Mit der neuen Datenschutzgrundverordnung (DSGVO), die zum 25. Mai 2018 wirksam geworden ist, gibt es auch einige Neuerungen in Bezug auf das bisherige Verfahrensverzeichnis. Bei uns erfahren Sie, was Sie dazu wissen müssen, um in Ihrem Betrieb auch weiterhin rechtskonform zu arbeiten.
Verfahrensverzeichnis – was genau ist das?
Mit einem Verfahrensverzeichnis können Unternehmen die Verarbeitungsvorgänge und –prozesse personenbezogener Daten dokumentieren und bei Bedarf vorlegen und nachweisen. Die neue Dokumentationspflicht der DSGVO sieht vor, bei Anfrage der zuständigen Aufsichtsbehörden genau diese Aufzeichnungen anhand des Verfahrensverzeichnisses vollständig vorlegen zu können.
Unternehmen und Selbstständige sind hier ebenso betroffen wie mögliche Auftragsverarbeiter. Das können ein bestimmtes Rechenzentrum oder auch ein Cloud-Anbieter sein. Mit dem Verfahrensverzeichnis soll belegt werden können, dass Unternehmen die Vorgaben der neuen Datenschutz-Grundverordnung in Bezug auf die Verarbeitung personenbezogener Daten einhalten.
Dies betrifft sowohl die automatisierte als auch die nicht-automatisierte Verarbeitung solcher Daten. Doch das Verzeichnis von Verarbeitungstätigkeiten dient bei weitem nicht nur dazu, die rechtssichere Arbeitsweise im Unternehmen darzulegen. Es handelt sich dabei auch um ein äußerst wichtiges Dokument, das sowohl der eigenen Sicherheit als auch der des gesamten Unternehmens dient.
Verarbeitungsverzeichnis: nur ein neuer Name?
Mit Inkrafttreten der Datenschutz-Grundverordnung wird auch das bisherige Bundesdatenschutzgesetz (BDSG alt) durch das Bundesdatenschutzgesetz (BDSG neu) ersetzt. Schon die alte Fassung sah eine Dokumentationspflicht in Sachen Datenverarbeitung vor. Durch die aktuellen Änderungen wird das bisher bekannte „Verfahrensverzeichnis“ zum „Verarbeitungsverzeichnis“.
Von nun an liegt es in der Pflicht aller Unternehmer, alle bisherigen Verzeichnisse zu einem einheitlichen Verarbeitungsverzeichnis zusammenzuführen – das gilt für externe wie interne Verfahrensverzeichnisse gleichermaßen. Sobald sie von den Datenschutzbehörden angefragt werden, müssen sie lückenlos zur Verfügung gestellt werden; niemand anders hat sonst ein Recht auf Einsichtnahme in das Verzeichnis. Neben dem neuen Verarbeitungsverzeichnis ist zusätzlich auch ein spezielles Verzeichnis zur Auftragsdatenverarbeitung zu führen und bei Bedarf vorzulegen.
Wer ist für das Datenschutz Verarbeitungsverzeichnis verantwortlich?
Verantwortlich für das Verarbeitungsverzeichnis sind alle Unternehmen selbst, die dazu verpflichtet sind, sowie die jeweiligen Auftragsverarbeiter. Muss ein Datenschutzbeauftragter ernannt werden, so fällt die Verantwortung für das Verarbeitungsverzeichnis nicht länger in dessen Aufgabenbereich; er ist hier lediglich beratend tätig. Bisher war es so, dass das Verfahrensverzeichnis BDSG (alt) zum Beispiel nicht für kleine Unternehmen vollumfänglich galt.
Heute gibt es für Unternehmen mit weniger als 250 Mitarbeitern eine gewisse Erleichterung in Form einer Sonderregelung. Laut Art. 30 Abs. 5 DSGVO können solche Firmen oder andere Einrichtungen von einem Verarbeitungsverzeichnis befreit werden, wenn folgende Kriterien zutreffen:
- Die Verarbeitung der personenbezogenen Daten birgt keinerlei Risiko für die Freiheit und die Rechte der Betroffenen.
- Wenn die Verarbeitung dieser Daten nur gelegentlich erfolgt.
- Wenn die Datenverarbeitung keine Daten betrifft wie z. B. gesundheitliche Daten, Daten in Verbindung mit Straftaten und/oder strafrechtlichen Verurteilungen.
