Verfahrensverzeichnisse in der Datenschutzgrundverordnung

Auch in der DSGVO gibt es die Verfahrensverzeichnisse wie sie es bereits schon im BDSG gibt. Es geht hier weiterhin um Prozesse in denen personenbezogene Daten verarbeitet werden.

In der Datenschutzgrundverordnung gibt es jedoch einige Änderungen zum Bundesdatenschutzgesetz wie es in Deutschland bekannt ist.

Wer muss ein Verfahrensverzeichnis führen?

In der DSGVO gibt es nun eine (teilweise) Befreiung von der Führung der Verfahrensverzeichnisse für kleine Unternehmen. Kleine Unternehmen unter 250 Mitarbeitern müssen nicht mehr jedes Verfahren wo personenbezogene Daten involviert sind beschreiben. Es müssen nur noch Verzeichnisse erstellt werden, die folgende Kriterien erfüllen:

  1. Verfahren, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
  2. Verfahren, die nicht nur gelegentlich erfolgen
  3. Verfahren, deren Verarbeitung besondere Datenkategorien nach Artikel 9 Abs. 1 und die Verarbeitung von pb Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 10 einschließen

Was sind die Bestandteile des Verfahrensverzeichnisses in der DSGVO?

In Artikel 30 Abs. 1 der DSGVO ist beschrieben welche Bestandteile ein entsprechendes Verfahrensverzeichnis haben muss:

  1. Name und Kontaktdaten des Verantwortlichen und falls vorhanden andere mit ihm gemeinsam Verantwortliche, der Vertreter des Verantwortlichen und fallsvorhanden der jeweilige Datenschutzbeauftragte
  2. Zweck der Verarbeitung
  3. Beschreibung der Kategorien der betroffenen Personen und der Kategorien der personenbezogenen Daten
  4. Die Kategorien der Empfänger, denen die Daten offengelegt werden bzw. offen gelegt worden. Dies inkludiert auch Empfänger in Drittstaaten oder internationalen Organisationen.
  5. Die Übermittlung von personenbezogenen Daten in ein Drittland bzw. an eine internationale Organisation inkl. Angbae des Landes bzw. der Organisation. Dazu müssen Angaben entsprechend Artikel 49 Abs. 1 Unterabsatz 2 zu der Datenübermittlung gemacht werden und eine Dokumentation der geeigneten Garantien muss erfolgen.
  6. Lösch- und Sperrfristen
  7. Technische und Organisatorische Maßnahmen entsprechend Artikel 32 Abs. 1.

Wer ist verantwortlich für die Verfahrensverzeichnisse?

Nach Artikel 30 Abs. 1 der DSGVO ist geregelt, dass die Unternehmensleitung die Verantwortung für die Verfahrensverzeichnisse trägt und nicht der betriebliche Datenschutzbeauftragte.

Muss ein „Jedermann-Verzeichnis“ geführt werden?

Nein. Die Verpflichtung zur Führung externer Verzeichnisse wie im BDSG §4 Abs. 2 Satz 2 ist entbehrlich. In der DSGVO gibt es kein „Jedermann-Recht“ auf Einsicht in die Verfahrens-verzeichnisse.

Auftragsdatenverarbeiter (Dienstleister, die personenbezogene Daten verarbeiten)

Die Auftragsdatenverarbeiter sind in der DSGVO nach Artikel 30 Abs. 2 dazu verpflichtet Verfahrensverzeichnisse zu erstellen, in denen beschrieben wird, wie sie die Daten für ihre Kunden verarbeiten.

Dabei muss jedoch nicht für jeden Kunden ein separates Verfahrensverzeichnis erstellt werden. Wenn die Prozesse bei den Kunden identisch sind ist ein Verzeichnis mit dem beschriebenen Prozess ausreichend.

Versionierung bzw. Historie

Durch den Artikel 30 gibt es eine weitere relevante Veränderung gegenüber dem BDSG. Wo es nach BDSG in §4g Abs. 2 Satz 1 i.V.m. §4e Satz 1 grundsätzlich um den aktuellen Stand geht, soll nun den Aufsichtsbehörden die Möglichkeit gegeben werden auch die Historie zu untersuchen.

Dementsprechend ist eine Versionierung unumgänglich und die Verfahrensverzeichnisse sollten in ein umfassendes Dokumentationssystem einfließen.

Mirko Tasch - Datenschutz-Auditor

Mirko Tasch – Datenschutz-Auditor

Haben Sie Fragen zu dem Thema Datenschutzerkärung oder wünschen Sie von uns eine entsprechende Überprüfung Ihrer Webseite? Dann steht Ihnen unser Experte zum Thema Datenschutzerklärung, Herr Mirko Tasch, zur Seite. Wir würden uns über eine Kontaktaufnahme von Ihrer Seite aus freuen.

Zum Kontaktformular