Übersicht Verarbeitungstätigkeiten

Die ab dem 25.05.2018 geltenden Veränderungen der Datenschutz-Grundverordnung (DSGVO) betreffen vor allem die Dokumentationspflichten der Verantwortlichen. Sie müssen sich künftig auf höhere Anforderungen im Datenschutz einstellen. Hier bildet der Accountability-Ansatz den Schwerpunkt.

Zunächst kann festgehalten werden, dass sich die Übersicht der Verarbeitungstätigkeiten an dem Verfahrensverzeichnis bzw. der Verarbeitungsübersicht orientiert, die bereits aus §§ 4g Abs. 2, 4e Bundesdatenschutzgesetz (BDSG) bekannt ist. Es geht um die Dokumentation und Übersicht von Verfahren, bei welchen die Verarbeitung personenbezogener Daten Gegenstand ist. Die Übersicht von Verarbeitungstätigkeiten löst also das ursprüngliche Verfahrensverzeichnis ab- womit einige Änderungen einhergehen.

Übersicht ist Pflicht

Das öffentliche Verfahrensverzeichnis nach dem BDSG war für jedermann einsehbar, das interne hingegen nicht. Künftig ist die Übersicht der Verarbeitungstätigkeiten nur noch für die Aufsichtsbehörden einsehbar. Eine Unterscheidung in öffentliche und interne Verzeichnisse erfolgt dann nicht mehr.

Abhängig von den jeweiligen Voraussetzungen ist die Pflicht ein Verzeichnis für die relevanten Verarbeitungen bereits bekannt. Dennoch waren Verstöße gegen diese Verpflichtung bislang nicht bußgeldbewehrt.

Ab Geltung der DSGVO sind Verantwortliche dazu verpflichtet, den Aufsichtsbehörden ihre Verarbeitungsverzeichnisse jederzeit und vollständig vorlegen zu können. Ist dies nicht der Fall, drohen Bußgelder entsprechend Art. 83 Abs. 4a DSGVO. Dieser bewegt sich laut Gesetzestext im Rahmen von 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes. Unabhängig von der noch abzuwartenden Bußgeldpraxis ist in jedem Fall eine entsprechende Vorsorge ratsam.

Unternehmensgröße < 250 Mitarbeiter

Vor dem Hintergrund der Verordnung ist es interessant, dass unter gewissen Umständen eine Pflicht zur Führung von Übersichten der Verarbeitungstätigkeit für Unternehmen

entfällt, die weniger als 250 Mitarbeiter beschäftigen. Dies gilt allerdings nicht, wenn die vorgenommene Verarbeitung der personenbezogenen Daten ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, oder aber solche Daten verarbeitet werden, die strafrechtliche Verurteilungen oder Straftaten des Betroffenen beinhalten. Diese Befreiung entfällt auch dann, wenn andere, die besonderen Datenkategorien des Art. 9 DSGVO (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten, genetische oder biometrische Daten, etc.) verarbeitet werden. Hier gilt darüber hinaus auch die Ausnahme „die Verarbeitung erfolgt nicht nur gelegentlich“, welche als Ausnahme von der Ausnahme die meisten Unternehmen in vielen Fällen wieder zur Erstellung einer Übersicht über die Verarbeitungstätigkeiten verpflichten wird.

Problematisch wird in diesem Zusammenhang die Auslegung des Gesetzestextes sein, wann die Verarbeitung „nur gelegentlich“ ist und darüber hinaus kann angenommen werden, dass der Großteil der Unternehmen mit weniger als 250 Mitarbeitern ebenfalls regelmäßige Datenverarbeitungsvorgänge aufweist. Dies bedeutet voraussichtlich, dass vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten sein und die meisten Unternehmen in vielen Fällen wieder zur Erstellung einer Übersicht über die Verarbeitungstätigkeiten verpflichtet werden. 

