Verfahrensverzeichnis

Datenverarbeitung nach DSGVO


23. Februar 2018, von in IT-Support

Datenverarbeitung dokumentieren – das ist für Unternehmen nichts Neues. Dennoch: Im Zuge der EU-Datenschutz-Grundverordnung (DSGVO) ändert sich daran etwas Prinzipielles. Bis Ende Mai müssen Sie aus Ihrem Verfahrensverzeichnis bzw. Ihren Verfahrensverzeichnissen ein einheitliches Verarbeitungsverzeichnis formen. Was sich noch für Sie ändert, das erfahren Sie hier.

verfahrensverzeichnis, verarbeitungsverzeichnis, dsgvo, datenverarbeitung, dokumentationspflicht

Mit der DSGVO wird aus Ihrem Verfahrensverzeichnis ein Verarbeitungsverzeichnis. Foto: pixabay/UliSchu

Was ist ein Verfahrensverzeichnis?

Ein Verfahrensverzeichnis ist eine Darlegung der Verarbeitungsprozesse personenbezogener Daten eines Unternehmens. Im Sinne der DSGVO dient es dazu Ihrer Nachweispflicht gegenüber den Aufsichtsbehörden nachzukommen. Das betrifft sowohl Sie als Unternehmen (Verantwortlicher) als auch gegebenenfalls Ihren Auftragsverarbeiter (z.B. Rechenzentrum- oder Cloud-Anbieter). Sie müssen nachweisen können, dass Sie den Datenschutz bei der Verarbeitung personenbezogener Daten gemäß der DSGVO einhalten (ErwGr. 82 DSGVO). Das ist der Fall bei automatisierten als auch nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. So erklärt es Christian Volkmer, Sachverständiger für Datenschutz und Informationssicherheit, als Autor vom Projekt 29.

Verfahrensverzeichnis wird zu Verarbeitungsverzeichnis

Dokumentationspflichten der Datenverarbeitung kennen Sie bereits vom Bundesdatenschutzgesetz ( § 4g Abs. 2 BDSG-alt). Aber das BDSG (alt) wird mit Ende der Übergangsfrist der DSGVO am 25. Mai 2018 durch das BDSG (neu) ersetzt. Ab dann müssen Sie interne wie externe Verfahrensverzeichnisse in einem einheitlichen Verarbeitungsverzeichnis zusammenführen. Dieses müssen Sie auf Anfrage den Aufsichtsbehörden zur Verfügung stellen (vgl. Art. 30, Abs. 4 DSGVO). Neu ist ebenfalls, dass Unternehmen ein Verzeichnis zur Auftragsdatenverarbeitung führen müssen.

Die Auftragsdatenverarbeitung nach DSGVO haben wir in einem gesonderten Artikel sehr ausführlich aufbereitet. Auftragsdatenverarbeitung: Rechtskonformer ADV-Vertrag – trotz DSGVO.

Wer führt das Verfahrensverzeichnis?

In der Theorie führen Sie bzw. Ihr Unternehmen als Verantwortlicher bzw. Ihr Auftragsverarbeiter das Verfahrensverzeichnis. In der Praxis wird diese Aufgabe aber häufig an den zuständigen Datenschutzbeauftragten delegiert – wenn Sie denn einen haben. Denn bisher hat das BDSG (alt) kleine Betriebe weitgehend von der Meldepflicht befreit (vgl. § 4d Abs. 3 BDSG alt), wenn…

  • … in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind
  • … die Betroffenen der Datenverarbeitung ausdrücklich zugestimmt haben oder
  • … die Datenverarbeitung notwendig ist, um rechtsgeschäftliche oder rechtsgeschäftsähnliche Schuldverhältnisse mit dem Betroffenen zu begründen, durchzuführen oder zu beenden

Sie können Ihr Verfahrensverzeichnis selbst nach DSGVO erstellen. Es gibt verschiedene Tools, die Sie bei der Erstellung der erforderlichen Dokumentation unterstützen. Sie können die Umsetzung aber auch in die Hände eines Dienstleisters legen. Das IT-SERVICE.NETWORK unterstützt Sie gern bei der Suche.

Verfahrensverzeichnis – was ändert sich?

Frei nach dem Juristen-Motto „Ein Blick ins Gesetz spart viel dummes Geschwätz“ müssen Sie nach Art. 30 Abs. 3 DSGVO das Verfahrensverzeichnis schriftlich führen. Das können Sie aber auch in elektronischer Form tun. Laut Verwaltungsverfahrensgesetz sind Verzeichnisse in deutscher Sprache zu führen (vgl. § 23 Abs. 1 und 2 VwVfG). Zumindest müssen Sie in der Lage sein, den Aufsichtsbehörden Ihr Verarbeitungsverzeichnis unverzüglich in deutscher Sprache vorzulegen, wenn es anfordert wird (vgl. Art. 30 Abs. 4 und ErwGr. 82 DSGVO).

