Verarbeitungsverzeichnis DSGVO Pflicht

Ist ein Verarbeitungsverzeichnis gem. DSGVO Pflicht?

 

Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (kurz DSGVO bzw. DS-GVO) für alle Unternehmen, und das ohne – Wenn und Aber.

Bestandteil dieser neuen Grundverordnung sind unter anderem erweiterte Dokumentationsanforderungen, die über die bisherigen Anforderungen hinausgehen. Die Rede ist hier vor allem von einem Verarbeitungsverzeichnis der Verarbeitungstätigkeiten. Dazu heißt es in Artikel 30 DSGVO, Abs. 5:

 

Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

 

Ganz neu ist der Dokumentationsnachweis aber nicht: Gemäß § 4g Absatz 2 BDSG mussten Unternehmen auch schon vor Inkrafttreten der DSGVO Verfahrensabläufe offenlegen. Diese werden ab dem 25. Mai 2018 nun durch ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigkeiten mit personenbezogenen Daten abgelöst. Die bisherigen Melderegister werden eingestellt.

 

Müssen somit kleine Unternehmer kein Verarbeitungsverzeichnis führen?

Jein! Lässt man die besonderen Datenkategorien nach Artikel  9 bzw. 10 außer Acht, muss jedes Unternehmen mit weniger als 250 Mitarbeitern ein Verarbeitungsverzeichnis führen. Denn sobald bspw. Datenverarbeitungsprogramme wie Warenwirtschaftsanwendungen, ERP-Systeme, CRM- oder Dokumentenmanagementsoftware eingesetzt werden, findet eine dauerhafte Verarbeitung statt. Kaum ein Unternehmer dürfte somit von der Dokumentationspflicht entbunden werden.

 

Was muss das Verarbeitungsverzeichnis beinhalten?

Verantwortliche Unternehmen und so genannte Auftragsverarbeiter müssen ab sofort ein Verzeichnis über alle Verarbeitungstätigkeiten führen. Auf diese Weise soll die Einhaltung der neuen Richtlinien gewährleistet werden. Nur wenn Sie Ihre eigenen Verarbeitungsprozesse kennen, können Sie die rechtmäßige Verarbeitung personenbezogener Daten auch sicherzustellen bzw. die geeigneten Maßnahmen zur Einhaltung des Datenschutzes treffen.

Besonders Augenmerk sollten Sie den technischen und organisatorischen Maßnahmen (kurz TOM) zur Einhaltung des Datenschutzes zukommen lassen, um die Vorgaben aus Artikel 32 Absatz 1 zu erfüllen.

Im Folgenden haben wir Ihnen eine ausführlliche Checkliste zur Erfassung der TOM Auftragsverarbeitung verlinkt. Diese kann als Grundlage zur Dokumentation und Organisation des Datenschutzes verwendet werden.

Um eine doppelte Dokumentationen zu vermeiden, kann auf diese gesonderte TOM-Dokumentation im Verarbeitungsverzeichnis verwiesen werden.

 

Wer darf das Verarbeitungsverzeichnis einsehen?

Das Verarbeitungsverzeichnis ist nach der neuen Regelung auf Anfrage der Datenschutzaufsichtsbehörde zur Verfügung zu stellen. Das bislang öffentlich von jedermann einsehbare Verzeichnis bei der Aufsichtsbehörde wird nicht mehr fortgeführt.

 

Gibt es Verzeichnisvorlagen?

Derzeit gibt es keine genaue Vorgabe, in welcher Form das neue Datenverzeichnis zu führen ist. Sie können wahlweise eine Software zur elektronischen Erfassung einsetzen oder auch einfach auf eine Excel-Liste zurückgreifen.

Zur Abhilfe hat der Digitalverband Deutschlands Bitkom eine umfangreiche Zusammenfassung zum Führen eines Verarbeitungsverzeichnisses erstellt, die Sie kostenlos als PDF herunterladen können. Darin enthalten sind Beispiele zum Verzeichnisaufbau sowie weiterführende Vorlagen für die Umsetzung des Datenschutzes in der Praxis.

Außerdem erhalten Sie von den Datenschutzbehörden des Bundes und der Länder (DSK) ebenfalls Mustervorlagen: Vorlage für Verantwortliche (VA) bzw. Vorlage für Auftragsverarbeiter (AV)

 

_
Quelle: DSGVO-Gesetz

Bildressource: Copyright Chase Chappell on Unsplash

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.