Aktuelles

Urteile, Vorfälle, Kommentierungen...
219/17 Das Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO

219/17 Das Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO

by 14. August 2017

In jedem Unternehmen gibt es Datenverarbeitungsvorgänge, alleine wenn es um die Mitarbeiterdaten oder Kundendaten geht. Hinzu kommen Vorgänge wie Terminkalender, Daten von Veranstaltungsbesuchern, Tagungsgästen, Hotelgästen usw.

Das Unternehmen muss einen Überblick über seine Verarbeitungsvorgänge haben und behalten. Das geschah bisher u.a. mit dem sog. Verfahrensverzeichnis.

Hier ändert sich nun mit der Datenschutzgrundverordnung (kurz: DSGVO, sie tritt ab dem 25.05.2018 in Kraft) einiges: Künftig nämlich gehört es zur originären Aufgabe der verantwortlichen Stelle (= des Unternehmens) und des Auftragsdatenverarbeiters, ein Verzeichnis zu erstellen (siehe Art. 30 DSGVO):

“Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.”

Keine Regel ohne Ausnahme

Von dieser Pflicht gibt es, wie so oft, eine Ausnahme:

“Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.”

Das Problem: Diese Ausnahme muss man erstmal verstehen… tatsächlich verbergen sich hinter diesem Satz einige Auslegungsschwierigkeiten: So könnte man die Aufzählung der Kriterien so verstehen, dass nur eines vorliegen muss, um die Ausnahme zu begründen (aufgrund des “oder”); in der rechtswissenschaftlichen Literatur gibt es aber schon Meinungen, dass man das “oder” eigentlich als “und” verstehen müsste.

Da ein fehlendes Verzeichnis künftig mit einem Bußgeld von bis zu 20 Mio Euro oder 2% des weltweiten Unternehmensumsatzes belegt werden kann, ist aber Vorsicht geboten: Letztlich werden wohl die Gerichte klären müssen, wie diese Ausnahmeregelung zu verstehen ist. Das aber wird einige Jahre dauern, und bis dahin besteht für ein Unternehmen natürlich ein latentes Risiko.

Jedes Unternehmen, das Daten erhebt, speichert oder verarbeitet, sollte also sorgfältig prüfen, ob die Erstellung eines Verzeichnisses notwendig ist oder ausnahmsweise eine Ausnahmeregelung greifen könnte.

Klarstellende Ergänzung vom 23.08.2017: Sicherheitshalber sollte man nach wie vor das “oder” wörtlich nehmen = wenn das Unternehmen weniger als 250 Mitarbeiter hat, aber sobald die vorgenommene Verarbeitung

  • entweder ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • oder nicht nur gelegentlich erfolgt,
  • oder besondere Daten wie Gesundheitsdaten oder Daten aus einem Strafregister betroffen,

sollte man trotzdem ein solches Verzeichnis erstellen. Erst dann, wenn sich alle einig sind, dass das “oder” hier ausnahmsweise ein “und” sein soll, dann könnte man als Unternehmer mit weniger als 250 Mitarbeitern vielleicht umdenken, ob ein Verzeichnis notwendig ist.

Was ist neu?

Neu in Bezug auf das Verzeichnis ist dabei u.a., dass

  • verantwortlich für das Verzeichnis die Unternehmensleitung ist, und nicht mehr der betriebliche Datenschutzbeauftragte;
  • es kein öffentliches Einsichtsrecht mehr in das Verzeichnis gibt;
  • bei einem Datentransfer in ein Drittland die Risikoabschätzung und die Schutzmaßnahmen dokumentiert werden müssen, soweit der Datentransfer auf Basis des Art 49 Abs. 1 Satz 2 DSGVO erfolgt;
  • das Verzeichnis den Aufsichtsbehörden die Möglichkeit geben können muss, Datenverarbeitungsvorgänge in der Vergangenheit nachzuvollziehen.

Seminare und Webinare

In unseren Seminaren bieten wir auch eine Seminarreihe “Datenschutz, Urheberrecht & Co.” an. Darin gehen wir auch auf die DSGVO ein. Wir werden aufgrund der Nachfrage dazu auch Webinare anbieten.

Beratung

Wir unterstützen Sie bei der Umsetzung der DSGVO und dem neuen BDSG in Ihrem Unternehmen, prüfen für Sie interne Prozesse und schulen Ihre Mitarbeiter.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • blaue Aktenschränke: © vchalup - Fotolia.com