Verarbeitungstätigkeiten nach Art 30 DSGVO – was ändert sich?

Dr. Oliver Hornung - 02. November 2017 - EU-DSGVO

Einführung 

Artikel 30 DSGVO schreibt vor, dass sowohl der Verantwortliche als auch der Auftragsdatenverarbeiter ein umfassendes Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen haben. Dieses Verarbeitungsverzeichnis ist eines der zentralen Instrumente zur Umsetzung der Dokumentationspflichten nach Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO. Es ersetzt das in § 4 g Abs. 2 BDSG bislang geregelte Verfahrensverzeichnis.

Das Verarbeitungsverzeichnis ermöglicht den Aufsichtsbehörden zum Datenschutz effektiv zu kontrollieren, ob Unternehmen ihren Pflichten nach der DSGVO nachkommen. Es ist daher davon auszugehen, dass Aufsichtsbehörden zum Datenschutz zukünftig bei Beschwerden von betroffenen Personen oder bei Kontrollmaßnahmen die Vorlage des Verarbeitungsverzeichnisses fordern werden. 


Ausnahmen für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten 

Ein Verzeichnis von Verarbeitungstätigkeiten müssen nach Artikel 30 Abs. 5 DSGVO nicht Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern führen, es sei denn, der Verantwortliche bzw. der Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z. B. Scoring und Überwachungsmaßnahmen), die nicht nur gelegentlich erfolgen oder die besonderen Datenkategorien gem. Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, Religionsdaten etc.) oder Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO liegen vor. 

Für die vorstehend genannten Fallgruppen müssen trotzdem die Angaben in das Verzeichnis aufgenommen werden. Die Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht also bereits dann, wenn mindestens eine der genannten Fallgruppen erfüllt ist. 


Kein öffentliches Verzeichnis mehr 

Eine öffentlich für jedermann zugängliche Übersicht zu den eingesetzten automatisierten Verfahren für die Verarbeitung personenbezogener Daten wird von der DSGVO nicht mehr vorgesehen. Ebenso entfallen mit der DSGVO die bisher in den §§ 4d und 4e BDSG geregelten Meldepflichten an die Datenschutzaufsichtsbehörden. 


Inhalt der Verzeichnisse für Verantwortliche und Auftragsverarbeiter 

Das Verzeichnis der Verantwortlichen muss nach Art. 30 Abs. 1 wesentliche Angaben zur Verarbeitung beinhalten. Dies betrifft z. B. Zweck der Verarbeitung, Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und Empfänger. 

Art. 30 Abs. 2 DSGVO gibt vor, welche Angaben Auftgragsverarbeiter im Verarbeitungsprozess dokumentieren müssen. Die Pflichtangaben sind jedoch überschaubar, sodass der Aufwand, dieses Verzeichnis zu erstellen, eher als gering anzusehen ist. 

Wichtig für ein Verzeichnis für Verarbeitungstätigkeiten ist die Beschreibung der technischen und organisatorischen Schutzmaßnahmen gem. Art. 32 Abs. 1 DSGVO. Wie detailliert diese Beschreibung sein muss, lässt sich leider der Verordnung nicht unmittelbar entnehmen. Zu empfehlen ist jedoch, dass die Beschreibung der Schutzmaßnahmen nach Art. 32 Abs. 1 DSGVO so konkret erfolgen, dass die Aufsichtsbehörden zum Datenschutz eine Rechtsmäßigkeitsprüfung vornehmen können. 


Rechtsfolgen bei Verstößen

Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses von Verarbeitungstätigkeiten oder das Nichtvorliegen des Verzeichnisses nach Aufforderung durch die Datenschutzaufsichtsbehörden sind nach Artikel 83 Abs. 4 lit. a DSGVO mit Geldbußen bedroht. 


Handlungsempfehlungen: 

Unternehmen ist zu empfehlen, rechtzeitig vor dem 25. Mai 2018 ein vollständiges Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine Datenschutzdokumentation und hilft dem Verantwortlichen und Auftragsverarbeiter dabei, ihren Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO nachzukommen. Eine effektive Dokumentation datenschutzrelevanter Vorgänge kann das Risiko von Bußgeldern und andere Nachteile ausschließen bzw. bestmöglich verringern. 



Über den Autor: 

Dr. Oliver Hornung ist Rechtsanwalt und berät und betreut seit über 15 Jahren nationale und internationale IT-Dienstleister, Cloud Anbieter sowie IT-Anwender, hauptsächlich in IT-Projekten und IT-Outsourcing-Vorhaben, einschließlich notleidender Projekte und der dortigen Konfliktbewältigung. Seine Tätigkeit umfasst insbesondere auch die Beratung und Vertretung in Prozess-, Schlichtungs- und Schiedsverfahren. Ein weiterer Schwerpunkt von Dr. Oliver Hornung sind Fragen des Datenschutzes und der IT-Compliance. Im Urheberrecht und Wettbewerbsrecht begleitet Dr. Oliver Hornung die Verteidigung und Sicherung des geistigen Eigentums seiner Mandanten.

Herr Dr. Hornung steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel. +49 69630001-65, Email: o.hornung@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2018 (38)
Dezember (4) November (2) Oktober (4) September (3) August (3) Juli (4) Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)