Entsprechend Artikel 30 der europäischen Datenschutzgrundverordnung (DSGVO) fordert die Europäische Kommission (fast) jeden dazu auf, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, der Daten erhebt. Vor der Einführung der DSGVO wurde dieses Verzeichnis noch als Verfahrensverzeichnis bezeichnet und enthielt einige Vorschriften, die weggefallen sind.
Was ist neu im Verzeichnis für Verarbeitungstätigkeiten?
Eine große Neuerung ist, dass kein öffentliches Verzeichnis mehr geführt werden muss. Während früher das Verfahrensverzeichnis auf Antrag vorgelegt werden musste, ist das neue Verzeichnis nur noch intern. Dieses interne Verzeichnis muss sowohl die für die Datenverarbeitung Verantwortlichen als auch die jeweiligen Auftragsverarbeitenden führen. Im Sinne der DSGVO sind Auftragsverarbeitenden entweder natürliche oder juristische Personen, Behörden, Istitutionen usw., die personenbezogen Daten im Auftrag eines anderen Verantwortlichen verarbeiten.
Ausgenommen von dieser Pflicht sind Unternehmen oder Institutionen, die weniger als 250 Mitarbeiter beschäftigen – außer die Verarbeitung von personenbezogenen Daten in diesem Unternehmen birgt
„ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien“ (DSGVO Art. 30, Abs. 5).
Was muss das Verzeichnis von Verarbeitungstätigkeiten beinhalten?
Der Inhalt des Verzeichnisses unterscheidet sich in Teilen je nachdem, ob es vom Verantwortlichen oder einem Auftragsverarbeitenden geführt wird.
Das Verzeichnis eines Verantwortlichen muss den Namen und die Adressdaten des Verantwortlichen, seines Vertreters und ggf. eines Datenschutzbeauftragten (DSB) enthalten. Außerdem müssen die Kategorien der betreffenden Personen und die ihrer personenbezogenen Daten, der Zweck der Datenverarbeitung, sowie die Kategorien der Empfänger notiert werden.
Wenn personenbezogene Daten an ein Drittland übermittelt wurden, oder werden, das nicht in im Geltungsbereich der DSGVO liegt, so muss dies unter Garantieren für die Einhaltung der datenschutzrechtlichen Bestimmungen erfolgen.
Soweit möglich sollten auch Fristen für die Löschung von Daten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen der Datenverarbeitung im Verzeichnis hinterlegt werden.
Das Verzeichnis von Auftragsverarbeitenden ist weniger umfangreich. Hier müssen selbstredend die Namen und Kontaktdaten der Auftragsverarbeitenden und des Verantwortlichen, bzw. seines Vertreters und des DSB, die Kategorien, die im Auftrag bearbeitet werden, die Bestimmungen hinsichtlich des Umgangs mit Daten, die an ein Drittland übermittelt werden und wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Das Verzeichnis für Verarbeitungstätigkeiten ist eine Arbeitsunterstützung
Nicht nur ist das Verzeichnis für Verarbeitungstätigkeiten eine Rechtspflicht für Unternehmen und Institutionen, sondern ist – sofern es richtig geführt wird – eine deutliche Hilfe bei der alltäglichen Datenverarbeitung. Spätestens bei einer Kontrolle durch die Datenschutzaufsicht ist ein sorgfältig geführtes Verzeichnis eine große Hilfe, um die Übersicht über die gesammelten Daten und ihre Verwendung zu behalten.
Auch für die interne Datenschutzkontrolle ist das Verzeichnis eine große Hilfe. Denn eine Verarbeitungsübersicht gibt insbesondere darüber Auskunft, welche personenbezogenen Daten, unter welcher Verwendung automatisierter Verfahren, auf welche Weise verarbeitet worden sind und welche Datenschutzmaßnahmen die Prozesse schützen.
Das Verzeichnis hilft auch dabei, tatsächlich die Rechte der Betroffenen zu erfüllen, etwa wenn diese Auskunft über ihre personenbezogenen Daten fordern – nur mit einem Verzeichnis können Unternehmen und Institutionen die Übersicht über gesammelte Daten behalten.
Wie wird ein Verzeichnis zur Verarbeitungstätigkeiten erstellt?
Im ersten Schritt erfordert die Erstellung eines Verzeichnisses zur Verarbeitungstätigkeit einen gewissen Aufwand. Denn um ein brauchbares Verzeichnis anzulegen, muss erst eine Übersicht über die bisher gesammelten Daten, ihre Kategorien, ihre Zwecke und die jeweiligen Verantwortlichen gewonnen werden.
In einem zweiten Schritt gilt, eine Liste mit allen Verfahren und den Programmen zu erstellen, die die personenbezogenen Daten verarbeiten und festzuhalten, wozu diese dienen – denn jetzt müssen die Fachverfahren, Softwareanwendungen und Datenverarbeitungszwecke miteinander verknüpft werden. Nur so kann nachgehalten werden, wie die sensiblen Daten verarbeitet werden.
Anschließend können die Personen- und Datenkategorien definiert, die jeweiligen Datenempfänger festgestellt, Löschfristen festgelegt und Datenübermittlungen an Drittländer überprüft werden.
Das Verzeichnis hilft nur bei fortlaufender Pflege
Damit das Verzeichnis tatsächlich die Arbeit erleichtern kann und im Falle eines Datenschutzverstoßes den Anforderungen der Datenschutzbehörde genügen kann, muss es regelmäßig gepflegt werden.
Hier sind die Verantwortlichen in der Pflicht, auf die kontinuierliche Pflege des Verzeichnisses zur Verarbeitungstätigkeit zu achten. Es ist ebenso wenig im Interesse des Unternehmens, wie des Gesetzgebers, ein unvollständiges Verzeichnis über die Daten zu haben.
Genauso wie das Qualitätsmanagement oder die Buchhaltung in einem Unternehmen nur bei fortlaufender Pflege Sinn machen, gilt dies genauso für das Verzeichnis für Verfahrenstätigkeiten.