Wer schreibt der bleibt!  Oder: Totgesagte leben länger

Das Verzeichnis der Verarbeitungstätigkeiten

Die Sprüche sind nicht neu aber sie gelten immer noch. Oder sie gelten schon wieder: Hier geht es um die ungeliebten Verfahrensverzeichnisse, die dem Datenschutzbeauftragten schon im BDSG von der verantwortlichen Stelle zur Verfügung zu stellen waren. Die Realität sah vielfach anders aus. Entweder der DSB hat sie selber erstellt oder erst nach vielen Aufforderungen und Nachfragen erhielt man die eigentlich für das Unternehmen verpflichtenden Dokumentationen, aus denen der Datenschutzbeauftragte die Informationen über die  im Unternehmen vorhandenen Verfahren gewinnen konnte.

Auch wenn es künftig das so genannte „öffentliche Verfahrensverzeichnis“ nicht mehr gibt, bleiben uns Dokumentationspflichten in der Datenschutzgrundverordnung erhalten.  Die im „alten“ BDSG verankerte Meldepflicht entfällt künftig und ist nicht mehr an die Bestellung eines Datenschutzbeauftragten gekoppelt.

Aus der Umsetzung der Öffnungsklausel in Art. 37 DS-GVO ergibt sich die Verpflichtung zur Bestellung eines Datenschutzbeauftragten künftig aus §38 BDSG (neue Fassung) für nichtöffentliche Stellen (Unternehmen, Vereine, Verbände, etc.). Der frühere §4f BDSG wurde demnach weitestgehend beibehalten.

Das Verfahrensverzeichnis wird zum Verzeichnis der Verarbeitungstätigkeiten

Aus dem Verfahrensverzeichnis wird nun das „ Verzeichnis der Verarbeitungstätigkeiten“ nach Art. 30 DS-GVO. Auch künftig ist Aufgabe des Verarbeiters, also des Unternehmens, dem Datenschutzbeauftragten diese Dokumentation zur Verfügung zu stellen. Wirklich neu ist dabei, dass künftig auch Auftragsverarbeiter ein Verzeichnis erstellen müssen hinsichtlich der personenbezogenen Daten, die Sie für Ihre Auftraggeber verarbeiten. Aus dieser Übersicht, die auf Anforderung der Aufsichtsbehörde zur Verfügung zu stellen ist, kann diese ersehen, welche Art von Daten und Datenverarbeitungen ein Dienstleister für welche Auftraggeber durchführt. Natürlich sollte auch der Verarbeiter und der Datenschutzbeauftragte anhand dieser Übersicht frühzeitig Schwachstellen erkennen und angemessene Maßnahmen zum Schutz der personenbezogenen Daten vorschlagen bzw. umsetzen können. Insgesamt dürften die Dokumentationen, besonders wenn für kritische Verfahren auch eine Datenschutz-Folgeabschätzung (DSFA) nach Art. 35 erforderlich ist, einen größeren Aufwand bedeuten.

Grundsätzlich ist jeder Verantwortliche, egal ob Unternehmen, Freiberufler, Verein oder Verband, zur Erstellung und Führung eines derartigen Verzeichnisses verpflichtet. In der Praxis werden die Verzeichnisse regelmäßig entsprechend der eingesetzten Verfahren aus einer Reihe von Einzeldokumentationen bestehen. Das Verzeichnis der Verarbeitungstätigkeiten wird somit die Summe der einzelnen Verfahrensbeschreibungen sein.

