Verzeichnis von Verarbeitungstätigkeiten

4. Oktober 2018 admin Allgemein 0

Die Datenschutz-Grundverordnung verpflichtet nach Art. 30 EU-DSGVO dazu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen.

Die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten trifft nicht nur den Verantwortlichen und seine Vertreter, sondern nach Art. 30 Abs. 2 DSGVO auch den Auftragsverarbeiter und dessen Vertreter direkt. Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern sind nach Abs. 5 ausnahmsweise vom Führen eines Verzeichnisses befreit, wenn die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, keine Verarbeitung besonderer Datenkategorien erfolgt oder die Verarbeitung nur gelegentlich erfolgt. In der Praxis wird diese Erleichterung jedoch nur selten einschlägig sein. Ganz abgesehen von auftretenden Schwierigkeiten bei der Auslegung was „nur gelegentlich“ ist, dürften in den meisten Unternehmen – auch bei einer weiten Interpretation des Begriffs – eindeutig regelmäßig Datenverarbeitungsvorgänge anfallen, etwa über die Website, den Webshop, der Lohnabrechnungs- oder CRM-Systeme. Vor allem auf Unternehmen, die bisher kein Verfahrensverzeichnis besaßen, wird daher zusätzlicher bürokratischen Aufwand zukommen. Dabei ist zu beachten, dass die Dokumentationspflicht und somit auch das Verzeichnis der Verarbeitungstätigkeit mit der Datenschutz-Grundverordnung ein Überprüfungsschwerpunkt der Aufsichtsbehörde sein wird.

Führt ein Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten und/oder stellt dieses der Behörde nicht vollständig bereit, droht nach Art. 83 Abs. 4 a EU-DSGVO ein Bußgeld. Der mögliche Rahmen beläuft sich hier auf bis zu 10 Mio. Euro oder 2% des Jahresumsatzes. Diese Summe wird wohlgemerkt in der Praxis von den Aufsichtsbehörden nur in Ausnahmefällen verhängt werden. Denn die Behörden haben nach Erwägungsgrund 13 „bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“

Passende Artikel der DSGVO

Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten

Passende Erwägungsgründe

(13) Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen (82) Verzeichnis der Verarbeitungstätigkeiten

Externe Links

Behörden

  • Datenschutzkonferenz DSK ► Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO (Link)
  • Datenschutzbehörde Niedersachsen ► Verzeichnis von Verarbeitungstätigkeiten (DS-GVO) (Link)
  • Datenschutzbehörde Bayern ► Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO (Link)
  • Datenschutzbehörde Rheinland-Pfalz ► Verzeichnis von Verarbeitungstätigkeiten (Link)
  • Datenschutzbehörde Sachsen-Anhalt ► Muster zum Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DSGVO (Link)
  • Datenschutzbehörde Sachsen-Anhalt ► Muster zum Verzeichnis von Verarbeitungstätigkeiten Auftragsverarbeiter gem. Artikel 30 Abs. 2 DSGVO (Link)
  • Datenschutzbehörde Bayern ► Musterverzeichnis von Verarbeitungstätigkeiten (VereineKfz-WerkstattHandwerksbetriebArztpraxisWEG-VerwaltungOnline-ShopBeherbergungsbetrieb)
  • Datenschutzbehörde Österreich ► Datenschutz-Grundverordnung Leitfaden – Verzeichnis von Verarbeitungstätigkeit, Seite 27 (Link)
  • Data Protection Authority UK ► Documentation (Link)
  • Data Protection Authority Luxembourg ► Data Protection Basics: The obligations of controllers and processors – 2. Record of processing activities, Page 5 (Link)

Fachbeiträge

  • GDD ► Praxishilfe – Verzeichnis von Verarbeitungstätigkeiten (Link)
  • Bitkom ► Das Verarbeitungsverzeichnis (Link)
  • Stephan Hansen-Oest ► Verzeichnis von Verarbeitungstätigkeiten (Link)
  • VdS ► VdS-Richtlinien zur Umsetzung der DSGVO – 10.1 Verarbeitungsverzeichnis, Seite 18 (Link)
  • GMDS ► Verzeichnis von Verarbeitungstätigkeiten: Hinweise zur Erstellung (Link)
  • IHK Saarland ► Verzeichnis von Verarbeitungstätigkeiten (Link)