Wo ist das Verzeichnis von Verarbeitungstätigkeiten geregelt?
Beim Verzeichnis von Verarbeitungstätigkeiten handelt es sich um eine gesetzliche Dokumentationspflicht.
Die einschlägigen Vorgaben finden Sie in Art. 30 DSGVO. Prinzipiell sind Verantwortliche und Auftragsverarbeiter verpflichtet, ein solches Verzeichnis im Zusammenhang mit der Verarbeitung personenbezogener Daten zu erstellen und aktuell zu halten.
Muss jedes Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten haben?
Das lässt sich meist mit einem „mindestens ein Verzeichnis“ beantworten. So sind Verantwortliche verpflichtet, ein Verzeichnis nach Art. 30 Abs. 1 DSGVO zu führen. Das enthält die eigenen Verarbeitungstätigkeiten, bezüglich derer man Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist.
Typisches Beispiel ist etwa eine von der Personalabteilung geführte elektronische Personalakte. Auch wenn man hier die Software einkauft, etwa online als „Software-as-a-Service-Lösung“, muss Ihr Unternehmen als Verantwortlicher die Verarbeitungstätigkeit dokumentieren.
Daneben gibt es noch ein Verzeichnis von Verarbeitungstätigkeiten speziell für Auftragsverarbeiter. Das könnte im Beispiel zuvor der Anbieter der Software für die elektronische Personalakte sein.
Die inhaltlichen Anforderungen an dieses Verzeichnis ergeben sich aus Art. 30 Abs. 2 DSGVO. Folglich müssen Auftragsverarbeiter ein weiteres Verzeichnis führen, eben neben den Verarbeitungen, die das betreffende Unternehmen für sich selbst verantwortet.
Es gibt doch bestimmt eine Ausnahme von der Verzeichnispflicht, oder?
An sich gibt es tatsächlich einen Fall, in dem auf ein Verzeichnis verzichtet werden könnte. Die Betonung liegt hier auf „könnte“. Zwar sieht Art. 30 Abs. 5 DSGVO vor, dass ein Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis von Verarbeitungstätigkeiten führen muss.
Allerdings kommt es nicht nur auf die Mitarbeiterzahl an. Auch wenn Ihr Unternehmen weniger als 250 Mitarbeiter hat, ist ein Verzeichnis dennoch erforderlich, wenn eine der folgenden Voraussetzungen erfüllt ist:
- Es gibt eine Verarbeitung, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
- die Verarbeitung erfolgt nicht nur gelegentlich, also nicht nur ab und an und somit regelmäßig oder
- es werden besondere Datenarten gemäß Art. 9 Abs. 1 DSGVO verarbeitet, beispielsweise Gesundheitsdaten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.
Es liegt auf der Hand, dass es eigentlich keine Verarbeitungen geben dürfte, die ohne jedes Risiko sind. Selbst unscheinbare Verarbeitungstätigkeiten, wie eine Liste mit Geburtstagen der Mitarbeiter, birgt Risiken.
Solche Dokumente können etwa durch unsachgemäße Entsorgung in falsche Hände
geraten. Fazit also: Es braucht immer ein Verzeichnis!
Für wen ist das Verzeichnis gedacht?
Ein solches Verzeichnis dient einerseits der Dokumentation und andererseits
der Kontrolle. So kann
- ein Verantwortlicher oder Auftragsverarbeiter leichter einen Überblick erhalten, wie mit personenbezogenen Daten im Unternehmen gearbeitet wird,
- ein solches Verzeichnis Ihnen als Datenschutzbeauftragtem die Arbeit erleichtern. Sie können leichter identifizieren, wo besondere Risiken bestehen können. Das kann wichtig sein, damit Sie Ihre Ressourcen risikoorientiert einsetzen, und
- die zuständige Datenschutzaufsichtsbehörde die Vorlage des ganzen Verzeichnisses oder der Angaben zu einzelnen Verarbeitungstätigkeiten fordern. Dieses Recht ergibt sich aus Art. 30 Abs. 4 DSGVO. Einen besonderen Anlass braucht die Aufsichtsbehörde dafür nicht. Schließlich kann sie generell kontrollieren, ob sich ein Unternehmen an die gesetzlichen Vorgaben der DSGVO hält. Danach besteht ebendiese Dokumentationspflicht.
Was kann passieren, wenn unser Unternehmen kein Verzeichnis hat?
Hier sollten Sie auf zwei Aspekte verweisen: Erstens: Verzichtet ein Unternehmen auf das Führen eines Verzeichnisses, kann das die Datenschutzarbeit erschweren.
So können Sie sich als Datenschutzbeauftragter nur schwer einen Überblick über die stattfindenden Verarbeitungstätigkeiten verschaffen. Unter Umständen wird es so auch schwierig, geltend gemachte Betroffenenrechte umzusetzen.
Ist etwa nicht bekannt, wo überall personenbezogene Daten verarbeitet werden, kann das Löschen von Daten oder eine geforderte Auskunft ggf. nur unvollständig umgesetzt werden. Wird den Betroffenenrechten nicht ordnungsgemäß entsprochen, kann das zu einem Bußgeld führen.
Und zweitens: Ein Bußgeld kann es auch dafür geben, dass Ihr Unternehmen seiner Dokumentationspflicht aus Art. 30 DSGVO nicht nachkommt. So sind hier Strafen von bis zu 10 Mio. € möglich.
Im Fall eines Unternehmens können es alternativ bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sein, je nachdem, welcher der Beträge höher ist.
Dabei ist klar: Wie hoch das Risiko ist, dass eine Datenschutzaufsichtsbehörde ein Verzeichnis prüft, dieses beanstandet und diesbezüglich ein Bußgeldverfahren einleitet, lässt sich nicht vorhersagen.
Wer muss sich um das Verzeichnis kümmern?
Das ist Sache des Verantwortlichen. Generell handelt es sich nicht um eine Aufgabe des Datenschutzbeauftragten. Das erkennen Sie bereits daran, dass die Pflicht, ein Verzeichnis zu erstellen, an den Verantwortlichen bzw. an den Auftragsverarbeiter adressiert ist.
Außerdem finden Sie nichts dazu in Ihren gesetzlichen Aufgaben (Art. 39 Abs. 1 DSGVO). Ob ein Unternehmen das Führen des Verzeichnisses an den Datenschutzbeauftragten übertragen kann, ist umstritten.
Es ist auf jeden Fall dann nicht möglich, wenn es zu einem Interessenskonflikt kommt. Das kann sein, wenn Sie selbst die Informationen bereitstellen sollen.
Welche Informationen müssen im Verzeichnis enthalten sein?
Was enthalten sein muss, ergibt sich aus Art. 30 DSGVO. Die Unterschiede erkennen Sie leicht in dieser Übersicht.