Inhalt der Übersicht

Art. 30 Abs. 1 S. 2 DSGVO konkretisiert die Mindestinhalte, die der Verordnungsgeber als erforderlich ansieht. Hierdurch soll der Dokumentationszweck bestmöglich erfüllt werden. Hierzu gehören neben den Identifikationsdaten der Verarbeiter (Art. 30 Abs. 1 S. 2 lit. a DSGVO), die Zweck der Verarbeitung (Art. 30 Abs. 1 S. 2 lit. b DSGVO) auch die Kategorien der betroffenen Personen und Empfänger (Art. 30 Abs. 1 S. 2 lit. c und lit. d DSGVO). Um eine eindeutige Identifikation der Verantwortlichen und ihrer Ansprechpartner zu ermöglichen, muss das Verzeichnis Name und Kontaktdaten des Verantwortlichen, seines Vertreters sowie eines etwaigen Datenschutzbeauftragten enthalten. Diese Angaben sollen es den Betroffenen erleichtern, die datenverarbeitende Stelle zweifelsfrei ausfindig zu machen, um hier u. a. ihre Betroffenenrechte geltend zu machen. Eine Neuerung der DSGVO ist es, dass nun auch diejenigen, die im Auftrag der verantwortlichen Stelle Daten verarbeiten (Auftragsverarbeiter), Verzeichnisse führen müssen (Art. 30 Abs. 2 DSGVO).

To Do

Unternehmen, die bereits ein Verarbeitungstätigkeiten Verzeichnis nach §§ 4e und 4g BDSG in der Vergangenheit erstellt haben, verfügen über eine gute Grundlage für die Übersicht der Verarbeitungstätigkeiten. Ihnen wird die Umstellung leichter fallen, als Unternehmen, die zunächst den Status Quo ermitteln müssen. Wichtig ist zunächst zu prüfen, inwiefern die bisherigen Verfahrensverzeichnisse den inhaltlichen Anforderungen des Art. 30 DSGVO entsprechen bzw. welche Stellen noch ergänzt werden müssen.

Bei fehlender Datenschutzdokumentation ist zunächst zu ermitteln, in welchen Fällen die Verarbeitung personenbezogener Daten von z. B. Kunden, Lieferanten oder Beschäftigten erfolgt. Ein sinnvoller Schritt ist zunächst alle in der Systemlandschaft des Unternehmens eingesetzten Anwendungen und Tools aufzulisten, durch die personenbezogene Daten gespeichert werden. Auf diese Weise können auch Datenwege innerhalb des Unternehmens festgestellt werden. Zwecks Übersichtlichkeit kann die Übersicht der Verarbeitungstätigkeiten aus mehreren Verzeichnissen für verschiedene Verarbeitungsvorgänge dienen, hier kommen z. B. Zeiterfassungssysteme, Personalverwaltung oder CRM-Systeme in Betracht.

Aufgrund des anstehenden Inkrafttretens der DSGVO ist es unerlässlich diese Thematik im eigenen Unternehmen anzugehen und die erforderlichen Schritte zu ergreifen.

Haben Sie Fragen zum Thema Verarbeitungstätigkeiten? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M. Leistung: Anwaltliche Beratung

Tags: , , , , , , , , , ,

Comments are closed.
Kontaktieren Sie uns

1. Unternehmensangaben

Name Firma *
Name Ansprechpartner
Straße, Hausnummer
PLZ
Ort *
Telefonnummer
E-Mail *
Branche AutomotiveBanken / FinanzdienstleistungenBildungseinrichtungenDienstleisterEnergieGemeinnützige OrganisationenGesundheits- und SozialwesenHandelHotelsIngenieurbürosIT-DienstleisterKirchliche EinrichtungenKommunale Unternehmen (privatrechtliche GmbH)Körperschaften des öffentlichen RechtsMarketingagenturenMaschinen- / AnlagenbauPharmaforschungRechtsanwaltskanzleienSteuerkanzleienTextilindustrieVereineVerlageVersicherungsmakler
Tätigkeitsbereich B2BB2C

2. Standorte und Mitarbeiter

Anzahl Beschäftigte
Anzahl der Standorte

3. Allgemeine Fragen

Betriebsrat JaNein
Konzernzugehörigkeit JaNein
Videoüberwachung JaNein
Datenübermittlung in Drittstaaten JaNein
ISO 9001 Zertifikat JaNein
Datenschutzkonzept JaNein
Anzahl der Applikationen
Anzahl der Verträge zur Auftragsverarbeitung

4. Leistungsauswahl

Leistungen * externer DatenschutzbeauftragterDatenschutz AuditRechtsberatungSonstiges:
* Pflichtfeld
X
Angebotsanfrage