Gratis-Download

Das aktuelle Gesetz BSDG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

Verarbeitungsübersicht nach DS-GVO: Es ändert sich eine Menge

4 1 Beurteilungen
Verarbeitungsübersicht nach DS-GVO [Urheber: putilov_denis | Fotolia]

Erstellt:

Für manchen Datenschutzbeauftragten ist sie die Hassliebe des Datenschutzrechts schlechthin: die Verarbeitungsübersicht (häufig auch als internes Verfahrensverzeichnis bezeichnet).

Gerade wenn der Datenschutzbeauftragte die Erstellung und Aktualisierung der Übersicht übernommen hat, musste er sich häufig mit den damit einhergehenden Problemen herumschlagen.

So beispielsweise, dass den Verantwortlichen im Unternehmen oft nur schwer zu vermitteln war, warum es einer solchen Verarbeitungsübersicht überhaupt bedarf. Mancher setzt daher große Hoffnungen in die kommende Datenschutz- Grundverordnung (DS-GVO). Zwar wird einiges anders, für einige auch einfacher, doch auch in Zukunft geht es nicht ohne Übersicht.

So klappt der Wechsel zur Verarbeitungsübersicht nach der DS-GVO

Als Datenschutzbeauftragter können Sie manche Dinge im Zusammenhang mit der kommenden DS-GVO jetzt schon in die Wege leiten. Dies ist vor allem bei Anforderungen zielführend, bei denen es eher unwahrscheinlich ist, dass sich im Hinblick auf Interpretation oder nationale Sonderbestimmungen noch viel tun wird. Besteht bereits eine Übersicht in Ihrem Unternehmen, sollten Sie schon jetzt prüfen, inwieweit Aktualisierungs- und Anpassungsbedarf im Hinblick auf die DS-GVO besteht. Eine ergänzende Spalte in einer Übersicht kann bereits ausreichen.

Verarbeitungsübersicht sorgt auch heute für Durchblick

Das Bundesdatenschutzgesetz (BDSG) sieht in § 4g Abs. 1 Satz 1 vor, dass Sie als Datenschutzbeauftragter auf die Einhaltung der Datenschutzbestimmungen in Ihrem Unternehmen hinwirken.

Dazu gehört es gemäß § 4g Abs. 1 Satz 4 Nr. 1 BDSG auch, zu überwachen, dass die Datenverarbeitungsprogramme in Ihrem Unternehmen ordnungsgemäß eingesetzt werden. Voraussetzung dafür ist, dass Sie wissen, welche automatisierten Verfahren auf welche Weise, zur Verarbeitung von welchen personenbezogenen Daten verwendet werden. Um hier den notwendigen Durchblick zu bekommen, hilft eine Verarbeitungsübersicht, in der die eingesetzten Verfahren zu automatisierten Verarbeitungen zusammengestellt und beschrieben werden.

BDSG sieht grundsätzlich Lieferpflicht des Unternehmens vor

§ 4 g Abs. 2 Satz 1 BDSG sieht vor, dass die verantwortliche Stelle, sprich das Unternehmen, Ihnen eine Übersicht der Verfahren zur Verfügung stellt, mit denen personenbezogene Daten in Ihrem Unternehmen automatisiert verarbeitet werden. In der Realität sieht es jedoch oft so aus, dass der Datenschutzbeauftragte die Pflege der Übersicht mehr oder weniger freiwillig übernimmt.

Anzeige

Verarbeitungsübersicht: So läuft es ab Ende Mai 2018

Auch mit der am 25.5.2018 verbindlich werdenden DS-GVO wird der Aufwand, eine „Übersicht der Verarbeitungstätigkeiten“ zu führen, in vielen Fällen nicht entfallen. Nach Art. 30 Abs. 1 DSGVO muss nämlich der Verantwortliche (heute: die verantwortliche Stelle, sprich z. B. Ihr Unternehmen) ein Verzeichnis aller Verarbeitungstätigkeiten führen, die dessen Zuständigkeit unterliegen. Ähnlich zu § 4e BDSG müssen in diesem Verzeichnis verschiedene Angaben zu den Verarbeitungen gemacht werden. Das Verzeichnis der Verarbeitungstätigkeiten muss schriftlich oder in einem elektronischen Format geführt (Art. 30 Abs. 3 DS-GVO) und auf Anfrage der Datenschutzaufsichtsbehörde zur Verfügung gestellt werden (Art. 30 Abs. 4 DS-GVO).

Auch Auftragsverarbeiter müssen Verarbeitungsübersicht führen

Bislang war es so, dass nur die für die Datenverarbeitung verantwortliche Stelle eine Verarbeitungsübersicht führen musste. Auftragsdatenverarbeiter konnten argumentieren, dass sie keine entsprechende Pflicht bei einer Tätigkeit im Rahmen des § 11 BDSG trifft. Mit der DS-GVO sieht die Sache anders aus. Nach Art. 30 Abs. 2 DS-GVO müssen auch Auftragsverarbeiter (nach derzeitigem Sprachgebrauch: Auftragnehmer) bestimmte Informationen vorhalten. Dazu zählen etwa Informationen zum Verantwortlichen, Kategorien von Verarbeitungen und eventuelle Drittstaatentransfers. Hinzu kommen auch die technischen und organisatorischen Maßnahmen nach § 32 Abs. 1 DS-GVO.

Entwarnung für kleine Unternehmen? Jein!

Prinzipiell können kleinere Unternehmen, sprich Verantwortliche und Auftragsverarbeiter, aufatmen. Die Pflicht zur Führung der Verzeichnisse entfällt unter bestimmten Voraussetzungen. So darf eine Grenze von 250 Mitarbeitern nicht erreicht werden (vgl. Art. 30 Abs. 5 DS-GVO). Auf diese Grenze kommt es allerdings in bestimmten Fällen nicht an. Gibt es etwa bei der Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen, erfolgt die Verarbeitung nicht nur gelegentlich, oder werden besonderen Datenkategorien nach Art. 9 Abs. 1 DS-GVO (z. B. Gesundheitsdaten) verarbeitet, muss ein Verzeichnis geführt werden.

DS-GVO-Anforderung unbedingt ernst nehmen

Dass eine Aktualisierung einer bestehenden Verarbeitungsübersicht unumgänglich ist, können Sie leicht vermitteln. Zeigen Sie einfach auf, welche Bußgelder zukünftig drohen. War ein Verstoß gegen die Pflicht zur Führung des Verfahrensverzeichnisses nach § 4e BDSG grundsätzlich nicht mit einem Bußgeld bedroht, so sieht die Sache zukünftig ganz anders aus. Nach Art. 83 Abs. 4 lit. a DS-GVO droht ein Bußgeld von bis zu 10 Mio. € oder 2 % des gesamten weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres.

Wichtig: Auch nach Art. 30 DS-GVO sind Angaben zum Verantwortlichen (heute: verantwortliche Stelle) erforderlich. Diese brauchen Sie jedoch nicht bei den zuständigen Mitarbeitern abfragen, die Sie bei der Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten unterstützen. Bitte bedenken Sie: In Zukunft kann dieser Punkt ausführlicher werden. Gerade in Unternehmensgruppen und Konzernen kann es mehrere Verantwortliche für eine Datenverarbeitung geben (vgl. Art. 26 DS-GVO).

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Ihr starker Berater für ein rechtssicheres Online-Marketing

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Jobs