Verarbeitungsverzeichnis

Allgemeines

Die am 25.05.2018 endgültig in Kraft getretene Datenschutzgrundverordnung (DSGVO) bringt auch veränderte Dokumentationspflichten mit sich und löst die bislang geltenden Regelungen bezüglich Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung (§ 4g Abs. 2 Satz 1 BDSG alter Fassung bzw. Landesdatenschutzgesetze) ab.

Jeder Verantwortliche und jeder Auftragsverarbeiter (zu diesen Begriffen hier ersten Artikel verlinken) haben nun gemäß Art. 30 DSGVO ein sog. Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu erstellen und zu führen.

Dies dient im Wesentlichen als Grundlage für eine strukturierte Datenschutzdokumentation und soll dem Verantwortlichen dabei helfen, seiner Rechenschaftspflicht hinsichtlich der Einhaltung der datenschutzrechtlichen Standards aus Art. 5 Abs. 2 DSGVO nachkommen zu können.

Das Verarbeitungsverzeichnis muss deshalb auch auf Verlangen der Datenschutzbehörde jederzeit und vollständig vorgelegt werden können. Andernfalls drohen erhebliche Bußgelder (Art. 83 Abs. 4 a DSGVO).

Wer zur Führung eines Verarbeitungsverzeichnisses verpflichtet ist

 

Nach Art. 30 Abs. 5 DSGVO greift die Pflicht zur Führung eines Verarbeitungsverzeichnisses nicht in den dort genannten Ausnahmen. Diese sind jedoch mit Vorsicht zu betrachten.  Es ist davon auszugehen, dass diese Ausnahmen nur selten greifen werden und in den meisten Fällen das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten sein wird.

Zwar besteht zunächst keine Verpflichtung für Verantwortliche und Auftragsverarbeiter, die weniger als 250 Mitarbeiter beschäftigen. Allerdings werden hiervon wiederum Ausnahmen gemacht, die das Unterhalten eines Verarbeitungsverzeichnisses unabhängig von der Mitarbeiterzahl erfordern.

Dies ist erstens bei Unternehmen und andere Stellen der Fall, die besonders sensible Daten gemäß Art. 9 DSGVO - etwa Daten zur Religion, Gesundheitsdaten oder biometrische Daten - oder Daten zu strafrechtlichen Verurteilungen und zu Straftaten im Sinne des Art. 10 DSGVO verarbeiten.

Darüber hinaus sind Datenverarbeitungen von Verantwortlichen erfasst, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen (z.B. Videoüberwachungen, Bonitätsprüfung, Betrugsprävention).

Drittens betrifft die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses Unternehmen und andere Stellen, bei denen die Datenverarbeitung nicht nur gelegentlich erfolgt. Dabei handelt es sich wohl um die wichtigste Ausnahme. Jedoch ist gerade hier nicht eindeutig geklärt, was unter „nicht nur gelegentlich“ genau zu verstehen ist und wen aufgrund dieses Merkmals die Pflicht zum Führen von Verarbeitungsverzeichnissen trifft.

Es ließe sich zwar darauf abstellen, darunter  Häufigkeit und Umfang der Datenverarbeitungen oder auch die Datenverarbeitung als eigentlichen Geschäftszweck zu verstehen, sodass man im Ergebnis die Notwendigkeit eines Verarbeitungsverzeichnisses in vielen Fällen ablehnen würde.

Jedoch spricht mehr dafür, dass unter „nicht nur gelegentlich“ alle sonstigen, regelmäßig auftretenden Verarbeitungen zu verstehen sind, also bereits schlichte Vorgänge wie Lohnabrechnungen oder die Verarbeitung von Kundendaten durch das Auswerten von Webseitenbesuchern. Entsprechend müssten dann nahezu jeder kleine Onlineshop, jeder Verein und jeder Freiberufler ein Verfahrensverzeichnis führen.

Es empfiehlt daher zur Sicherheit bis zu einer abschließenden Klärung dieser Frage ein Verarbeitungsverzeichnis anzulegen und zu führen.

Vorteilhaft ist dies unabhängig davon im Hinblick auf die ohnehin bestehenden weiteren Informations- und Auskunftspflichten, denen Verantwortliche gegenüber dem Betroffenen durch ein Verarbeitungsverzeichnis besser nachkommen können.

Denn das Verarbeitungsverzeichnis nur ein Element, um der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht zu genügen. So müssen etwa auch das Vorhandensein von Einwilligungen (Art. 7 Abs. 1 DSGVO), die ordnungsgemäße Verarbeitung insgesamt (Art. 24 Abs. 1 DSGVO) und das Ergebnis von Datenschutzfolgenabschätzungen (Art. 35 Abs. 7 DSGVO) durch eine entsprechende Dokumentation nachgewiesen werden.

Anforderungen an das Verarbeitungsverzeichnis

Es besteht die Möglichkeit, das Verarbeitungsverzeichnis in schriftlicher oder elektronischer Form zu führen(Art. 30 Abs. 3 DSGVO).

Inhaltlich gehören im Wesentlichen folgende Angaben in das Verarbeitungsverzeichnis, wie sie sich auch in Art. 30 Abs. 1 DSGVO finden:

  • Name und Kontaktdaten des Verantwortlichen
  • die Zwecke der Datenverarbeitung
  • eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten
  • die Empfänger, gegenüber denen die Daten offengelegt worden sind oder noch offengelegt werden
  • die Übermittlungen personenbezogener Daten in ein Drittland
  • die Fristen für die Löschung der verschiedenen Datenkategorien

Zum Erstellen von Verarbeitungsverzeichnissen finden sich verschiedene Leitfäden und Generatoren im Internet. F eine in individuell maßgeschneiderte Lösung sollte man sich jedoch fachkundige Hilfe suchen.