Nur einer dieser Punkte reicht aus, um zur Führung eines Verarbeitungsverzeichnisses verpflichtet zu sein. Da in den meisten Unternehmen jedoch regelmäßige Gehaltsabrechnungen erstellt werden oder auch Angaben zu gesundheitlichen Themen oder Religion gespeichert werden, sind von dieser Sonderregelung wohl die wenigsten Unternehmen betroffen. Selbst bei „gelegentlicher“ Datenverarbeitung ist vermutlich das langfristige Führen eines Verarbeitungsverzeichnisses erforderlich – alleine aus dem Grund, nachweisen zu können, dass es sich wirklich nur um eine gelegentliche Verarbeitung handelt.
Wie erstelle ich ein Verarbeitungsverzeichnis?
Um Ihr eigenes internes Verarbeitungsverzeichnis zu erstellen, können zahlreiche Muster und Tools zu Hilfe genommen werden. Das Verarbeitungsverzeichnis, das den Vorgaben der DSGVO entsprechen muss, können Sie oder Ihr Datenschutzbeauftragter selbst erstellen oder sich Unterstützung bei einem Experten holen. Zu beachten ist dabei vor allem, dass das jetzige Verarbeitungsverzeichnis deutlich umfangreicher und präziser ausfallen muss als das bisherige Verfahrensverzeichnis des BDSG (alt).
Wie muss ein Verarbeitungsverzeichnis zum Datenschutz aufgebaut sein?
In Art. 30 DSGVO sind alle Anforderungen an Aufbau und Inhalt genau geregelt und beschrieben. Zwar sind sie denen des alten Verfahrensverzeichnisses nach BDSG recht ähnlich, es muss nun jedoch unter anderem auch differenziert werden, ob es sich um ein Verzeichnis handelt, dass die verantwortliche Stelle, also das Unternehmen, oder der Auftragsverarbeiter zu führen hat. Unternehmer und deren Datenschutzbeauftragte können sich für die Erstellung an Art. 30 Abs. 1 DSGVO orientieren. Bezüglich des Inhalts müssen in erster Linie alle wichtigen Informationen und Angaben in Bezug auf die Verarbeitung personenbezogener Daten gemacht werden. Dazu gehören zum Beispiel:
- Sinn und Zweck der Datenverarbeitung
- die unterschiedlichen Datenkategorien
- der betroffene Personenkreis
- die Empfänger der jeweiligen Daten
Die Anforderungen an Auftragsverarbeiter für das Führen eines Verarbeitungsverzeichnisses sind dagegen nicht ganz so umfangreich. Unabhängig davon, ob das Verzeichnis vom Unternehmen selbst oder einem Auftragsverarbeiter geführt wird, müssen alle Verarbeitungsverzeichnisse über eine möglichst genaue Beschreibung technischer und organisatorischer Maßnahmen zum Datenschutz verfügen. Damit geben Sie den Aufsichtsbehörden einen präzisen Überblick über all die Maßnahmen, die Sie in Sachen Datensicherheit unternehmen. Die Verarbeitungsverzeichnisse aller Verantwortlichen (Unternehmen und Auftragsverarbeiter) müssen entweder in elektronischer Form oder schriftlich geführt werden.
Verarbeitungsverzeichnis: die richtige Vorgehensweise
Von der Struktur her sollte das Verarbeitungsverzeichnis die Anforderungen wie in Art. 5 Abs. 2 DSGVO sowie in Art. 24 und 30 DSGVO beschrieben bestmöglich erfüllen. Orientieren Sie sich bei der Erstellung am besten an der Komplexität und dem Aufbau Ihres Unternehmens.
Um zu vermeiden, dass sich manche Inhalte doppeln oder mehrmals dokumentiert werden, können Sie dem Verarbeitungsverzeichnis entsprechende Verweise auf wichtige und erforderliche Dokumente hinzufügen. Dies können beispielsweise Ihr Datenschutzkonzept und/oder das entsprechende Löschkonzept sein. In den meisten Fällen werden verschiedene Personen an der Erstellung des Verzeichnisses arbeiten müssen, da hierfür einschlägige Kenntnisse über die unterschiedlichsten Prozesse und Geschäftsabläufe erforderlich sind.
Ihr Unternehmen hat kein Verarbeitungsverzeichnis?
In diesem Fall sollten Sie das schnellstmöglich nachholen. Können Sie bei Anfrage durch die Aufsichtsbehörde kein Verzeichnis über Verarbeitungstätigkeiten vorlegen oder ist dieses unvollständig, drohen höhere Bußgelder als es bisher der Fall war. Ein solches Verzeichnis ist keine neue Auflage der Datenschutzgrundverordnung, es haben sich zum 25.05.2018 lediglich die Anforderungen und die Höhe der drohenden Sanktionen geändert.