Close
Verzeichnis von Verarbeitungstätigkeiten – eine wesentliche Säule zum Nachweis datenschutzkonformer Datenverarbeitung

Jana Zeidler
Rechtsanwältin

Datenschutz
|

Verzeichnis von Verarbeitungstätigkeiten – eine wesentliche Säule zum Nachweis datenschutzkonformer Datenverarbeitung

Die Nachweispflichten bei der Verarbeitung personenbezogener Daten werden durch die DS-GVO für Unternehmen erheblich erweitert. Eine wesentliche Grundlage dafür ist das sog. Verzeichnis von Verarbeitungstätigkeiten. Es soll – kurz gesagt – dokumentieren, welche personenbezogenen Daten wie mit Hilfe welcher Verfahren im Unternehmen verarbeitet werden.

Im Vergleich zum bisherigen Verfahrensverzeichnis ist das Verzeichnis von Verarbeitungstätigkeiten, welches sowohl schriftlich als auch elektronisch geführt werden kann, allerdings deutlich umfangreicher. Es muss insbesondere Angaben

  • zum Verantwortlichen,
  • zu den Zwecken der Verarbeitung,
  • zu Kategorien betroffener Personen und personenbezogener Daten,
  • zu Kategorien von Empfängern,
  • zu Auftragsdatenverarbeitung,
  • zu Übermittlungen außerhalb der EU
  • zu Löschfristen und
  • zu den technisch-organisatorischen Maßnahmen (TOMs) zur Absicherung des Datenschutzes.

Dabei kann das Unternehmen auch auf separate Dokumente (Löschkonzept, Allg. Sicherheitskonzept) verweisen.

Mit der Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten ist also ein erheblicher (Zeit-) Aufwand verbunden. Ist also dieser ressourcenbindende Schritt zwingend erforderlich? Bei Verarbeitung besonders sensibler Daten oder wenn die Verarbeitung Risiken für die Rechte und Freiheiten betroffener Personen birgt, ist unabhängig von der Unternehmensgröße ein Verzeichnis zu führen. Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und nur „gelegentlich“ Daten verarbeiten, sind nicht absolut verpflichtet, dies zu führen. Praktisch dürfte die Pflicht zur Erstellung des Verzeichnisses aber für nahezu jedes Unternehmen/ jede Einrichtung gelten, da das Kriterium „gelegentlich“ nur in den seltensten Fällen erfüllt sein dürfte. Schon eine regelmäßige Gehaltsabrechnung erfordert eine nicht nur gelegentliche Verarbeitung personenbezogener Daten.

Das Verzeichnis von Verarbeitungstätigkeiten kann, wenn eine Pflicht zur Führung besteht, von der zuständigen Aufsichtsbehörde jederzeit angefordert werden. Sollte ein solches nicht vorgelegt werden können oder unvollständig sein, ist dies bußgeldbewehrt.

Unabhängig hiervon ist eine freiwillige Erstellung deshalb zu empfehlen, weil auch kleinere Unternehmen gegenüber der Aufsichtsbehörde auf Nachfrage nachweisen können müssen, dass personenbezogene Daten datenschutzgerecht verarbeitet werden. Dieser Nachweis kann mit einem „freiwilligen“ Verzeichnis vereinfacht werden. Zudem kann sich das Unternehmen bereits bei der Erstellung im Sinne einer Bestandsaufnahme vergewissern, ob in den einzelnen Unternehmensbereichen die Einhaltung des Datenschutzes schon hinreichend gewährleistet ist oder ob möglicherweise noch weitergehende Maßnahmen ergriffen werden müssen.

Praxistipp:

Es ist praktisch nicht möglich, als Unternehmensleitung das Verzeichnis der Verarbeitungstätigkeiten selbst zu erstellen, da Details zu den einzelnen Verfahren i.d.R. nicht bekannt sein dürften. Binden Sie daher in den Prozess der Erstellung des Verarbeitungsverzeichnisses (leitende) Mitarbeiter der einzelnen Unternehmensbereiche und die IT ein. Diese verfügen über die notwendigen Kenntnisse, um alle datenschutzrechtlich relevanten Verfahren identifizieren zu können. Mit einem einheitlichen Fragebogen können Sie den Mitarbeitern eine Art Leitfaden an die Hand reichen, damit die gesammelten Ergebnisse schnell und standardisiert in das Verzeichnis der Verarbeitungstätigkeiten übertragen werden können.

2018.04.13-Verzeichnis-von-Verarbeitungstätigkeiten-.pdf (68 Downloads)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Close