EU-DSGVO – Verzeichnis der Verarbeitungstätigkeiten

Die DSGVO ist nun schon seit über 6 Monaten anzuwenden. Unternehmen müssten seitdem bereits dokumentiert haben, welche personenbezogenen Daten durch sie, wo und wie verarbeitet werden, und zwar in dem sog. Verzeichnis der Verarbeitungstätigkeiten (vormals auch Verfahrensverzeichnis genannt).

Obwohl die Datenverarbeitungsprozesse schon nach dem BDSG alte Fassung dokumentiert werden mussten, ergeben sich hier einige Neuerungen.

Befreiung für die Kleinen?

Im Vergleich zum BDSG alte Fassung, das zwischen dem sog. internen und dem öffentlichen Verfahrensverzeichnis unterschieden hat, spricht die EU-DSGVO in Art. 30 ausschließlich über das Verzeichnis der Verarbeitungstätigkeiten.

Eine der bedeutendsten Neuerungen stellt der Anwendungsbereich dar, denn die Pflicht ein Verzeichnis zu führen, gilt grundsätzlich nicht für diejenigen Unternehmen, die über weniger als 250 Mitarbeiter verfügen, es sei denn, eine der durch Art. 30 Abs. 5 EU-DSGVO gegebenen Voraussetzungen ist erfüllt. Dies betrifft auf den ersten Blick viele kleine und mittlere Unternehmen, jedoch gilt diese Ausnahme nicht, wenn regelmäßig personenbezogene Datenverabeitung stattfindet. Das bedeutet im Umkehrschluss, dass so gut wie JEDE verantwortliche Stelle ein Verzeichnis von Verarbeitungstätigkeiten führen muss, wenn auch nicht so umfangreich wie Unternehmen, die über mehr als 250 Mitarbeiter verfügen.

Auftragsdatenverarbeitung

Werden Daten im Auftrag verarbeitet, muss auch der Auftragsverarbeiter dazu eine eigene Dokumentation führen. Diese  soll dann neben den allgemeinen Anforderungen auch die zusätzliche Information enthalten, für welchen Verantwortlichen die Verarbeitung durchgeführt wird.

Inhaltliche Anforderungen und Bußgelder

Das schriftlich oder elektronisch (Danke, lieber Gesetzgeber: es ist schließlich 2018!) geführte Verzeichnis der Verarbeitungstätigkeiten muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden und bei Verstößen gegen die Inhaltsanforderungen (u.a. Angaben zum Zweck der Verarbeitung, Löschfristen und Empfänger) kann ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes verhängt werden kann. So Art. 83 Abs. 4 EU-DSGVO.

Fazit

Dank der Führung des Verzeichnisses der Verarbeitungstätigkeiten gewinnen Sie eine Übersicht über alle in Ihrem Unternehmen laufenden Datenverarbeitungsprozesse. Das hilft Ihnen die Schwachpunkte schnell zu entdecken und im Rahmen der Erstellung Prozesse zu analysieren und zu verbessern.

Weitere Muster und Informationen zu diesem Thema finden Sie hier:

Kurzpapier Nr. 1 des DSK
Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO

Musterverzeichnisse und Handreichungen für kleine Unternehmen und Vereine via bayrische Aufsichtsbehörde

 

By |2018-12-07T09:53:57+00:00Dezember 2018|

About the Author:

Carola Sieling

Leave A Comment