Zur Navigation springen Zum Inhalt springen Zum Footer springen

Verzeichnis von Verarbeitungstätigkeiten i.S. der DSGVO

(1)

Ausgangspunkt

Im Rahmen der einzuführenden Datenschutzgrundverordnung (DSGVO) ergeben sich nicht nur für Unternehmen, vielmehr sogar auch für Freiberufler oder gar Vereine einige Änderungen zu beachten im Hinblick auf die derzeit noch bestehenden Rechte und Pflichten nach dem Bundesdatenschutzgesetz (BDSG). Einen entscheidenden Punkt wird hierbei das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO einnehmen

Aktueller Stand: Verfahrensverzeichnis nach BDSG

Ausgehend von den grundsätzlich in § 4e BDSG normierten Meldepflichten ist nach § 4g BDSG zunächst zu unterscheiden zwischen dem internen Verfahrensverzeichnis und dem externen Verfahrensverzeichnis (auch Jedermannsverzeichnis genannt). Das interne Verfahrensverzeichnis beinhaltet alle Informationen, die auch im öffentlichen Verzeichnis enthalten sind, allerdings ergänzt um die „allgemeine Beschreibung, die es ermöglicht vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind“, womit wiederum Prozessbeschreibungen der sog. technischen und organisatorischen Maßnahmen (kurz TOM) gemeint sind.

Während das externe Verfahrensverzeichnis (ggf. auf Anfrage) tatsächlich jedermann zugänglich gemacht werden muss, dient das interne Verfahrensverzeichnis – abgesehen von einer eventuell bestehenden Meldepflicht gegenüber der Aufsichtsbehörde oder einer entsprechenden Anfrage derselben nach § 38 BDSG – tatsächlich nur internen Zwecken.

Verstöße gegen die Pflicht ein Verfahrensverzeichnis zu führen können zwar mit Zwangsgeldern geahndet werden, mit Bußgeld- oder gar Strafvorschriften nach den §§ 43, 44 BDSG werden diese allerdings nicht verfolgt.

Zukünftig: Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO

Im Vergleich zur bisherigen gesetzlichen Regelung gibt es inhaltlich keine großartigen Neuerungen, da das altbekannte Verfahrensverzeichnis im Wesentlichen dem zukünftig zu führenden Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO entspricht. Zur Unternehmensleitung ist darüber hinaus auch ein eventuell bestellter Datenschutzbeauftragter nebst Kontaktdaten zusätzlich aufzuführen.

Während die bisherige Regelung wie dargestellt eine Verpflichtung zur Herausgabe an Jedermann vorgesehen hat, muss das Verzeichnis nach der DSGVO künftig nur noch der Aufsichtsbehörde zur Verfügung gestellt werden.

Interessant ist auch, dass eine Pflicht zur Führung des Verzeichnisses der Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitern entfallen kann, was allerdings dann nicht gilt, wenn die vorgenommene Verarbeitung personenbezogener Daten ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder solche Daten verarbeitet werden, welche strafrechtliche Verurteilungen oder Straftaten des Betroffenen beinhalten. Ebenfalls entfällt diese Befreiung dann, wenn andere, besondere Datenkategorien gem. Art. 9 DSGVO (bspw. Gesundheitsdaten) verarbeitet werden. Gerade in der Anfangsphase des Inkrafttretens der DSGVO wird dieser Punkt – Verpflichtung zur Führung der Verzeichnisse oder eine Befreiung hiervon – voraussichtlich eine Rechtsunsicherheit ergeben und eventuell zu Auseinandersetzungen mit den Aufsichtsbehörden führen.

Schließlich ist der Vollständigkeit halber auch festzuhalten, dass auch Auftragsverarbeiter die Verzeichnisse der Verarbeitungstätigkeiten führen müssen, unabhängig von der Größe des Unternehmens.

Im Gegensatz zur bisherigen Regelung drohen zukünftig – unabhängig von einer abzuwartenden Bußgeldpraxis durch die Aufsichtsbehörden – bei einem Verstoß gegen die dann geltende Verpflichtung nach Art. 83 IV DSGVO Bußgelder von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes des Unternehmens.

Zusammenfassung

Auch im Rahmen der DSGVO wird es zukünftig die bekannten Dokumentationspflichten in Form von Verzeichnissen der Verfahrenstätigkeiten geben. Unternehmen, welche bereits ein gutes Datenschutzmanagement haben und die Verfahrensverzeichnisse bisher führten, wird die Umstellung sicherlich leichter fallen als solchen Unternehmen, die aufgrund fehlender Datenschutzdokumentationen zunächst den eigenen Status Quo ermitteln müssen um anhand der bestehenden Strukturen und Systemlandschaften und auf diesen aufbauend die Verarbeitungstätigkeiten betreffend personenbezogener Daten Verzeichnisse für die verschiedenen Verarbeitungsvorgänge wie bspw. Zeiterfassung, CRM Systeme, Mitglieder-/ Personalverwaltung, u. a. zunächst zu erstellen haben.

Es ist jedenfalls unerlässlich, sich aufgrund des anstehenden Inkrafttretens der DSGVO mit dem Thema auseinander zu setzen und die erforderlichen Schritte zur Vermeidung von absehbaren Schwierigkeiten im Unternehmen einzuleiten.

Datenschutzbeauftragter

In jedem Fall kann ein von Seiten des Unternehmens eingesetzter Datenschutzbeauftragter zur Klärung der offenen Fragen im Zusammenhang mit dem anstehenden Inkrafttreten der DSGVO im Allgemeinen bzw. im Hinblick auf die Dokumentationspflichten im Besonderen und damit zur rechtssicheren Handhabung im Unternehmen beitragen.

Bitte beachten Sie, dass vorstehende Zusammenfassung einen Überblick über die bestehende Rechtslage darstellt. Eine ausführliche und individuelle Beratung im Zusammenhang mit konkreten Einzelfällen kann hierdurch nicht ersetz werden.


Rechtstipp vom 01.12.2016
aus den Rechtsgebieten Gewerblicher Rechtsschutz, IT-Recht, Zivilrecht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.