarbeitung öfter als nur gelegentlich erfolgt. Faktisch sind durch die Gegenausnahmen damit die meisten Unternehmen wieder mit von der Dokumentationspflicht umfasst. Nach unserer Beobachtung ist die praktische Auswirkung der Ausnahmeregelung in Art. 30 Abs. 5 DS-GVO nicht vorhanden.

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen