Datenschutz-Grundverordnung: Verzeichnis der Verarbeitungstätigkeiten
Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Zum gleichen Zeitpunkt tritt das parallel geltende neue Bundesdatenschutzgesetz (BSDG n. F.) in Kraft, in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. Die Verordnung schreibt auch vor, dass die Verantwortlichen und die Auftragsverarbeiter ein Verzeichnis aller Verarbeitungstätigkeiten führen müssen. Wie dieses genau auszusehen hat, erfahren Sie in diesem Praxiswissen.
Am 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber((GENDERNOTICE)) die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat.
Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit.
Ein wesentlicher Aspekt bei der Umsetzung des neuen Rechts ist die Erstellung eines Verzeichnisses der im Unternehmen durchgeführten Verarbeitungstätigkeiten. Mit diesem Thema beschäftigt sich das vorliegende Merkblatt.
Im Downloadbereich finden Sie ein Blankomuster für die Erstellung eines Verarbeitungsverzeichnisses des Bayerischen Landesamtes für Datenschutzaufsicht sowie drei Beispiele für Verarbeitungsverzeichnisse (für Beschäftigtendaten, Kundendaten und Lieferantendaten). Diese dienen der Orientierung und haben keinen Anspruch auf Vollständigkeit.
Bitte melden Sie sich an, um den vollständigen Artikel zu sehen.
Sie sind noch kein HBE-Mitglied?
Oder Sie sind bereits HBE-Mitglied, haben aber noch keinen Zugang?
Verzeichnis der Verarbeitungstätigkeiten (Art. 30, ErwGr 82)
Die Verantwortlichen und die Auftragsverarbeiter müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen.
Geldbuße bis zu 10 Mio. EUR oder bis 2 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen.
Nach der DS-GVO muss im Vergleich zum BDSG kein öffentliches Verfahrensverzeichnis mehr geführt werden. Dafür wachsen die Anforderungen an den Inhalt des Verzeichnisses.
Der Begriff „Verarbeitungstätigkeit“ wird nicht weiter definiert. Allerdings dürfte darunter nicht jeder Verarbeitungsschritt gemeint sein, sondern zusammengefasst alle Arbeitsschritte, die zur Erfüllung eines bestimmten Zweckes oder mehrerer bestimmter Zwecke erforderlich sind. In der Regel dürften daher bestimmte Geschäftsprozesse als Verarbeitungstätigkeit definiert werden (z. B. Online-Shop, Marketing, Videoüberwachung, Lohn- und Gehaltsabrechnung).
Das Verzeichnis eines Verantwortlichen soll jedenfalls Angaben enthalten über: ((Rechtsgrundlage: Art. 30 (1) ))
- Namen und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- die Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Kategorien von Empfängern, einschließlich Empfänger in Drittländern
- Übermittlung von personenbezogenen Daten an ein Drittland sowie ggf. geeignete Garantien;
- Löschfristen, wenn möglich
- technische und organisatorische Maßnahmen, wenn möglich
Das Verzeichnis eines Auftragsverarbeiters muss jedenfalls Angaben enthalten über: ((Rechtsgrundlage: Art. 30 (2) ))
- Namen und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Namen der Auftragsverarbeiter tätig ist, sowie ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen und eines etwaigen Datenschutzbeauftragten
- Kategorien von Verarbeitungen, die im Auftrag durchgeführt werden
- Übermittlung von personenbezogenen Daten an ein Drittland sowie ggf. geeignete Garantien
- technische und organisatorische Maßnahmen, wenn möglich
Die Einschränkung „wenn möglich“ bei einigen der vorgenannten Angaben bezieht sich nicht auf das „Ob“ der Angabe,
sondern auf das „Wie“, d. h., in welchem Umfang Angaben gemacht werden können.
Das Verzeichnis ist schriftlich zu führen, was jedoch auch elektronisch möglich ist (z. B. mittels spezieller Software oder Datenbankformate). ((Rechtsgrundlage: Art. 30 (3) ))
Es ist der jeweils zuständigen Aufsichtsbehörde auf Anfrage vorzulegen. ((Rechtsgrundlage: Art. 30 (4) ))
Ein Verzeichnis der Verarbeitungstätigkeiten muss nicht geführt werden, wenn
- das Unternehmen weniger als 250 Mitarbeiter hat und
- die Verarbeitung kein Risiko für die Betroffenen birgt und
- die Verarbeitung nur gelegentlich erfolgt und
- keine Verarbeitung besonderer Kategorien von Daten nach Art. 9 (z. B. Gesundheitsdaten, Religionszugehörigkeit) erfolgt.
Die Voraussetzungen müssen kumulativ erfüllt sein. In vielen Fällen die Ausnahme daher auch bei Unternehmen mit weniger als 250 Mitarbeitern nicht greifen, z. B., wenn eine Videoüberwachung erfolgt oder Daten von Beschäftigten über den Gesundheitsstand oder die Religionszugehörigkeit zur Gehaltsabrechnung verarbeitet werden.
Handlungsempfehlungen
- Festlegen eines Mediums, in dem das Verzeichnis bzw. die Verzeichnisse geführt werden
- ggf. Bestimmen sinnvoller Zusatzangaben (z. B. Angaben zu einer etwaigen Datenschutzfolgenabschätzung oder Datenübertragbarkeit)
- Überarbeiten der bestehenden „Verfahrensverzeichnisse“ und Ergänzung noch fehlender Angaben
- ggf. Erstellen eines Templates zur Meldung von neuen oder geänderten Verarbeitungstätigkeiten
- Erstellen von Verzeichnissen für Auftragsverarbeiter (auch konzernintern)
Downloads
Fußnoten
Ihre Ansprechpartner zu diesem Thema
