Das Verzeichnis von Verarbeitungstätigkeiten spielt eine wichtige Rolle bei der Einhaltung datenschutzrechtlicher Vorgaben.
Um die rechtmäßige Verarbeitung personenbezogener Daten gewährleisten zu können, müssen Unternehmen ihre eigenen Verarbeitungsprozesse kennen und gezielte Maßnahmen ergreifen.
Was ist überhaupt ein Verfahrensverzeichnis?
Um den Datenschutz iim Unternehmen gesetzeskonform umsetzen zu können, braucht man ein Verfahrensverzeichnis. Ein sog. Verfahrensverzeichnis ist eine Übersicht über die laufende Verarbeitung personenbezogener Daten. Hierzu gehört beispielsweise die Personal- und Kundenverwaltung oder auch die Videoüberwachung in Ihrem Unternehmen.
Warum braucht mein Unternehmen ein Verfahrensverzeichnis?
Seit 25.05.2018 ist die Europäische Datenschutzgrundverordnung (kurz: DSGVO) wirksam. Bereits nach dem alten Bundesdatenschutzgesetz (BDSG alt) war ein öffentliches Verfahrensverzeichnis und eine interne Verarbeitungsübersicht geregelt.
Diese Regelungen wurde nun von Art. 30 der DSGVO abgelöst. Künftig lautet die Bezeichnung „Verzeichnis von Verarbeitungstätigkeiten“. Jeder Verantwortliche (also Unternehmen, Freiberufler, Vereine und neu auch Auftragsverarbeiter) muss demnach ein schriftliches oder elektronisches Verfahrensverzeichnis führen, in dem alle Verarbeitungstätigkeiten mit personenbezogenen Daten abgebildet sind.
Wer muss ein Verfahrensverzeichnis erstellen?
Folgt man der Auffassung Landesdatenschutzaufsichtsbehörden braucht jedes Unternehmen ein Verfahrensverzeichnis. Der Ausnahmetatbestand des Art. 30 Abs. 5 DSGVO, wonach Unternehmen mit weniger als 250 Mitarbeitern nur unter bestimmten Voraussetzungen ein Verfahrensverzeichnis führen müssen, greift nur äußerst selten. Schon bei regelmäßig erfolgenden Lohnabrechnungen ist es nach Auffassung der Aufsichtsbehörden verpflichtend, ein Verfahrensverzeichnis zu führen.
Wie erstelle ich ein korrektes Verfahrensverzeichnis?
Ins Verfahrensverzeichnis für Verantwortliche aufzunehmen sind nach Art. 30 Abs. 1 DSGVO alle wesentlichen Angaben zur Datenverarbeitung. Hierzu gehören insbesondere die Benennung des betroffenen Personenkreises, der Zweck sowie die betroffenen Personen und Empfänger der Datenverarbeitung. Ebenso müssen die zugehörigen technischen und organisatorischen Maßnahmen benannt werden.
Auftragsdatenverarbeiter müssen mit Geltung der DSGVO ebenso ein Verfahrensverzeichnis führen, Art. 30 Abs. 2 DSGVO. Darin müssen alle Tätigkeiten hinsichtlich der Verarbeitung personenbezogener Daten aufgeführt werden, die von einem Verantwortlichen beauftragt wurden.
Ein Verzeichnis über eingesetzte Verfahren zwar nicht mehr öffentlich zugänglich gemacht werden, dennoch gilt im Rahmen der neuen DSGVO das sogenannte Accountability-Prinzip (vgl. Art. 30 Abs. 4 DSGVO). Das bedeutet, dass alle relevanten Unterlagen nach der Datenschutzgrundverordnung (DSGVO) vorgehalten werden müssen, um diese auf Anfrage der Datenschutzbehörde zur Prüfung darlegen zu können.
Bei einem Verstoß durch fehlende oder nicht vollständige Führung eines Verzeichnisses nach Aufforderung durch die Datenschutzbehörde droht ein Bußgeld nach Art. 83 Abs. 4a DSGVO.
Sie brauchen Unterstützung?
Wir stehen Ihnen als externer Datenschutzbeauftragter zur Verfügung!