Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

Verarbeitungsübersicht nach DS-GVO: So klappt der Wechsel zum Verzeichnis von Verarbeitungstätigkeiten

0 Beurteilungen
Datenverarbeitung | Urheber: vege - Fotolia

Von Andreas Würtz,

Wenn Sie auf den Kalender schauen, wird nicht nur klar, dass schon wieder Frühling ist. Klar wird auch, dass der Zeitpunkt des Geltungsbeginns der Datenschutz- Grundverordnung (DS-GVO) immer näher rückt. Damit kommen auf Ihr Unternehmen und Sie als Datenschutzbeauftragten zahlreiche Herausforderungen zu. Eine wird sein: das Verzeichnis der Verarbeitungstätigkeiten. Das wirft Fragen auf. Kennen Sie sich aus?

Wo ist das Verzeichnis von Verarbeitungstätigkeiten geregelt?

Werfen Sie einen Blick in die DS-GVO. Die einschlägige Regelung zum Verzeichnis finden Sie in Art. 30 DS-GVO. Der Artikel trifft Festlegungen dazu, wer ein solches Verzeichnis zu führen hat und wer Adressat der Regelung ist. Dies können einerseits Verantwortliche sein. Nach Art. 4 Nr. 7 DSGVO handelt es sich dabei um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Darüber hinaus sind auch Auftragsverarbeiter Adressat des Art. 30 DS-GVO, sprich natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten (Art. 4 Nr. 8 DS-GVO).

Darüber hinaus ist geregelt, welchen Inhalt das Verzeichnis haben muss. Vieles dürfte Ihnen aus der bisher von § 4e Bundesdatenschutzgesetz (BDSG) umrissenen Verarbeitungsübersicht (manchmal auch als internes Verfahrensverzeichnis bezeichnet) bekannt sein.

Hinweis: Im geplanten BDSG-Nachfolgegesetz gibt es keine Festlegungen zu einem Verzeichnis von Verarbeitungstätigkeiten bzw. zur einer Verarbeitungsübersicht. Daher sind für Ihr Unternehmen und Sie ab dem 25.5.2018 nur die Regelungen in Art. 30 DS-GVO relevant.

Welche Inhalte muss ein Verzeichnis haben?

Ist Ihr Unternehmen als Verantwortlicher (Art. 4 Nr. 7 DS-GVO) oder als Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO) einzustufen, muss grundsätzlich ein Verzeichnis von Verarbeitungstätigkeiten mit dem von Art. 30 DS-GVO vorgegebenen Inhalt geführt werden. Dabei gibt es eine inhaltliche Unterscheidung zwischen dem Verzeichnis des Verantwortlichen und dem Verzeichnis des Auftragsverarbeiters. Die Einzelheiten finden Sie in der Übersicht auf Seite 3 dieser Ausgabe.

Gibt es Unterschiede zur bisherigen Verarbeitungsübersicht?

Wenn Sie die Regelungen des Art. 30 DSGVO mit den Festlegungen der §§ 4g Abs. 2, 4e BDSG vergleichen, stellen Sie schnell fest, dass sich die Anforderungen stark ähneln. Neu ist hingegen, dass auch Auragsverarbeiter ein Verzeichnis führen müssen und es in Art. 30 Abs. 5 DS-GVO konkrete Ausnahmen von der Verzeichnispflicht gibt.

Wurde bislang die Verarbeitungsübersicht gut geführt und gepflegt, dürfte der Wechsel zum Verzeichnis von Verarbeitungstätigkeiten mit relativ überschaubarem Aufwand zu machen sein. Insofern können Sie die bisherige Verarbeitungsübersicht fortführen und an die Anforderungen der DS-GVO anpassen.

Wann muss kein Verzeichnis geführt werden?

Grundsätzlich sind nach Art. 30 DS-GVO Verantwortlicher und Auftragsverarbeiter zur Führung von Verzeichnissen von Verarbeitungstätigkeiten verpflichtet. Von diesem Grundsatz gibt es eine Ausnahme. Diese finden Sie in Art. 30 Abs. 5 DS-GVO. Danach müssen Unternehmen oder Einrichtungen dann kein Verzeichnis führen, wenn sie weniger als 250 Mitarbeiter beschäftigen.

Von dieser Ausnahme gibt es allerdings wiederum eine Ausnahme, sodass die Pflicht zur Führung eines Verzeichnisses wieder auflebt. Nach derzeitigem Verständnis gilt: Liegt eine der folgenden Voraussetzungen vor, sprich eine Verarbeitung 

  • birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen oder
  • erfolgt nicht nur gelegentlich oder
  • betrifft besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO,

so muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden.

Wichtig: Wie die „Ausnahme von der Ausnahme“ zu deuten ist, ist umstritten. So ist unklar, ob die zuvor dargestellten Ausnahme-Ausnahme-Voraussetzungen alle vorliegen müssen (also kumulativ) oder ob das Vorliegen einer einzelnen Voraussetzung (sprich alternativ) ausreicht. Hier wird sich in den nächsten Monaten herausstellen müssen, welche Interpretation vor allem die deutschen Datenschutzaufsichtsbehörden vornehmen werden. Wollen auch kleinere Unternehmen auf Nummer sicher gehen, sollte im Zweifel ein Verzeichnis von Verarbeitungstätigkeiten geführt werden. Hier dürfte aufgrund der eher geringen Zahl der Verarbeitungen der Aufwand überschaubar bleiben. Im Hinblick auf die drohenden Bußgelder bei einem fehlenden Verzeichnis, dürfte dies durchaus eine lohnende Investition sein.

Wer muss das Verzeichnis erstellen und aktuell halten?

Grundsätzlich trifft die Verpflichtung den Verantwortlichen bzw. den Auftragsverarbeiter. Diese werden durch ihre jeweilige Leitungen vertreten. Zwar stehen die Leitungen in der datenschutzrechtlichen Verantwortung, dass ein Verzeichnis mit dem vorgeschriebenen Inhalt und in der vorgeschriebenen Art und Weise geführt wird. Das heißt jedoch nicht, dass man dieses Verzeichnis selbst führen muss. Die Aufgabe kann theoretisch an jeden Mitarbeiter im Unternehmen delegiert werden, der persönlich und fachlich befähigt ist, das Verzeichnis zu führen.

Kann die Aufgabe „Führen des Verzeichnisses“ dem Datenschutzbeauftragten übertragen werden?

Wenn Sie in Art. 39 DS-GVO schauen, finden Sie eine Übersicht der mindestens vom Datenschutzbeauftragten wahrzunehmenden Aufgaben. Die Aufgabe „Führen des Verzeichnisses von Verarbeitungstätigkeiten“ suchen Sie dort vergebens. Aber: Nicht nur am Wörtchen „mindestens“ erkennen Sie, dass auch weitere Aufgaben übertragen werden können. Dass der Datenschutzbeauftragte weitere Aufgaben und Pflichten übernehmen kann, ist ausdrücklich in Art. 38 Abs. 6 Satz 1 DS-GVO erwähnt.

Sollen weitere Aufgaben übertragen werden, muss der Verantwortliche oder der Auftragsverarbeiter sicherstellen, dass diese Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Weil es sich beim Verzeichnis von Verarbeitungstätigkeiten in erster Linie um eine Dokumentationsaufgabe handelt, dürfte ein solcher Interessenkonflikt nicht bestehen. Außerdem: Die Verantwortung für die Umsetzung und die Zulieferung der zutreffenden Verzeichnisinformationen liegt weiterhin beim Verantwortlichen bzw. dem Auftragsverarbeiter.

Was passiert, wenn man zum Geltungsbeginn der DS-GVO kein Verzeichnis hat?

Grundsätzlich kann dies dazu führen, dass der zur Führung eines Verzeichnisses verpflichtete Verantwortliche oder Auftragsverarbeiter ein Bußgeld riskiert. Der Bußgeldrahmen sollte nicht unterschätzt werden. So droht eine Geldbuße von bis zu 10 Mio. € oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.

Machen Sie auch Folgendes deutlich: Zwar dürfte auch in Zukunft die Datenschutzaufsichtsbehörde einen gewissen Spielraum bei der Frage haben, ob man ein Bußgeld wegen eines fehlenden Verzeichnisses verhängt. Allerdings soll das Bußgeld in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Das heißt: „Standardbußgelder“ dürfte es nicht geben. Je nach Einzelfall kann ein fehlendes Verzeichnis zu einem eher niedrigen oder hohen Bußgeld führen. Doch bei kleinen Unternehmen wird man auch ein niedriges Bußgeld eher nicht mehr aus der Portokasse zahlen können.

Kann das Bußgeld gegen den Datenschutzbeauftragten verhängt werden?

Grundsätzlich ist es so, dass der Verantwortliche oder der Auftragsverarbeiter für die Umsetzung und Einhaltung der Vorgaben der DS-GVO verantwortlich ist. Denkbar wäre jedoch, dass man im Wege des innerbetrieblichen Schadensausgleichs, den durch das Bußgeld entstandenen Schaden von Ihnen zurückverlangt. Allerdings wäre dann noch zu klären, inwieweit Sie vorsätzlich oder fahrlässig falsch beraten hätten. Je nach Verschuldensgrad haften Sie voll oder überhaupt nicht. Wichtig: Die Regeln zur beschränkten Arbeitnehmerhaftung gelten nur für Arbeitnehmer, sprich interne Datenschutzbeauftragte. Externe Datenschutzbeauftragte haften aufgrund des Dienstleistungsverhältnisses nach den allgemeinen zivilrechtlichen Regeln.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Ihr starker Berater für ein rechtssicheres Online-Marketing

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Jobs