Zur Navigation springen Zum Inhalt springen Zum Footer springen

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten nach der Datenschutzgrundverordnung führen?

(2)

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung (DSGVO) ist omnipräsent und tritt am 25. Mai 2018 in Kraft. Viele Unternehmer fragen sich, ob sie ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten führen müssen und was es überhaupt damit auf sich hat. Gemäß Art. 30 der Datenschutz-Grundverordnung muss jeder Verantwortlicher ein Verzeichnis aller Verarbeitungstätigkeiten, die in ihre Zuständigkeit fallen, führen. Diese juristische Umschreibung bedeutet letztlich Folgendes:

Es muss dokumentiert werden, wie mit personenbezogenen Daten im Unternehmen verfahren wird.

Freistellung von der Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Art. 30 Abs. 5 der Datenschutz-Grundverordnung sieht vor, dass Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, ein solches Verzeichnis nicht führen müssen. Diese auf den ersten Blick dankbare Ausnahme für kleinere Unternehmen wird letztlich praktisch kaum greifen. Sie hat nämlich eine weitere Voraussetzung und zwar, dass die Verarbeitung nur „gelegentlich“ erfolgt und außerdem keine besonderen Daten wie Gesundheits- oder Religionsdaten verarbeitet werden. Allein der Umstand, dass ein Arbeitnehmer stets auch seine Religionszugehörigkeit oder seine Gesundheitsdaten dem Arbeitgeber im Hinblick auf Kirchensteuer und eine ordnungsgemäße Lohnabrechnung übergeben wird, wird diese Freistellung praktisch kaum möglich sein.

Muss das Verzeichnis veröffentlicht werden?

Das Verzeichnis ist nicht öffentlich. Es muss also auf keinen Fall Dritten zur Verfügung gestellt werden. Es soll lediglich den Aufsichtsbehörden ermöglichen, den Datenschutz überprüfen zu können. Daran wird erkennbar, dass vermeintliche Fehler in diesem Verzeichnis die Verhängung von Bußgeldern durch die Behörde erleichtern wird. Damit ist es unbedingt notwendig, dieses Verzeichnis sehr sorgfältig zu führen. Es hat überdies den Vorteil, dass der Unternehmer einen Überblick darüber erhält, welche Daten bei ihm verarbeitet werden.

Inhalt des Verzeichnisses

Gemäß Art. 30 DS GVO muss folgender Inhalt Bestandteil des Verzeichnisses sein:

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • Zwecke der Verarbeitung;
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Sollten Sie Fragen rund um das Verzeichnis von Verarbeitungstätigkeiten haben, so können Sie mich jederzeit telefonisch oder per E-Mail erreichen.


Rechtstipp vom 04.05.2018
aus der Themenwelt Datenschutz und DSGVO und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Tsanko Kalchev (T.K. Legal)

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.