Verzeichnis von Verarbeitungstätigkeiten
Art. 30 DS-GVO verpflichtet die Verantwortlichen ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen. Dieses enthält die wesentlichen Angaben zum Verantwortlichen, der Art der verarbeiteten Daten, etwaigen Datenempfängern, Löschfristen, und Sicherheitsmaßnahmen.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) hat im Rahmen ihrer Kurzpapiere zum vorläufigen Verständnis der Datenschutz-Grundverordnung das Kurzpapier Nr. 1 "Verzeichnis der Verarbeitungstätigkeiten" mit Erläuterungen zur Führung des Verzeichnisses veröffentlicht. Weitere Informationen dazu enthalten die "Hinweise zum Verarbeitungsverzeichnis" des Düsseldorfer Kreises.
Führen des Verzeichnisses
Das bisherige Verfahrensverzeichnis wird mit Art. 30 DS-GVO durch ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten abgelöst. Dieses betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) sowie jeder Auftragsverarbeiter zur Erstellung und Führung eines entsprechenden Verzeichnisses verpflichtet.
Stellen mit weniger als 250 Mitarbeitern
Die Pflicht zur Führung des Verzeichnisses trifft generell öffentliche Stellen sowie Unternehmen und Einrichtungen mit mehr als 250 Mitarbeitern. Unterhalb dieser Schwelle muss ein Verzeichnis der Verarbeitungstätigkeiten geführt werden, wenn der Verantwortliche bzw. Auftragsverarbeiter Verarbeitungen personenbezogener Daten durchführt,
- die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z. B. Scoring und Videoüberwachung) oder
- die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
- die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen.
Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht also bereits dann, wenn mindestens eine der genannten Fallgruppen erfüllt ist.
Kein öffentliches Verzeichnis und keine Meldepflicht
Im Gegensatz zur bisherigen jedermann offenstehenden Möglichkeit in das Verfahrensverzeichnis Einsicht zu nehmen, ist für das Verzeichnis der Verarbeitungstätigkeiten nach DS-GVO ein solcher Anspruch nicht vorgesehen. Entsprechende Auskunftsbegehren sind für öffentliche Stellen nach dem Transparenzgesetz Rheinland-Pfalz zu behandeln. Entfallen ist weiterhin die Pflicht, die eingesetzten Verfahren der Aufsichtsbehörde zu melden. Das Verzeichnis ist jedoch der Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen (siehe Art. 30 Abs. 4 DS-GVO und ErwGr. 82).
Bedeutung des Verzeichnisses
Das Verzeichnis von Verarbeitungstätigkeiten nach der DS-GVO spielt eine wesentliche Rolle, um datenschutzrechtliche Vorgaben einhalten zu können. Nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherstellen zu können.
Inhalt des Verzeichnisses
Das Verzeichnis muss folgende Angaben enthalten
- Name und Kontaktdaten des/der Verantwortlichen und deren Vertreter
- Name und Kontaktdaten des/der Datenschutzbeauftragten der verantwortlichen Stelle
- die Verarbeitungszwecke
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern der personenbezogenen Daten
- Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen
- Löschungsfristen für die verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
(zu den Angaben im Einzelnen siehe Art. 30 Abs. 1 DS-GVO)
Etwaige Auftragsverarbeiter müssen ebenfalls ein Verzeichnis zu allen Kategorien von ihnen im Auftrag durchgeführten Verarbeitungstätigkeiten führen. Die darin aufzunehmenden Angaben gleichen weitgehend den für die Verantwortlichen genannten (zu den Angaben im Einzelnen siehe Art. 30 Abs. 2 DS-GVO)
Rechtsfolgen bei Verstoß
Verstöße durch eine fehlende oder nicht voll-ständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde können nach Art. 83 Abs. 4 Buchst. a DS-GVO mit einem Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen von bis zu 2 Prozent des Jahresumsatzes sanktioniert werden.
Weitere Informationen
Kurzpapier der Datenschutzkonferenz:
Kurzpapier Nr. 1 "Verzeichnis der Verarbeitungstätigkeiten"
Hinweise zum Verarbeitungverzeichnis:
- Hinweise zum Verzeichnis der Verarbeitungstätigkeiten
- Muster 1: Verarbeitungsverzeichnis des Verantwortlichen
- Muster 2: Verarbeitungsverzeichnis des Auftragsverarbeiters
- Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO des LfDI Rheinland-Pfalz (Derzeit in Überarbeitung)