Verarbeitungsverzeichnis nach der DSGVO – Was ist zu tun?

Veröffentlicht am 1. Mai 2018 von Maximilian Greger | Datenschutz IT-Recht | 0 Kommentare

DSGVO verarbeitungsverzeichnisDie EU-DSGVO gilt ab 25.5.2018 europaweit und bringt einige Neuerungen mit sich – insbesondere verschäfte Bußgelder und Sanktionsmittel. Unter anderem zwingt Art. 30 DSGVO den Verantwortlichen dazu, ein sog. Verarbeitungsverzeichnis anzufertigen. Ist diese Pflicht neu?

Nein! Schon nach alter Rechtslage, also nach dem Bundesdatenschutzgesetz (BDSG), war ein sog. Verfahrensverzeichnis anzufertigen, also ein Verzeichnis, in dem der Verantwortliche grundsätzlich beschreibt, wie er mit personenbezogenen Daten umgeht und welche Sicherheitsmaßnahmen er trifft, damit die Daten nicht in falsche Hände geraten.

Ab dem 25.5.2018 hat der Verantwortliche – wie bisher – ein Verarbeitungsverzeichnis schriftlich (auch elektronisch möglich) anzufertigen. Gemäß Art. 30 Abs. 4 DSGVO hat es der Verantwortliche auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen, so dass es als Nachweis darüber dient, dass der Verantwortliche die Vorschriften der DSGVO einhält.

Wer muss ein Verarbeitungsverzeichnis führen?

Die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses ergibt sich aus Art. 30 DSGVO. Danach muss grundsätzlich jeder Verantwortliche ein Verarbeitungsverzeichnis führen.

Zwar gilt nach Art. 30 Abs. 5 DSGVO eine Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Allerdings gilt diese Ausnahme fast nie. Meist hapert es daran, dass die Datenverarbeitung

  • ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, oder
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Abs. 1 DSGVO bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO betrifft.

Vor allem der zweitgenannte Punkt trifft fast immer zu: schon wer ab und zu Kundendaten erhebt oder verarbeitet, handelt nicht nur „gelegentlich“.

Die Pflicht gilt übrigens gemäß Art. 30 Abs. 2 DSGVO auch für den Auftragsverarbeiter.

Welchen Inhalt muss ein Verarbeitungsverzeichnis haben?

Auch hier gibt wieder Art. 30 Abs. 1 DSGVO klare Vorgaben.  Das Verarbeitungsverzeichnis muss mindestens folgende Inhalte aufweisen:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Auf die sogenannten „TOMs“ (technisch-organisatorische Maßnahmen gemäß Art. 32 DSGVO) sollte der Verantwortliche besonders viel Wert legen. Dabei handelt es sich um die Beschreibung, welche technischen und organisatorischen Sicherheitsvorkehrungen der Verantwortliche trifft.

Wie detailliert das Verarbeitungsverzeichnis ausgestaltet werden muss, steht allerdings nicht im Gesetz. Das wird die Praxis zeigen.

(Nach Art. 30 Abs. 2 DSGVO gelten diese Anforderungen in etwas eingeschränkter Form auch für den Auftragsverarbeiter.)

Beispiele / Muster

Fazit

Es wird gerade dem Kleinunternehmer wohl kaum gelingen, den Datenschutzbestimmungen zu 100% zu entsprechen. Aber gerade das Verarbeitungsverzeichnis ist nach bestem Wissen und Gewissen und mit der dafür erforderlichen Mühe zu erstellen. Wer es hat und sich ersichtlich Gedanken gemacht hat, dem wird eine Behörde wohl kaum wegen kleinerer Fehler Bußgelder verhängen.

Fehlt ein Verarbeitungsverzeichnis hingegen gänzlich, ist eine Behörde wohl gezwungen, eine Sanktion zu verhängen (Art. 84 DSGVO: „Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“).

(Passend zum Thema DSGVO: Law-Blog Beitrag vom 28.3.2018)


Beitrags-Foto: © Alexander Limbach – Fotolia.com

Maximilian Greger ist Partner und Fachanwalt für Urheber- und Medienrecht bei SNP Schlawien in München. Er berät vorwiegend mittelständische Unternehmen und Startups im Marken-, Wettbewerbs-, Online- und Datenschutzrecht.

IPticker abonnieren!

Schreiben Sie den ersten Kommentar zu "Verarbeitungsverzeichnis nach der DSGVO – Was ist zu tun?"