DSGVO: Verfahrensverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten

Lesezeit: ca. 6 Minuten


Die Erstellung eines Verfahrensverzeichnisses gehört zu den zentralen Aufgaben der Datenschutzorganisation bereits nach aktuellem Recht. Gemäß § 4g Abs. 2 soll die verantwortliche Stelle eine Übersicht über verschiedene Verfahren erstellen. Faktisch ist es aber so, dass entsprechende Übersichten und Verfahrensdokumentationen von den jeweiligen betrieblichen oder behördlichen Datenschutzbeauftragten erstellt werden.

Diese haben in der Praxis sehr unterschiedliche Qualität. Viele Unternehmen und Behörden dokumentieren hier abstrakt oder zum Teil auch oberflächlich die verschiedenen Verfahren, in denen personenbezogene Daten verarbeitet werden.

Anhaltspunkte, welche Informationen im Einzelnen zu dokumentieren sind, ergaben sich in der Vergangenheit aus § 4e BDSG in der Fassung, die noch bis zum 24.05.2018 Geltung hatte.

Neben einem internen Verfahrensverzeichnis ist darüber hinaus noch ein sogenanntes öffentliches Verfahrensverzeichnis zu erstellen. In § 4g Abs. 2 BDSG heißt es, dass auf Antrag ein solches öffentliches Verfahrensverzeichnis jedermann in geeigneter Weise zur Verfügung gestellt werden soll.

Es werden nur reduzierte Angaben in den öffentlichen Verfahrensverzeichnissen erstellt. In der Praxis ist vielfach zu beobachten, dass alle Verfahren, in denen personenbezogene Daten verarbeitet werden, in einem Dokument abstrakt zusammengefasst werden.

Ob dies im Sinne des Gesetzgebers war und ist, ist sehr zweifelhaft. Erstaunlich ist, dass viele Aufsichtsbehörden diese Praxis nicht weiter beanstanden.

Neues nach der Datenschutz-Grundverordnung DSGVO

Die Datenschutz-Grundverordnung (DSGVO) sieht zukünftig für Verfahrensverzeichnisse einige Veränderungen vor. Mit der DSGVO entfällt die Pflicht, ein sogenanntes öffentliches Verfahrensverzeichnis zu erstellen.

Ein Verfahrensverzeichnis muss auch nicht mehr jedermann auf Antrag verfügbar gemacht werden.

Hier hat der Gesetzgeber mit den deutlich umfangreicheren Informationspflichten, die Behörden und Unternehmen gegenüber Kunden und Mitarbeitern haben, Verpflichtungen geschaffen, die über das öffentliche Verfahrensverzeichnis weit hinausgehen.

Insoweit ist ein öffentliches Verfahrensverzeichnis vor dem Hintergrund der Informationspflichten aus Artikel 13 und Artikel 14 DSGVO nicht mehr notwendig.

Artikel 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

 In Artikel 30 DSGVO spricht die neue gesetzliche Grundlage, die ab dem 25.05.2018 gilt, von einem „Verzeichnis von Verarbeitungstätigkeiten“. Es bleibt bei der bisherigen Rollenverteilung.

Der Verantwortliche (früher „verantwortliche Stelle“) führt ein entsprechendes Verzeichnis aller Verarbeitungstätigkeiten, die in seiner Zuständigkeit liegen. Der Datenschutzbeauftragte muss eigentlich das Verzeichnis von Verarbeitungstätigkeiten nur überwachen.

Wir erwarten aber in Anbetracht der bisherigen Erfahrungen, dass das Verzeichnis aller Verarbeitungstätigkeiten auch zukünftig direkt von dem Datenschutzbeauftragten erstellt. Hier gibt es die Diskussion auch bei den Aufsichtsbehörden, ob dies so rechtlich zulässig ist.

Der Datenschutzbeauftragte hat gemäß Artikel 39 Abs. 1b) DSGVO die Pflicht, die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften vorzunehmen. Ob ein Datenschutzbeauftragter gleichzeitig die Überwachung und die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten praktisch vornehmen kann, wird von einigen Aufsichtsbehörden kritisch gesehen.

Hier wird sich zeigen, ob eine entsprechende behördliche oder betriebliche Praxis beanstandet wird.

Inhaltsverzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO)

 In Artikel 30 DSGVO wird im Einzelnen aufgelistet, welchen Inhalt das Verzeichnis von Verarbeitungstätigkeiten haben soll. Neben dem Namen und den Kontaktdaten des Verantwortlichen sind insbesondere Angaben zum Zwecke der Verarbeitung und eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten zu dokumentieren.

Auch die Kategorien der Empfänger, Übermittlungen an Drittländer und Angaben zur Löschung ergänzen das Verzeichnis von Verarbeitungstätigkeiten. Das Verfahrensverzeichnis soll darüber hinaus eine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Abs. 1 DSGVO enthalten.

Eine Besonderheit besteht dahin, dass hier der Auftragsverarbeiter ein Verzeichnis zu allen Kategorien von dem Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung erstellen muss. Hier gibt es zukünftig eine doppelte Dokumentation auf Basis des Verzeichnisses von Verarbeitungstätigkeiten.

Grundsätzlich ähnelt die Aufzählung in Artikel 30 Abs. 1 DSGVO dem bisherigen Verfahrensverzeichnis. Die Datenschutz-Grundverordnung sieht keine besonderen technischen und organisatorischen Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten vor.

Gemäß Artikel 30 Abs. 3 DSGVO kann ein entsprechendes Verzeichnis schriftlich geführt werden. Eine Führung im elektronischen Format ist ebenfalls möglich.

