DS-GVO & Das Verzeichnis von Verarbeitungstätigkeiten-Teil 1

Geschrieben von Christian Scholtz, veröffentlicht am 11.10.2017

Welchen Stellenwert das Verzeichnis von Verarbeitungstätigkeiten innerhalb der DS-GVO einnimmt und welche Unternehmen davon betroffen sind, erfahren Sie hier im ersten Teil dieser Reihe.

Datenschutzgrundverordnung DS-GVO Verzeichnis von VerarbeitungstätigkeitenDie Datenschutzgrundverordnung (DS-GVO)

Bisher existierte kein einheitliches europäisches Datenschutzrecht, sondern nur eine Datenschutz-Richtlinie die von den einzelnen Mitgliedstaaten der europäischen Union in nationale Gesetze umgesetzt werden musste. In Deutschland fand die Datenschutz-Richtlinie Einzug in das Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG). Mit der Datenschutzgrundverordnung werden erstmals europaweit einheitliche Standards zum gesetzeskonformen Umgang mit personenbezogenen Daten geschaffen. Durch diese Harmonisierung erhofft sich die EU-Kommission einen einheitlichen Rahmen der den heutigen digitalen Anforderungen besser gerecht wird.

Zu diesem Zweck ist die Datenschutzgrundverordnung bereits am 24. Mai 2016 nach ihrer Veröffentlichung in Kraft getreten und gilt nach Ablauf einer zweijährigen Übergangsphase ab dem 25. Mai 2018 in allen Mitgliedstaaten der europäischen Union. Unternehmen müssen sich daher auf neue rechtliche Anforderungen einstellen und Anpassungen bei bestehenden Prozesse vornehmen. Hierbei nimmt das Verfahrensverzeichnis innerhalb der Vorschriften des BDSG, als auch in der DS-GVO eine zentrale Rolle ein.

Verfahrensverzeichnis nach § 4g BDSG

Mit § 4g Abs. 2 BDSG hat die verantwortliche Stelle die Pflicht, dem Beauftragten für den Datenschutz eine Übersicht zu den einzelnen Verarbeitungstätigkeiten von personenbezogenen Daten zur Verfügung zu stellen. Die Inhalte und Angaben ergeben sich dabei insbesondere aus § 4e BDSG. Die Dokumentation über alle automatisierten Verarbeitungsschritte von personenbezogenen Daten im Unternehmen soll dem Datenschutzbeauftragten die Arbeit erleichtern und eine einfache Überwachung ermöglichen. In der Praxis obliegt die Erstellung und Führung eines solchen Verfahrensverzeichnisses jedoch oft dem Datenschutzbeauftragten. Dieser hat gem. § 4g Abs. 2 BDSG die Pflicht, den öffentlichen Teil eines solchen Verzeichnisses jedermann zur Verfügung zu stellen (daher auch „Verzeichnis für Jedermann“ genannt). Ein solches Verzeichnis muss nicht nur der Öffentlichkeit zugänglich gemacht werden, auch die Aufsichtsbehörde kann gem. § 38 Abs. 4 BDSG die Vorlage eines solches Verzeichnisses von der verantwortlichen Stelle verlangen.

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO

Im Zuge der kommenden DS-GVO haben sich neben den bekannten Grundsätzen der Datenverarbeitung, wie etwa der Datensparsamkeit oder der Datenminimierung, auch weitere Prinzipien etabliert. Eine der wesentlichen zentralen Grundsätze ist die Rechenschaftspflicht der verantwortlichen Stelle. Anders als in der DS-GVO gibt die aktuelle Rechtslage des BDSG vor, dass sich die verantwortliche Stelle bei der Verarbeitung personenbezogener Daten an das geltende Recht halten muss. Sieht die Aufsichtsbehörde in dieser Verarbeitung einen Verstoß gegen datenschutzrechtliche Vorschriften, so liegt die Beweislast nicht etwa bei der verantwortlichen Stelle, sondern bei der zuständigen Aufsichtsbehörde. Diese muss bei Verdacht nachweisen können, dass die verantwortliche Stelle gegen eine gesetzliche Vorschrift verstoßen hat.

