DSGVO – Verzeichnis der Verarbeitungstätigkeiten

Was neues bei den Verfahrensverzeichnissen?

Weniger als zehn Monate verbleiben den Unternehmen, die personenbezogene Daten bei ihren Tätigkeiten speichern, übertragen oder auf andere Weise verarbeiten, um die neuen mit der Datenschutzgrundverordnung (EU) 2016/679, (EU-DSGVO) vereinbaren Maßnahmen zu treffen.

Obwohl die Datenverarbeitungsprozesse, die in der Regel zu den Kernaufgaben des betrieblichen Datenschutzbeauftragten gehören, schon nach gerade geltender Regelung dokumentiert werden müssen, ergeben sich für die Verfahrensverzeichnisse einige Neuerungen. Diese stellen wir Ihnen in unserem nächsten Beitrag vor.

Befreiung für die Kleinen?

Im Vergleich zum Bundesdatenschutzgesetz, das zwischen dem sog. internen und dem öffentlichen Verfahrensverzeichnis unterschieden hat, spricht die EU-DSGVO in Art. 30 ausschließlich über das Verzeichnis der Verarbeitungstätigkeiten, das beide von oben genannten Dokumenten ersetzt.

Eine der bedeutendesten Neuerungen stellt der Anwendungsbereich dar, denn die Pflicht ein Verzeichnis zu führen gilt grundsätzlich nicht für diejenigen Unternehmen, die über weniger als 250 Mitarbeiter zu verfügen, es sei denn eine der durch Art. 30 Abs. 5 gegebene Voraussetzungen ist efüllt. Dies betrifft praktisch auch viele kleine und mittlere Unternehmen.

Auftragsdatenverarbeitung

Werden Daten im Auftrag verarbeitet, muss auch der Auftragsverarbeiter ein eigenes Verfahrensverzeichnis führen. Dies enthält neben der allgemeinen Anforderungen auch die zusätzliche Information, und zwar für welchen Verantwortlichen die Verarbeitung durchgeführt wird.

Inhatliche Anforderungen und Bußgelder

Das schriftlich oder elektronisch geführte Verzeichnis der Verarbeitungstätigkeiten muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden und bei Verstößen gegen die Inhaltsanforderungen (u.a. Angaben zum Zweck der Verarbeitung, sLöschfristen und Empfänger) kann ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes verhängt werden kann. So Art. 83 Abs. 4 EU-DSGVO. Anders als nach der bisherigen Praxis trägt die Verantwortung für die Verfahrensverzeichnisse die Unternehmensleitung und nicht der betriebliche Datenschutzbeauftragte.

Fazit

Dank der Führung des Verfahrensverzeichnisses vermeiden Sie die erheblichen Bußgelder und gewinnen Sie gleichzeitig eine Übersicht über alle in Ihrem Unternehmen laufenden Datenverarbeitungsprozesse. Das hilft Ihnen die Schwachpunkte schnell zu entdecken. Vergessen Sie nicht die neuen Anforderungen an den Inhalt des Verfahrensverzeichnisses zu prüfen, unabhängig davon ob Sie ein kleines oder großes Unterhenmen sind.

Weitere Informationen zu diesem Thema finden Sie unter folgendem Link sowie in der von Gesellschaft für Datenschutz und Datensicherheit herausgegebene Praxisbroschüre.

By |2018-02-20T18:27:50+00:00Februar 2018|

About the Author:

Carola Sieling

Leave A Comment