Dokumentationspflichten

Verzeichnis von Verarbeitungstätigkeiten
Stand: März 2018

I. Dokumentationspflichten: Das neue Verzeichnis von Verarbeitungstätigkeiten

1. Was ändert sich?

  1. Dokumentationspflichten: Das neue Verzeichnis von Verarbeitungstätigkeiten
    1. Was ändert sich?
    2. Wen trifft die Pflicht?
    3. Was muss dokumentiert werden?
    4. Was passiert, wenn ich meiner Pflicht nicht nachkomme?
  2. Unser Leistungsangebot

Die nach bisherigen BDSG geltenden Dokumentationspflichten (öffentliches Verfahrensverzeichnis und interne Verarbeitungsübersicht, § 4g Abs. 2 und Abs. 2a BDSG) werden mit der neuen DSGVO abgelöst und durch die Pflicht zur Führung eines schriftlichen oder elektronischen Verzeichnisses über alle Verarbeitungstätigkeiten mit personenbezogenen Daten (Art. 30 DSGVO) ersetzt.

Das neue “Verzeichnis von Verarbeitungstätigkeiten“ ist im Gegensatz zum bisherigen Verfahrensverzeichnis kein öffentliches Verzeichnis, da der DSGVO ein allgemeines Recht auf Einsicht in dem Verarbeitungsverzeichnis fremd ist. Ebenso entfallen die bisher in § 4d und § 4e BDSG geregelten Meldepflichten. Das Verzeichnis muss jedoch jederzeit auf Anfrage der Aufsichtsbehörde dieser zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO, EW Nr. 82).

2. Wen trifft die Pflicht?

Bislang waren für die öffentlichen Verfahrensverzeichnisse des BDSG die Datenschutzbeauftragten zuständig. Das neue “Verzeichnis von Verarbeitungstätigkeiten“ fällt dagegen in die Zuständigkeit der Verantwortlichen, mithin der Unternehmensführung, Freiberufler, Vereinsführung, etc.

Eine Einschränkung besteht jedoch für Unternehmen mit weniger als 250 Mitarbeitern (Art. 30 Abs. 5 DSGVO). Diese sind jedoch nur dann von der Dokumentationspflicht befreit, wenn:

  • Keine Verarbeitungen personenbezogener Daten durchgeführt wird, bei denen ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht (anzunehmen z.B. beim Scoring),

  • die Verarbeitung nur gelegentlich erfolgt und

  • keine Verarbeitung besonderer Datenkategorien gemäß Art.9 Abs. 1 DSGVO bzw. keine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO erfolgt.

3. Was muss dokumentiert werden?

In das Verfahrensverzeichnis sind insbesondere aufzunehmen:

  • Der Zweck der Datenverarbeitung;

  • die Beschreibung der Kategorien der betroffenen Personen und der personenbezogenen Daten;

  • die Angabe der Kategorien von Empfängern, gegenüber denen die Daten offengelegt wurden und noch werden (auch im Ausland);

  • die Fristen für die Löschung der Daten;

  • ggf. Datenübermittlungen in Drittstaaten;

  • die Beschreibung der technischen und organisatorischen Maßnahmen (TOMs), die die Datensicherheit gewährleisten.

Wie detailliert die Maßnahmen in dem Verzeichnis aufzunehmen sind, ist derzeit noch nicht ersichtlich. Art 30 Abs. 1 und 2 DSGVO beinhalten insoweit keine konkretisierenden Vorgaben. Die deutschen Aufsichtsbehörden haben jedoch bereits einen Entwurf einer Muster-Vorlage für das Verzeichnis erarbeitet.

4. Was passiert, wenn ich meiner Pflicht nicht nachkomme?

Verstöße durch fehlende oder unvollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde werden nach Art. 83 Abs. 4a DSGVO mit Geldbußen belegt. Diese können bis zu 10 Mio. EUR oder bis zu 2 % des weltweit erzielten Jahresumsatzes betragen. Auch wenn die Verantwortlichen ihre Datenschutzbeauftragten weiterhin mit der Erstellung des Verzeichnisses beauftragen, bleibt die Haftung trotzdem bei der Unternehmensführung.

II. Unser Leistungsangebot

Wir beraten Sie, welche technischen und organisatorischen Maßnahmen in welchem Detailgrad in das neue Verzeichnis aufzunehmen sind. Das „Verzeichnis von Verarbeitungstätigkeiten“ wird wie die bisherigen internen Verarbeitungsübersichten eine wesentliche Rolle spielen, um datenschutzrechtliche Vorgaben überhaupt einhalten zu können, denn nur wer seine eigenen Verarbeitungsprozesse kennt, kann auch gezielt Maßnahmen ergreifen, um eine datenschutzkonforme Verarbeitung personenbezogener Daten zu gewährleisten.

Damit Ihr Unternehmen auf die neuen Herausforderungen ab Mai 2018 vorbereitet ist, unterstützen wir Sie bei der Erstellung des Verfahrensverzeichnisses und legen bereits jetzt ein Team mit hinreichenden Zuständigkeiten fest.

Diese Webseite verwendet Cookies und zur fortlaufenden Verbesserung unserer Webseite setzen wir Google Analytics ein. Sie können die Cookie-Einstellung jederzeit für die Zukunft ändern und eine erteilte Einwilligung widerrufen. Weitere Informationen erhalten Sie in der Datenschutzerklärung.