Das neue Verfahrens­verzeichnis

Die DSGVO bringt umfangreiche Dokumentations- und Nachweispflichten mit sich. So müssen Verantwortliche künftig nachweisen können, dass ihre Datenverarbeitungsvorgänge den Anforderungen der DSGVO entsprechen (sog. Accountability).

Ein wichtiger Baustein der Datenschutzdokumentation ist das Verzeichnis der Verarbeitungstätigkeiten, geregelt in Artikel 30 DSGVO. Dieses ist vergleichbar mit dem bereits aus dem Bundesdatenschutzgesetz bekannten Verfahrensverzeichnis.

Was ist neu?

Die Regelung in Artikel 30 DSGVO bringt jedoch einige Neuerungen mit sich.

Das Gesetz sieht zunächst vor, dass nur Unternehmen mit mindestens 250 Mitarbeitern ein Verzeichnis der Verarbeitungstätigkeiten führen müssen. Allerdings besteht diese Pflicht auch für kleinere Unternehmen, wenn

• durch die Datenverarbeitung ein Risiko für die betroffenen Personen entsteht (z.B. bei Scoring, umfangreicher Überwachung, hohe Gefahr für die betroffenen Personen bei unbefugter Offenlegung oder unbefugtem Zugang, Verwendung neuer Technologien), 
• die Datenverarbeitung nicht nur gelegentlich erfolgt,
• besondere Datenkategorien nach Artikel 9 Absatz 1 DSGVO (z.B. Gesundheitsdaten, biometrische Daten, Daten zu politischen oder weltanschaulichen Meinungen) oder Daten über strafrechtliche Verurteilungen nach Artikel 10 DSGVO verarbeitet werden.

Praktisch stehen damit auch viele kleine und mittlere Unternehmen in der Pflicht, das Verzeichnis zu führen.

Neu ist zudem, dass zukünftig nicht mehr zwischen dem internen und dem öffentlichen Verfahrensverzeichnis unterschieden wird. Es gibt nur noch ein internes Verfahrensverzeichnis. Dieses muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Schließlich kann in Zukunft bei Verstößen gegen die Anforderungen an das Verfahrensverzeichnis ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes verhängt werden, Artikel 83 Absatz 4 DSGVO.

Welche Inhaltlichen Anforderungen bestehen?

Inhaltlich muss das Verzeichnis zunächst allgemeine Angaben enthalten:

Name und Kontaktdaten

- des Verantwortlichen, 

- des Vertreters des Verantwortlichen (Inhaber, Geschäftsleitung, Leitung IT), 

- des EU-Vertreters des Verantwortlichen, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist,

- des Datenschutzbeauftragten.

Zudem muss es verfahrensübergreifende technische und organisatorische Angaben enthalten:

• Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten nach Artikel 32 Absatz 1 DSGVO,
• Löschkonzept

Schließlich sind spezifische Angaben zu den einzelnen Datenverarbeitungsverfahren zu machen:

• Bezeichnung des Verfahrens,
• Zwecke der Verarbeitung,
• Kategorien der betroffenen Personen,
• Kategorien der verarbeiteten personenbezogenen Daten,
• Kategorien von Empfängern, denen die Daten offengelegt wurden oder noch offen gelegt werden (intern und extern),
• tatsächliche oder geplante Empfänger in Drittländern oder internationalen Organisationen 

- Empfänger,

- Drittland oder Organisation, 

- geeignete Garantien zum Schutz der Daten und Betroffenenrechte im Drittland,

• Löschfristen,
• ggf. spezifische Schutzmaßnahmen.
  

Werden Daten im Auftrag verarbeitet, sind bei den allgemeinen Angaben neben den Daten zu den Verantwortlichen auch die Kontaktdaten des Auftragsverarbeiters aufzuführen.

Welche formellen Anforderungen bestehen?

• Das Verzeichnis der Verarbeitungstätigkeit ist schriftlich oder in elektronischem Format zu führen.