Mit Inkrafttreten der Datenschutzgrundverordnung ergeben sich neue Pflichten und Anforderungen für Stellen, die personenbezogene Daten verarbeiten. Eine dieser Anforderungen ist das Führen eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO). Diese Regelung tritt an die Stelle der zuvor geltenden Regelungen zum Verfahrensverzeichnis auf Bundes- und Landesebene. Die damit verbundenen erhöhten Dokumentationspflichten sollen die Datenverarbeiter stärker hinsichtlich des Datenschutzes sensibilisieren.
Wen betrifft das Verzeichnis der Verarbeitungstätigkeiten?
Nach Art. 30 DSGVO muss ein Verzeichnis der Verarbeitungstätigkeiten vom Verantwortlichen geführt werden. Darüber hinaus besteht nunmehr auch eine Pflicht für Auftragsdatenverarbeiter. Wer als Unternehmer bereits ein Verfahrensverzeichnis führt beziehungsweise geführt hat, kann die bisherigen Aufzeichnungen in ein Verzeichnis der Verarbeitungstätigkeiten überführen. Darüber hinaus müssen die dort dokumentierten Prozesse auf ihre Vereinbarkeit mit der Datenschutzgrundverordnung hin geprüft werden. Art. 30 Abs. 5 DSGVO enthält eine Ausnahmeregelung für Unternehmen mit weniger als 250 Mitarbeitern. Dabei ist jedoch zu beachten, dass diese Ausnahme schon dann nicht greift, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt. Da die meisten Unternehmen permanent Daten verarbeiten (zum Beispiel per Website oder durch Lohnabrechnungssysteme), wird diese Regelung wohl nur sehr selten zur Anwendung kommen.
Wie ist ein Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO aufzubauen?
Gemäß Artikel 30 Abs. 1 DSGVO sind folgende Angaben aufzuführen:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Art. 30 Abs. 2 DSGVO befasst sich darüber hinaus mit den Pflichten von Auftragsverarbeitern. Grundsätzlich frei ist man dagegen bei der Wahl der Form des Verzeichnisses. Es muss jedoch schriftlich geführt werden. Dies wird wohl überwiegend elektronisch erfolgen. Außerdem ist ein Verzeichnis der Verarbeitungstätigkeiten grundsätzlich in deutscher Sprache zu dokumentieren. Es empfiehlt sich neben dem Verzeichnis an sich eine Dokumentation über die Änderungen von Eintragungen im Verzeichnis zu führen. Damit erfüllt man den Grundsatz der Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO und erleichtert den Aufsichtsbehörden das Nachvollziehen von Veränderungen.
Wieso muss ein Verzeichnis der Verarbeitungstätigkeiten geführt werden?
Wie oben bereits erwähnt, sollen die betroffenen Stellen durch das Führen eines Verarbeitungsverzeichnisses dazu angeregt werden, sich mehr mit dem Thema Datenschutz auseinanderzusetzen. Des weiteren soll den Aufsichtsbehörden so ermöglicht werden, die Verarbeitungsprozesse der Unternehmen und anderen Stellen einfacher überprüfen und nachvollziehen zu können. Im Gegensatz zu den Regelungen des Bundesdatenschutzgesetzes bezüglich des Verfahrensverzeichnisses, sieht die Datenschutzgrundverordnung kein Recht auf Einsicht für jedermann mehr vor.