Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DS-GVO) und damit auch, für fast jeden Verantwortlichen (z. B. Unternehmen, Verein oder Freiberufler), die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Aber was genau beinhaltet dieses Verzeichnis? Wer kann von dieser Pflicht befreit werden? Welche Neuerungen bringt die DS-GVO diesbezüglich mit sich?
Verzeichnis von Verarbeitungstätigkeiten
Beim Verzeichnis von Verarbeitungstätigkeiten handelt es sich um eine Dokumentation aller Geschäftsprozesse/Verfahren, in denen personenbezogene Daten verarbeitet werden. Mögliche Verarbeitungstätigkeiten könnten z. B. der Einsatz und die Nutzung von Videoüberwachungsanlagen oder eines Zeiterfassungssystems, der Versand von Newsletter, der Prozess rund um die Krankmeldung oder Urlaubsplanung sowie die Durchführung von Gewinnspielen sein.
Ausnahme nach Art. 30 Abs. 5 DS-GVO
Für kleine und mittlere Unternehmen oder andere Einrichtungen ist nach Art. 30 Abs. 5 DS-GVO eine Ausnahme für die Pflicht zur Führung derartiger Verzeichnisse vorgesehen. Betroffen von dieser Ausnahme sind Unternehmen oder andere Einrichtungen mit weniger als 250 Mitarbeitern. Unternehmen oder andere Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen kein Verzeichnis von Verarbeitungstätigkeiten führen, es sei denn
- die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen oder
- es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 oder
- die Verarbeitung erfolgt nicht nur gelegentlich.
Besonders die Voraussetzung der gelegentlichen Datenverarbeitung dürfte für viele Unternehmen oder andere Einrichtungen ein Ausschlusskriterium für die Ausnahme sein, sodass diese – trotz deutlich weniger Mitarbeiter – ein Verzeichnis von Verarbeitungstätigkeiten führen müssen.
Weitere Neuerungen mit der Datenschutz-Grundverordnung
Das Verzeichnis von Verarbeitungstätigkeiten nach der Datenschutz-Grundverordnung ähnelt inhaltlich dem „internen Verfahrensverzeichnis“ nach § 4e Bundesdatenschutzgesetz a. F.
Mit der Gültigkeit der Datenschutz-Grundverordnung haben sich jedoch einige Begrifflichkeiten geändert. So wurde auch aus dem ursprünglichen „internen Verfahrensverzeichnis“ bzw. der „internen Verarbeitungsübersicht“ das „Verzeichnis von Verarbeitungstätigkeiten“. Darüber hinaus wurden unter anderem die Begriffe „Verantwortliche Stelle“ in „Verantwortlicher“ und „Auftragsdatenverarbeiter“ in „Auftragsverarbeiter“ geändert.
Neben den Begrifflichkeiten sieht die neue DS-GVO zudem keine Führung eines „öffentlichen Verfahrensverzeichnisses“ mehr vor, womit die Einsichtnahme für „Jedermann“ entfällt und nur noch eine Pflicht gegenüber der Aufsichtsbehörde besteht, wenn diese das Verzeichnis anfordert. Eine Trennung zwischen einem internen und öffentlichen Verzeichnis ist also nicht mehr vorgesehen.
Eine weitere Neuerung ist die Pflicht zur Führung von derartigen Verzeichnissen für Auftragsverarbeiter. Gemäß Art. 30 Abs. 2 DS-GVO müssen auch Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führen.
Welche Informationen gehören in ein Verzeichnis von Verarbeitungstätigkeiten?
Gemäß Art. 30 Abs. 1 DS-GVO hat der Verantwortliche unter anderem den Namen und die Kontaktdaten des Verantwortlichen, ggf. die Kontaktdaten des Datenschutzbeauftragten, die Verarbeitungszwecke sowie die Kategorien betroffener Personen und die Kategorien personenbezogener Daten in das Verzeichnis aufzunehmen. Der Auftragsverarbeiter muss gemäß Art. 30 Abs. 2 DS-GVO unter anderen den Namen und die Kontaktdaten der Verantwortlichen, in deren Auftrag der Auftragsverarbeiter tätig ist, die Kategorien von Verarbeitungen, die durchgeführt werden sowie den Namen und die Kontaktdaten des Auftragsverarbeiters selbst in dem Verzeichnis erfassen.
