Verfahrensverzeichnis

Das Verzeichnis von Verarbeitungs­tätigkeiten spielt eine wichtige Rolle bei der Einhaltung datenschutz­rechtlicher Vorgaben.

Um die rechtmäßige Verarbeitung personen­bezogener Daten gewährleisten zu können, müssen Unternehmen ihre eigenen Verarbeitungs­prozesse kennen und gezielte Maßnahmen ergreifen.
Was ist überhaupt ein Verfahrens­verzeichnis?
Um den Datenschutz iim Unternehmen gesetzes­konform umsetzen zu können, braucht man ein Verfahrens­verzeichnis. Ein sog. Verfahrens­verzeichnis ist eine Übersicht über die laufende Verarbeitung personen­bezogener Daten. Hierzu gehört beispielsweise die Personal- und Kunden­verwaltung oder auch die Video­überwachung in Ihrem Unternehmen.
Warum braucht mein Unternehmen ein Verfahrens­verzeichnis?
Seit 25.05.2018 ist die Europäische Daten­schutz­grundverordnung (kurz: DSGVO) wirksam. Bereits nach dem alten Bundes­daten­schutz­gesetz (BDSG alt) war ein öffentliches Verfahrens­verzeichnis und eine interne Verarbeitungs­übersicht geregelt.

Diese Regelungen wurde nun von Art. 30 der DSGVO abgelöst. Künftig lautet die Bezeichnung „Verzeichnis von Verarbeitungs­tätigkeiten“. Jeder Verantwortliche (also Unternehmen, Freiberufler, Vereine und neu auch Auftrags­verarbeiter) muss demnach ein schriftliches oder elektronisches Verfahrens­verzeichnis führen, in dem alle Verarbeitungs­tätigkeiten mit personen­bezogenen Daten abgebildet sind.
Wer muss ein Verfahrens­verzeichnis erstellen?
Folgt man der Auffassung Landes­datenschutz­aufsichts­behörden braucht jedes Unternehmen ein Verfahrens­verzeichnis. Der Ausnahme­tatbestand des Art. 30 Abs. 5 DSGVO, wonach Unternehmen mit weniger als 250 Mitarbeitern nur unter bestimmten Voraussetzungen ein Verfahrens­verzeichnis führen müssen, greift nur äußerst selten. Schon bei regelmäßig erfolgenden Lohn­abrechnungen ist es nach Auffassung der Aufsichts­behörden verpflichtend, ein Verfahrens­verzeichnis zu führen.
Wie erstelle ich ein korrektes Verfahrens­verzeichnis?
Ins Verfahrens­verzeichnis für Verantwortliche aufzunehmen sind nach Art. 30 Abs. 1 DSGVO alle wesentlichen Angaben zur Daten­verarbeitung. Hierzu gehören insbesondere die Benennung des betroffenen Personen­kreises, der Zweck sowie die betroffenen Personen und Empfänger der Daten­verarbeitung. Ebenso müssen die zugehörigen technischen und organi­satorischen Maßnahmen benannt werden.

Auftragsdaten­verarbeiter müssen mit Geltung der DSGVO ebenso ein Verfahrens­verzeichnis führen, Art. 30 Abs. 2 DSGVO. Darin müssen alle Tätigkeiten hinsichtlich der Verarbeitung personen­bezogener Daten aufgeführt werden, die von einem Verantwortlichen beauftragt wurden.

Ein Verzeichnis über eingesetzte Verfahren zwar nicht mehr öffentlich zugänglich gemacht werden, dennoch gilt im Rahmen der neuen DSGVO das sogenannte Accountability­-Prinzip (vgl. Art. 30 Abs. 4 DSGVO). Das bedeutet, dass alle relevanten Unterlagen nach der Daten­schutz­grund­verordnung (DSGVO) vorgehalten werden müssen, um diese auf Anfrage der Datenschutz­behörde zur Prüfung darlegen zu können.

Bei einem Verstoß durch fehlende oder nicht vollständige Führung eines Verzeichnisses nach Auf­forderung durch die Datenschutz­behörde droht ein Bußgeld nach Art. 83 Abs. 4a DSGVO.

Sie brauchen Unterstützung?

Wir stehen Ihnen als externer Daten­schutz­beauftragter zur Verfügung!
Kontakt
envelopephonemap-markerlocation