Zukünftige Rolle des Verzeichnisses von Verarbeitungstätigkeiten

 Nach unserer Einschätzung und nach vielen Diskussionen mit Mandanten über die zukünftige Datenschutzorganisation, die den Anforderungen der DSGVO gerecht werden soll, gewinnt das Verzeichnis von Verarbeitungstätigkeiten eine erheblich größere Bedeutung, als die bisherigen Verfahrensverzeichnisse hatten.

In der Praxis wurden Verfahrensverzeichnisse häufig stiefmütterlich behandelt und waren eine ungeliebt Aufgabe für Datenschutzbeauftragte. Zukünftig gewinnen die Verzeichnisse von Verarbeitungstätigkeiten mit Blick auf die Dokumentationspflichten und Überwachungspflichten eine neue Rolle. Gemäß Artikel 5 Abs. 2 und Artikel 24 DSGVO muss der Verantwortliche im Einzelnen die Einhaltung der Datenschutz-Grundverordnung nachweisen (Rechenschaftspflicht).

Dies kann gut auf Basis des Verzeichnisses von Verarbeitungstätigkeiten erfolgen. Auch muss der Datenschutzbeauftragte dokumentieren, dass er seinen Überwachungspflichten im Einzelnen nachgekommen ist.

Hier ist das Verzeichnis der Verarbeitungstätigkeiten ebenfalls eine gute Basis für die Dokumentation.

Außerdem kann aus dem Verzeichnis der Verarbeitungstätigkeiten die Informationspflicht gemäß Artikel 13 und Artikel 14 DSGVO gegenüber betroffenen Personen gut erfüllt werden. In den Verfahrensverzeichnissen sind alle notwendigen Informationen enthalten, die dann im Rahmen der Informationspflichten an betroffene Personen weitergegeben werden müssen.

Bei sorgfältiger Erstellung des Verzeichnisses der Verarbeitungstätigkeiten kann dann mit relativ geringem Aufwand ein Dokument erstellt werden, dass an betroffene Personen zum Zeitpunkt der Erhebung von personenbezogenen Daten ab dem 25.05.2018 übermittelt werden kann.

Spezielle Herausforderungen an das Verzeichnis der Verarbeitungstätigkeiten

 Das Verzeichnis der Verarbeitungstätigkeiten hat aber noch einige spezielle Herausforderungen, die sich aus der DSGVO ergeben. Beispielsweise muss der Verantwortliche nachweisen, dass er die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 DSGVO und die Rechtmäßigkeit der Verarbeitung gemäß Artikel 6 DSGVO geprüft hat.

Auch die Anforderungen gemäß Artikel 9 zur Verarbeitung besonderer Kategorien personenbezogener Daten müssen geprüft werden. Diese Prüfung ist ebenfalls festzuhalten.

Hier sehen einige Muster, die derzeit auf dem Markt sind, noch keine ausreichende Berücksichtigung dieser Prüfungen vor. Zwar werden einige Aspekte in den derzeit auf dem Markt befindlichen Mustern für Verarbeitungsverzeichnisse und Verfahrensverzeichnisse bereits angesprochen.

In Anbetracht der ausdrücklichen Rechenschaftspflicht, die in Artikel 5 Abs. 2 DSGVO festgelegt ist, bedarf es allerdings einer schrittweisen Prüfung der Grundsätze gemäß Artikel 5 DSGVO und der Rechtmäßigkeit der Verarbeitung gem. Artikel 6 DSGVO.

Hier ist der Verantwortliche oder vermutlich der Datenschutzbeauftragte in der Pflicht, jeden einzelnen Grundsatz dahingehend zu überprüfen, ob im Einzelfall und in der konkreten Verarbeitung beispielsweise der Grundsatz der Richtigkeit, der Speicherbegrenzung oder der Integrität und Vertraulichkeit ausreichend beachtet ist.

Dies ist eine Wertung, die der Verantwortliche vornehmen muss und die der Datenschutzbeauftragte überwachen soll. Für uns ist es nicht vorstellbar, dass ohne ausdrückliche Beschreibung dieses Wertungsvorganges ausreichend nachgewiesen ist, dass die gesetzlichen Anforderungen eingehalten sind.

Nur mit einer entsprechenden Beschreibung der Wertung und Überprüfung erfüllt ein Verantwortlicher die Rechenschaftspflicht. Dann kann auch der Datenschutzbeauftragte seinen Überwachungspflichten nachkommen.

Mit anderen Worten: Ohne nachprüfbare Bewertung ist eine Überwachung durch den Datenschutzbeauftragten nicht möglich und er kann im Einzelfall nicht beurteilen, ob die Grundsätze gemäß Artikel 5 DSGVO und die Rechtsmäßigkeitsanforderungen gemäß Artikel 6 DSGVO eingehalten sind.

Wir empfehlen allen Verantwortlichen, seien es Unternehmen oder Behörden, dass zukünftig bei den Verzeichnissen der Verarbeitungstätigkeiten eine große Sorgfalt an den Tag gelegt wird. Nur so können die durchaus speziellen Herausforderungen der Datenschutz-Grundverordnung an die Verzeichnisse der Verarbeitungstätigkeiten in die Praxis umgesetzt werden.

Wir beraten bundesweit Behörden und Unternehmen bei der Erstellung entsprechender Dokumentationen und unterstützen Datenschutzbeauftragte, insbesondere nebenberufliche Datenschutzbeauftragte in ihren Überwachungspflichten.

Sprechen Sie uns an oder nehmen Sie per E-Mail Kontakt mit uns auf. Wir freuen uns auf Ihre Fragen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 4,75 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen