Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung verpflichtet nach Art. 30 EU-DSGVO dazu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen.

Die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten trifft nicht nur den Verantwortlichen und seine Vertreter, sondern nach Art. 30 Abs. 2 DSGVO auch den Auftragsverarbeiter und dessen Vertreter direkt. Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern sind nach Abs. 5 ausnahmsweise vom Führen eines Verzeichnisses befreit, wenn die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, keine Verarbeitung besonderer Datenkategorien erfolgt oder die Verarbeitung nur gelegentlich erfolgt. In der Praxis wird diese Erleichterung jedoch nur selten einschlägig sein. Ganz abgesehen von auftretenden Schwierigkeiten bei der Auslegung was „nur gelegentlich“ ist, dürften in den meisten Unternehmen – auch bei einer weiten Interpretation des Begriffs – eindeutig regelmäßig Datenverarbeitungsvorgänge anfallen, etwa über die Website, den Webshop, der Lohnabrechnungs- oder CRM-Systeme. Vor allem auf Unternehmen, die bisher kein Verfahrensverzeichnis besaßen, wird daher zusätzlicher bürokratischen Aufwand zukommen. Dabei ist zu beachten, dass die Dokumentationspflicht und somit auch das Verzeichnis der Verarbeitungstätigkeit mit der Datenschutz-Grundverordnung ein Überprüfungsschwerpunkt der Aufsichtsbehörde sein wird.

Führt ein Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten und/oder stellt dieses der Behörde nicht vollständig bereit, droht nach Art. 83 Abs. 4 a EU-DSGVO ein Bußgeld. Der mögliche Rahmen beläuft sich hier auf bis zu 10 Mio. Euro oder 2% des Jahresumsatzes. Diese Summe wird wohlgemerkt in der Praxis von den Aufsichtsbehörden nur in Ausnahmefällen verhängt werden. Denn die Behörden haben nach Erwägungsgrund 13 „bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“

Passende Artikel der DSGVO

Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten

Passende Erwägungsgründe

(13) Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen (82) Verzeichnis der Verarbeitungstätigkeiten