aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61b

Verfahrensverzeichnis vs. Verzeichnis der Verarbeitungen

[Update]

Achtung, dieser Artikel entstand noch bevor die DSGVO verabschiedet wurde und berücksichtigt weder das DSAnpUG-EU, noch die letzten Änderungen an der DSGVO bis zu ihrem Inkrafttreten am 25.05.2016. Daher sind die hier gegebenen Informationen nicht mehr aktuell.

Einen aktuellen Artikel zum Verzeichnis von Verarbeitungstätikeiten finden Sie hier.

[Ende Update]

Aufmerksame Leser unserer Artikel werden vielleicht denken: „Was? Schon wieder ein Artikel zum Verfahrensverzeichnis?“ und damit nicht ganz Unrecht haben. Schließlich wurde bereits in diesem Artikel ausführlich zum Thema „öffentliches Verfahrensverzeichnis“ berichtet. Allerdings gibt es zum Thema Verfahrensübersicht noch einiges mehr zu sagen.

Begriffe

Zuerst vielleicht eine kurze Begriffsklärung. Es muss unterschieden werden zwischen dem öffentlichen Verfahrensverzeichnis und dem internen Verfahrensverzeichnis (= Verfahrensübersicht), wie wir sie aus dem BDSG kennen, und der Verarbeitungsübersicht, welche mit der neuen EU-Datenschutzgrundverordnung (DSGVO) eingeführt wird.

Die bisherigen Dokumentationen aus dem BDSG

Das öffentliche Verfahrensverzeichnis wurde bereits an anderer Stelle behandelt. Wichtig ist vielleicht, noch einmal zu wiederholen: Es ist wirklich Jedermann auf Anfrage zur Verfügung zu stellen. Ohne Ausnahme. Es gibt keine Möglichkeit, die Herausgabe des öffentlichen Verfahrensverzeichnisses zu verweigern.

Das interne Verfahrensverzeichnis beinhaltet alle Informationen, die auch im öffentlichen Verfahrensverzeichnis enthalten sein müssen, ergänzt um [Zitat § 4e Nr. 9 BDSG] „eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 [BDSG] zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind“. Dieser Teil enthält neben einer Prozessbeschreibung auch die getroffenen technischen und organisatorischen Maßnahmen (TOM).

Interessanter Weise schreibt das BDSG in § 4g Abs. 2 vor, dass das interne Verfahrensverzeichnis nicht etwa vom Datenschutzbeauftragten selbst zu erstellen ist, sondern es ist ihm von der verantwortlichen Stelle zur Verfügung zu stellen. Gleiches gilt für die Aufstellung der zugriffsberechtigten Personen. Die Realität sieht in der Regel allerdings anders aus. Dass interne Verfahrensverzeichnis existiert meist nur dann, wenn der Datenschutzbeauftragte diese Informationen bei den zahlreichen Wissensträgern im Unternehmen zusammengetragen und dokumentiert hat.

Das interne Verfahrensverzeichnis dient mit zwei Ausnahmen ausschließlich internen Zwecken. Die erste Ausnahme ist die Meldepflicht: Ist kein Datenschutzbeauftragter beschäftigt, so besteht unter Umständen eine Meldepflicht. In einem solchen Fall, sind die Angaben des internene Verfahrensverzeichnisses der jeweils zuständigen Aufsichtsbehörde zu melden. Die zweite Ausnahme betrifft ebenfalls die Aufsichtsbehörden. Auf deren Anforderung ist ihnen nämlich das interne Verfahrensverzeichnis vorzulegen. Die rechtliche Grundlage hierfür findet sich in § 38 BDSG. Die dort beschriebenen Kontrollen durch die Aufsichtsbehörde dürfen auch ohne Anlass erfolgen.

Zukunft: Das Verzeichnis der Verarbeitungen

Mit der DSGVO werden die aus dem BDSG bekannten Verfahrensverzeichnisse künftig einheitlich durch das sog. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ersetzt. Inhaltlich wird sich gegenüber den bekannten Dokumentationen nicht viel ändern: Zusätzlich zur Unternehmensleitung ist nun auch ein evtl. bestellter Datenschutzbeauftragter inkl. Kontaktdaten aufzuführen. Weitere inhaltliche Änderungen gibt es nicht.

Interessanter sind die folgenden drei Aspekte:

  1. Das Verzeichnis der Verarbeitungen muss nur noch der Aufsichtsbehörde zur Verfügung gestellt werden. Anders: Mit Inkrafttreten der DSGVO wird es kein öffentliches Verfahrensverzeichnis mit der Pflicht zur Heruasgabe an Jedermann mehr geben.
  2. Die Pflicht, überhaupt ein Verzeichnis der Verarbeitungen zu führen, entfällt für Unternehmen, die weniger als 250 Mitarbeiter haben. Kleinere Unternehmen müssen das Verzeichnis nur führen, wenn die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder wenn Daten zu strafrechtlichen Verurteilungen oder Straftaten verarbeitet werden. Die Beurteilung, wann eine Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, dürfte speziell in der Anfangsphase des Inkrafttretens der DSGVO noch zu einigen Diskussionen mit den Aufsichtsbehörden führen.
  3. Zukünftig müssen auch Auftragsverarbeiter ein Verzeichnis der Verarbeitungen führen, sofern die Pflicht nicht aufgrund der Größe des Unternehmens entfällt. Der Umfang dieses Verzeichnisses der Verarbeitungen weicht etwas von dem für Verantwortliche ab. Es enthält zusätzlich auch die Information, für welche Verantwortliche (also für welche Auftraggeber) die Verarbeitungen durchgeführt werden. Dafür kann die Beschreibung des Zwecks und die Löschungsfristen entfallen.

Fazit

Auch mit der DSGVO wird es also die bekannten Dokumentationspflichten in Form von Verfahrensverzeichnissen geben. Lediglich die Bezeichnung hat sich geändert und nicht mehr jeder ist zur Erstellung dieser Dokumente verpflichtet. Dafür sind nun auch die Auftragsdatenverarbeiter betroffen, umfangreiche Verzeichnisse zu führen. Positiv bleibt hervorzuheben, dass das eigentlich völlig sinnlose öffentliche Verfahrensverzeichnis mit der DSGVO abgeschafft wird.

Jetzt bleiben zwei Jahre, die speziell von Auftragsverarbeitern genutzt werden müssen, ihrer neuen Pflicht zur Führung von Verzeichnissen der Verarbeitungen nachzukommen. Benötigen Sie Unterstützung? Melden Sie sich bei uns und wir prüfen, ob Sie von dieser Pflicht betroffen sind und wie Sie ihr nachkommen können.