Wenn am 25.05.2018 die Datenschutzgrundverordnung (DSGVO) in Kraft trifft, werden sich für viele Unternehmen bisher geltende Anforderungen und Pflichten ändern. Dies betrifft auch die sogenannte Dokumentationspflicht im Datenschutz.
Gemeint sind damit das Führen eines Verfahrensverzeichnisses (§ 4g Abs. 2 Bundesdatenschutzgesetz) und das etwaige Bedürfnis nach einer Vorabkontrolle (§ 4d Abs. 5 BDSG). In diesem Beitrag wird Ihnen ein Überblick über die derzeitige und die zukünftige Lage bezüglich der Dokumentationspflicht verschafft.
Verfahrensverzeichnis als Dokumentationspflicht und Änderungen durch die DSGVO
Gemäß §4g Abs. 2 Bundesdatenschutzgesetz hat die verantwortliche Stelle dem betrieblichen Datenschutzbeauftragten eine Übersicht über u.a. den Zweck der Datenverarbeitung, Datenarten und Löschfristen zur Verfügung zu stellen. Dieses Verzeichnis ist, mit einigen Ausnahmen, jedermann auf Antrag zur Verfügung zu stellen.
Die Datenschutzgrundverordnung greift die Pflicht zur Führung eines Verfahrensverzeichnisses in Art. 30 DSGVO auf. Inhaltlich ähnelt die neue Dokumentation dem dann ausgedienten Verfahrensverzeichnis. Es müssen weiter die wesentlichen Informationen der Datenverarbeitung zusammengefasst werden, also wiederum u.a. Angaben zu Zweck der Verarbeitung, Löschfristen und Empfänger.
Eine Neuerung besteht darin, dass die Aufzeichnungen künftig nur noch den Aufsichtsbehörden zur Verfügung gestellt werden müssen. Andere Stellen und Privatpersonen haben darauf keinen Anspruch mehr. Des Weiteren findet sich in Art. 30 Abs. 5 DSGVO eine Erleichterung für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Diese Unternehmen sind grundsätzlich von der Pflicht der Führung eines Verzeichnisses befreit. Die Regelung gilt jedoch nur, wenn die durchgeführte Datenverarbeitung nicht ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonders sensibler Daten einschließt.
Verstöße gegen die Pflichten aus Art. 30 DSGVO können zukünftig mit empfindlichen Strafen geahndet werden. Nach Art 83 Abs. 4 DSGVO können Aufsichtsbehörden Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.
Vorabkontrolle als Dokumentationspflicht und Änderungen durch die DSGVO
Gemäß §4d Abs. 5 Bundesdatenschutzgesetz ist bislang eine sogenannte Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG betroffen waren oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Dabei gelten für den betrieblichen Datenschutzbeauftragten keine besonderen Anforderungen an Dokumentation oder Ablauf der Vorabkontrolle.
Ab Ende Mai 2018 ist die Vorabkontrolle in dieser Form Geschichte. Sie wird ersetzt durch die sog. Datenschutz-Folgenabschätzung, welche in Art. 35 DSGVO niedergeschrieben ist. Allerdings ähneln die Fälle, in denen eine Datenschutz-Folgenabschätzung durchgeführt werden muss, grundsätzlich denen der Vorabkontrolle. Im Gegensatz zum Bundesdatenschutzgesetz weist Art. 35 DSGVO jedoch Mindestanforderungen für die Folgenabschätzung auf. Darüber hinaus muss künftig die jeweilige Aufsichtsbehörde für ihren Zuständigkeitsbereich eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.
Bei Verstößen gegen die Regelung des Art. 35 DSGVO gilt, ebenso wie bei dem Verstoß gegen das Führen eines Verfahrensverzeichnisses, Art. 83 Abs. 4 DSGVO. Unternehmen, die sich nicht an die Neuerungen halten, drohen demnach empfindliche Geldstrafen.