Das Verzeichnis der Verarbeitungstätigkeiten

Laut DSGVO Art.30 muß jede private oder öffentliche Stelle, die Personendaten verarbeitet, den Umgang mit diesen Daten dokumentieren.
Diese Dokumentation wird Verarbeitungsverzeichnis genannt und erweitert die bisherigen Vorschriften des BDSG-alt zum Verfahrensverzeichnis erheblich.

Kleinere Unternehmen waren bisher von dieser Pflicht befreit.
Nun muss grundsätzlich jeder Verantwortliche, ob Unternehmen, Freiberufler oder Verein sowie neuerdings auch Auftragsverarbeiter ein Verarbeitungsverzeichnis erstellen und führen – fortlaufend und aktuell.
Befreit sind nach DSGVO Abs.5 Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern, "es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."

In Deutschland ist ein Merkmal der Lohnzahlung die ethnische Herkunft (Artikel 9) und auch die regelmäßige Bearbeitung von Lohnabrechnung, Sozialleistungen und Steuermeldungen reicht, um die Befreiung zu verwirken.
Das BDSG §70 verpflichtet ausnahmslos alle öffentliche Stellen, die personenbezogene Daten verarbeiten, zum Führen des Verarbeitungsverzeichnisses.

Auftragsverarbeiter müssen ihre im Auftrag ausgeführten Verfahren dokumentieren, aber sie dokumentieren dazu keine Rechtsgrundlage.
Ein Auftragsbearbeiter besitzt keine eigene Rechtsgrundlage zur Verarbeitung dieser Daten, sondern handelt im Auftrag des Verantwortlichen.

Das Verarbeitungsverzeichnis ist nicht mehr öffentlich zu führen und faßt interne und externe Verfahrensverzeichnisse zu einer einheitlichen Dokumentation zusammen.
Aus der Dokumentation muss hervorgehen, welche personenbezogene Daten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten dabei getroffen wurden.

Um Doppeleingaben zu vermeiden, kann auf ein ggf. vorhandenes Datensicherungskonzept, Datenschutzkonzept oder Löschkonzept verwiesen werden.
Bei der Erstellung des Verzeichnisses sind Detailkenntnisse über die einzelnen Verfahren unabdingbar. Deshalb dürfte es für eine einzelne Person (z. B. den Datenschutzbeauftragten) unmöglich sein, das Verzeichnis für die verantwortliche Stelle alleine zu erstellen und pflegen.

Das Verzeichnis muß der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Da mit der DSGVO eine allgemeine Nachweis- und Dokumentationspflicht für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten in den Vordergrund rückt (z. B. DSGVO Art.5, Abs.2), wird das Verzeichnis der Verarbeitungstätigkeiten in Zukunft eine große Rolle spielen, um diesen Anforderungen nachzukommen.

Wir unterstützen Sie bei Bedarf bei jedem Schritt.
Siehe:

Posted: 23.07.2018   /  Updated: 22.10.2018


Neuer Kommentar, Anmerkung oder Hinweis