Mit dem neuen Grundsatz der Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO hat sich diese Vorgehensweise im Wesentlichen geändert. Der Art. 5 Abs. 2 DS-GVO fordert nunmehr, dass die verantwortliche Stelle die Einhaltung der Gesetze zur Datensicherheit nachweisen muss. Es kommt zu einer sogenannten Beweislastumkehr. Aus dieser ergibt sich für die verantwortliche Stelle eine gesteigerte Rechenschafts- und Dokumentationspflicht. Um diese notwendigen Nachweise für die Einhaltung geltender Datenschutzvorschriften zu erbringen, kann ein Verzeichnis von Verarbeitungstätigkeiten ( alt: Verfahrensverzeichnis) i.S.d. Art. 30 DS-GVO für Unternehmen hilfreich sein. Nicht zuletzt wird der Stellenwert eines solchen Verzeichnisses durch den Erwägungsgrund 82 der DS-GVO hervorgehoben. Demnach sollte der Verantwortliche zur Einhaltung der Datenschutzgrundverordnung ein Verzeichnis von Verarbeitungstätigkeiten führen und bei Anfrage der Aufsichtsbehörden unverzüglich bereithalten.

Notwendigkeit eines Verzeichnisses von Verarbeitungstätigkeiten

Schaut man in die Vorschriften des Art. 30 Abs. 5 DS-GVO lässt sich jedoch feststellen, dass ein solches Verzeichnis alles andere als eine fakultative Maßnahme zur Datensicherheit ist. Denn für Unternehmen besteht grundsätzlich die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wenn:

  • die Verarbeitung von personenbezogenen Daten nicht nur gelegentlich erfolgt
  • mehr als 250 Mitarbeiter im Unternehmen beschäftigt werden
  • die Verarbeitung von personenbezogenen Daten ein erhöhtes Risiko für die Rechte und Freiheiten des Betroffenen bedeutet
  • die Verarbeitung besonderer Datenkategorien gem. Art 9 DS-GVO erfolgt.

Hinsichtlich dieser Kriterien lässt sich relativ leicht feststellen, dass eine Pflicht zur Führung eines Verzeichnisses nach Art 30 DS-GVO wohl für die allermeisten Unternehmen in Betracht kommt. Das wird einerseits durch das Ausschlusskriterium der „gelegentlichen Datenverarbeitung“ mehr als deutlich, denn nahezu jedes Unternehmen wird personenbezogene Daten nicht nur „gelegentlich“, sondern regelmäßig verarbeiten. Auf der anderen Seite liegt eine Verarbeitung besonderer Datenkategorien i.S.d. Art. 9 DS-GVO bereits immer dann vor, wenn der Arbeitgeber beispielsweise die Religionszugehörigkeit seiner Mitarbeiter aufgrund steuerrechtlicher Vorgaben abfragen muss.

Fazit

Mit Blick auf die gesetzlichen Anforderungen der DS-GVO kann festgestellt werden, dass sich diese am Aufbau und an der Systematik des aktuellen BDSG orientiert. Dennoch hält die Datenschutzgrundverordnung neue Grundsätze für die Verarbeitung personenbezogener Daten bereit. Das trifft insbesondere auf die Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO zu. Für Unternehmen bedeutet dieser neue Grundsatz vor allem eine zunehmende Dokumentationspflicht, welche mit einem gut geführten Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DS-GVO erfüllt werden kann.

Wie ein Verzeichnis von Verarbeitungstätigkeiten aufgebaut ist und was bei der Erstellung zu beachten ist, erfahren Sie im zweiten Teil dieser Reihe.

 

Falls Sie Fragen oder Hilfe bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten haben freuen wir uns über Ihre Kontaktaufnahme.

030 / 23 57 14 70