DSGVO: Verarbeitungsverzeichnis – wichtige Tipps und Infos

Verfahrensverzeichnis und Verarbeitungsübersicht – beide Bezeichnungen gehörten mit der EU-Datenschutz-Grundverordnung (DSGVO) ab Ende Mai 2018 der Vergangenheit an und heissen nun: Verzeichnis von Verarbeitungstätigkeiten. Kurz: das Verarbeitungsverzeichnis – doch es ändert sich mehr wie nur die Bezeichnung!

Bisherige Rechtslage

Das Bundesdatenschutzgesetz verpflichtet im § 4g Abs. 2 BDSG datenverarbeitende Unternehmen zur Führung einer Übersicht aller zur Bearbeitung personenbezogener Daten eingesetzter Verfahren. Die Übersicht, die aus einem internen und einem externen (öffentlichen) Verzeichnis, welches Jedermann einsehen darf besteht, ist somit dem Datenschutzbeauftragen (DSB) zur Verfügung zu stellen.

Ein Datenschutzbeauftragter hat folglich zudem die Möglichkeit, sich einen Überblick über alle Stellen im Unternehmen, an denen personenbezogene Daten erhoben oder verarbeitet werden, zu verschaffen. Sofern kein Datenschutzbeauftragter bestellt ist, bestand gemäß § 4d BDSG vor der Einführung neuer automatisierter Verfahren mit denen personenbezogene Daten verarbeitet sollen, zudem auch eine entsprechende Meldepflicht gegenüber der zuständigen Aufsichtsbehörde.

 

Neue Rechtslage

Die nach altem Datenschutzrecht als Verfahrensverzeichnis bekannte Übersicht wird in der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) unter dem neuen Begriff “Verzeichnis von Verarbeitungstätigkeiten” bzw. kurz auch als “Verarbeitungsverzeichnis” weitergeführt und zudem erheblich ausgeweitet. Die bisherige Meldepflicht der Verfahren ist zwar entfallen, das Verarbeitungsverzeichnis ist aber den Aufsichtsbehörden auch weiterhin jederzeit, allerdings nur noch auf Anfrage bekannt zugeben. Bei Nichtvorhandensein oder Unvollständigkeit sind dementsprechend hohe Bussgelder die Folge.

 

Was ist neu am Verarbeitungsverzeichnis gemäß Art. 30 DSGVO?

Eine wesentliche Neuerung ist, das jetzt auch Auftragsdatenverarbeiter ein DSGVO Verarbeitungsverzeichnis führen müssen. Unternehmen sind somit gut beraten, wenn sie diesbezüglich ihre Verträge auf DSGV-Konformität überprüfen. Andernfalls drohen auch hier empfindliche Bussgelder.

Ein Verzeichnis von Verarbeitungstätigkeiten bzw. die Verarbeitungsverzeichnisse können wie bisher schriftlich, zudem aber nach neuem Recht auch elektronisch geführt werden. Gemäß Art. 30 Abs. 1 DSGVO muss das Verzeichniss folgende Angaben enthalten:

  • Name und Kontaktdaten der verantwortlichen datenverarbeitenden Stelle
  • Name und Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Zwecke der Verarbeitung
  • Beschreibung der Datenkategorien betroffener Personengruppen
  • Die Beschreibung der Datenkategorien personenbezogener Daten
  • Beschreibung der Datenkategorien von Empfängern
  • Bei Übermittlung personenbezogener Daten in ein Land ausserhalb Deutschlands oder an eine internationale Organisation sind Angaben zum betreffenden Drittland oder zur internationalen Organisation erforderlich und Angaben über angemessene Garantien zum Datenschutz
  • ggf. Fristen für die Löschung der verschiedenen Datenkategorien
  • ggf. Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz

Umfangreiche DSGVO Unterlagen sind auch unter dem Link EU-Datenschutzgrundverordnung 2018 zu finden. In den DSGVO Unterlagen sind auch hilfreiche Hinweise zum Verzeichnis von Verarbeitungstätigkeiten (siehe Dok. vom 12.02.2018) enthalten.

 

TIPP: Offizielles Kurzpapier der DSK

Das Kurzpapier der  DSK ( Datenschutzkonferenz) der unabhängigen Datenschutzbehörden des Bundes und der Länder  ist eine  Orientierungshilfe (insbesondere für den nicht-öffentlichen Bereich), wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DSGVO) im praktischen Vollzug angewendet werden sollte.

Vorbehaltlich einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/07/DSK_KPNr_1_Verzeichnis_Verarbeitungst%C3%A4tigkeiten.pdf

 

Beratung über Max2-Consulting GmbH:

Max2-Consulting GmbH bietet Datenschutzlösungen für alle Unternehmen. Der Gründer und Geschäftsführer ist TÜV-geprüfter Datenschutzauditor, Datenschutzbeauftragter (IHK) und außerdem als Datenschutzberater tätig.

Haben Sie Fragen, wir helfen gerne: https://datenschutzbeauftragter-dsgvo.com/