Kein Verzeichnis der Verarbeitungstätigkeiten bei KMU

Stellen mit weniger als 250 Mitarbeitern (KMUs) müssen kein Verzeichnis der Verarbeitungstätigkeiten führen, sofern sie keine Verarbeitungen mit personenbezogenen Daten durchführen, die ein besonderes Risiko für Betroffene darstellen. Dazu gehören regelmäßig alle Fälle von Scoring und Überwachungsmaßnahmen z.B. GPS und vermutlich auch Biometrie. Weiterhin dürfen die Verarbeitungen nicht nur gelegentlich (wie zum Beispiel bei den Beschäftigtendaten) erfolgen. Auch dürfen keine besonderen Datenkategorien gemäß Art. 9 Abs. 1 (wie zum Beispiel Religions-, Gesundheitsdaten oder strafrechtliche Verurteilungen / Straftaten) verarbeitet werden. Trifft nur eine der genannten Fallgruppen zu, besteht wiederum die Pflicht zur Führung des Verzeichnisses.

Es empfiehlt sich allerdings, von dieser Ausnahme keinen Gebrauch zu machen, da das Verzeichnis als zentrale Übersicht der Datenverarbeitung hilfreich ist. Die Dokumentation kann auch als Ausgangspunkt für die Datenschutz-Folgenabschätzung und die Nachweispflichten im Sinne der Accountability dienen.

Die Dokumentationen sind grundsätzlich schriftlich zu führen. Eine elektronische Verarbeitung ist zulässig, sofern der Aufsichtsbehörde auf Anforderungen die Ausdrucke zur Verfügung gestellt werden können. Internationale Unternehmen dürften vielfach alle Dokumentation in Englisch verfügbar haben. Auf Anforderung sind die Aufzeichnungen jedoch der Aufsichtsbehörde in Deutsch zur Verfügung zu stellen.

Die Dokumentationen müssen wesentliche Angaben wie Zweck der Verarbeitung, Beschreibung der Kategorien der personenbezogenen Daten sowie die betroffenen Personen und Empfänger beinhalten. Unternehmen, die bereits in der Vergangenheit ihre Verfahrensdokumentationen aktuell und vollständig hatten, werden mit der Umstellung kaum Probleme haben. Lediglich bei Verfahren mit besonderem Risiko ist ggfs. eine Datenschutz-Folgenabschätzung durchzuführen. 

Das Verzeichnis ist Teil der Rechenschaftspflicht, mit der Unternehmen die in der DS-GVO erforderliche Dokumentationsverpflichtung erfüllen. Es ist aber nur ein Teil der normierten Rechenschaftspflichten aus Art. 5 Abs. 2. Verstöße durch ein fehlendes oder nicht vollständig geführtes Verzeichnis oder die Nicht-Vorlage nach Aufforderung durch die zuständige Aufsichtsbehörde können mit Geldbuße sanktioniert werden. Nach Art. 38 Abs. 4 können diese bis zu 10 Millionen € oder 2 % von Umsatz betragen. Diese Rechtsfolge dürfte durchaus ein Grund sein, die Verfahrensdokumentation vollständig und aktuell zu halten.

Erste Muster, wie eine Verfahrensdokumentation nach DS-GVO aussehen kann, finden Sie unter den nachfolgenden Links des BvD e.V. Weitere Muster werden sicher in Kürze verfügbar sein. Auch spezielle Software für den Datenschutzbeauftragten kann bei Erstellung und Dokumentation hilfreich sein.

Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher
Übersicht von Verarbeitungstätigkeiten Auftragsverarbeiter
Technische und organisatorische Maßnahmen

Eine umfangreiche Dokumentation zu dem Thema findet sich auch bei der bitkom unter:
bitcom-Dokumentation

 

Dieser Artikel wird Ihnen in Zusammenarbeit von Raz-Lee Security GmbH und dem Datenschutzbeauftragten Jürgen Hartz präsentiert.

Raz-Lee Security ist führender internationaler Anbieter von Sicherheits-, Auditing-und Compliance (SOX, PCI, HIPAA, etc.) Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Unternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee Klientel vertreten.

Jürgen Hartz ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Alleingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumerelektronik mit über 120 Mitarbeitern.

Seit 2005 berät er Unternehmen in den Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen, ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangen Jahre zugute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten) und in verschieden Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar.

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok