Verzeichnis von Verarbeitungstätigkeiten

DSGVO: Das Verzeichnis der Verarbeitungstätigkeiten.

Was ist das Verzeichnis der Verarbeitungstätigkeiten?

 

Im Mai kommenden Jahres wird mit der DSGVO eine weitgehende Vereinheitlichung des europäischen Datenschutzrechtes in Kraft treten. Nationale Richtlinien werden durch eine harmonisierte Grundverordnung abgelöst. Die Datenschutz-Grundverordnung (DSGVO) bringt einige Veränderungen mit sich. Vor allem was die umfangreichen Dokumentationspflichten betrifft, müssen sich die Verantwortlichen künftig auf höhere Anforderungen im Datenschutz einstellen. Wie schon aktuell das Verfahrensverzeichnis zu führen ist, wird auch diese Pflicht nicht abgelöst sondern noch verschärft durch die DSGVO nach Art. 30 DSGVO, allerdings unter dem Namen Verzeichnis der Verarbeitungstätigkeiten. Dieser Artikel ist Teil unserer Reihe DSGVO.

DSGVO: Diese Änderungen kommen auf Ihr Business zu.

 

Das bekannte Verfahrensverzeichnis

 

Das Verzeichnis von Verarbeitungstätigkeiten nach der Datenschutz-Grundverordnung ist im Grundsatz nichts anderes, als das altbekannte Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e Bundesdatenschutzgesetz (BDSG). Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Das Verzeichnis von Verarbeitungstätigkeiten löst folglich das alte Verfahrensverzeichnis ab.

 

Missachtung eines Verzeichnisses

 

Mit Einführung der Datenschutz-Grundverordnung müssen die Verantwortlichen nun die Verzeichnisse von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorhalten können, ansonsten droht ein Bußgeld, Art. 83 Abs. 4 a DSGVO. Unabhängig von der abzuwartenden Bußgeldpraxis der Aufsichtsbehörden, bewegt sich der mögliche Rahmen hier bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes, so dass hier in jedem Fall zu entsprechender Vorsorge zu raten sein dürfte.

 

Kein öffentlicher Teil mehr nötig

 

Während das alte Verfahrensverzeichnis (BDSG) in weiten Teilen noch auf Antrag jedermann zugänglich zu machen war, besteht diese Pflicht bei den Verzeichnissen von Verarbeitungstätigkeiten nur noch gegenüber den Aufsichtsbehörden. Es wird also nicht mehr zwischen internen und öffentlichen Verzeichnissen unterschieden. Eine kleine Arbeitserleichterung, da man nur noch einen Teil pflegen muss.

 

Was muss in dem Verzeichnis der Verarbeitungstätigkeiten stehen?

 

Nach Art. 30 DSGVO müssen folgende Bestandsteile pro Verfahren enthalten ein:

  • Beschreibung der Datenverarbeitung
  • Rechtsgrundlage der Datenverarbeitung
  • Datenkategorien
  • Kreis der betroffenen Personen
  • Zweck der Verarbeitung
  • Datenempfänger
  • Löschfristen und Konzepte
  • Verweis auf die TOM
  • Beurteilung des Risikos bei Datenmissbrauch
  • eventuell Datenschutzfolgenabschätzung

 

Wie erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten?

 

Im Falle von fehlender Datenschutzdokumentation muss zunächst ermittelt werden, in welchen Fällen personenbezogene Daten von z.B. Kunden, Lieferanten oder Beschäftigten erhoben und verarbeitet werden. Hierzu bietet es sich im ersten Schritt an, alle innerhalb der IT-Infrastruktur des Unternehmens eingesetzten Anwendungen und Tools aufzulisten, in denen personenbezogene Daten gespeichert werden. Dies hilft gleichsam bei der Ermittlung der Datenflüsse im Unternehmen und kann auch als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten dienen. Dieses wird in der Praxis zwecks Übersichtlichkeit meist aus mehreren Verzeichnissen für verschiedene Verarbeitungsvorgänge (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) bestehen.

Datenschutzbeauftragte starten grundsätzlich mit einer Bestandsaufnahme und weiteren Analyse zur IT-Infrastruktur, Auftragsdatenverarbeitung und weitere Ermittlungen des aktuellen IST-Zustandes. Wenn Sie mehr erfahren möchten zum Ablauf dieser Dienstleistung dann klicken Sie hier.

 

 

 

Schreibe einen Kommentar