Die Aufsichtsbehörden können auch das Format festlegen, in dem sie Ihr Verfahrensverzeichnis bzw. den davon angeforderte Teil vorgelegt bekommen möchte – also auch ausgedruckt, selbst wenn Sie es elektronisch führen ( vgl. § 3a, Abs. 3 VwVfG). Wenn sich an Ihrem Verfahrensverzeichnis etwas ändert, zum Beispiel der Verantwortliche oder Datenschutzbeauftragte, ist es sinnvoll, auch das alte Dokument für mindestens ein Jahr zu sichern (vgl. Art. 5 Abs. 2 DSGVO).

NEU: Ein öffentliches Verfahrensverzeichnis, das jedem eine Übersicht zu den eingesetzten automatisierten Verfahren für die Verarbeitung personenbezogener Daten gibt, sieht die DSGVO nicht vor. Auch die bisherigen Meldepflichten (BDSG alt § 4, Abs. 4) mancher Unternehmen an die Aufsichtsbehörden entfallen mit der DSGVO. Dennoch müssen Sie gegebenenfalls ein Verarbeitungsverzeichnis erstellen und vorhalten, um es den Aufsichtsbehörden jederzeit auf Anfrage zur Verfügung zu stellen. (vgl. Art. 30 Abs. 4 DSGVO und ErwGr. 82 DSGVO).

Verfahrensverzeichnis – Form und Inhalt

Wie das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) in einem Kurzpapier (PDF, Stand: 02.08.2016, aktualisiert am 17.08.2016) zusammengefasst hat, werden die aus dem BDSG (alt) bekannten Verzeichnisse – das öffentliche Verfahrensverzeichnis und die interne Verarbeitungsübersicht – mit der DSGVO von einem einheitlichen Verarbeitungsverzeichnis abgelöst.

Demnach muss grundsätzlich jeder Verantwortliche, ob Unternehmen, Freiberufler oder Verein sowie neuerdings auch Auftragsverarbeiter (z.B. Rechenzentrum- oder Cloud-Anbieter) ein Verfahrensverzeichnis erstellen und führen – fortlaufend und aktuell. Laut BayLDA wird dieses Verzeichnis in der Praxis notwendigerweise oft aus einer Reihe von Einzelverzeichnissen bestehen – schon allein wegen der unterschiedlich eingesetzten Verfahren. Dadurch entsteht ein einzelnes Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten.

Was den Inhalt betrifft, sind nach der DSGVO zwei Verzeichnisse zu unterscheiden: das des Verantwortlichen (Ihr Verzeichnis) und das des Auftragsverarbeiters (beispielsweise das Ihres IT-Dienstleisters, Rechenzentrum- oder Cloud-Anbieters).

Verfahrensverzeichnis für Verantwortliche

Das Verfahrensverzeichnis der Verantwortlichen (vgl. Art. 4 Abs. 7), sprich das Verarbeitungsverzeichnis Ihres Unternehmens, muss folgende wesentliche Angaben zur Datenverarbeitung enthalten (vgl. Art. 30 Abs. 1 DSGVO):

  • Name und Kontaktdaten des Verantwortlichen, ggf. auch die des gemeinsam mit ihm Verantwortlichen, des Vertreters sowie eines etwaigen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, Religionszugehörigkeit; vgl. Art. 9 Abs. 1 DSGVO)
  • Kategorien von Empfängern (Wer hat bzw. wird noch Zugriff  auf die personenbezogenen Daten haben, vgl. Art. 4, Abs. 9 DSGVO)
  • Ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt werden. Und wenn ja, müssen Sie Angaben zum betreffenden Drittland oder die betreffende internationalen Organisation sowie die Dokumentierung geeigneter Garantien machen (vgl. Artikel 49 DSGVO)
  • Sofern möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (vgl. Artikel 32 Absatz 1)

Wenn Ihr Unternehmen bereits jetzt über eine strukturierte Verfahrensübersicht verfügt, sollten Sie nach BayLDA keine größeren Probleme haben, die DSGVO-Pflichtangaben zu machen. Ergänzen und Aktualisieren Sie einfach Ihre bisherigen Verfahrensverzeichnisse und führen Sie sie zusammen. Damit werden Sie den inhaltlichen Anforderungen an ein Verzeichnis der Verarbeitungstätigkeiten nach DSGVO gerecht. Wenn Sie bisher jedoch kein Verfahrensverzeichnis geführt haben, sollten Sie jetzt damit anzufangen.

Verfahrensverzeichnis für Auftragsdatenverarbeiter

Das Verfahrensverzeichnis für Auftragsverarbeiter (vgl. Art. 4 Abs 8 DSGVO) ist eine wirkliche Neuerung der DSGVO. Das BDSG (alt) verlangte von Auftragsdatenverarbeitern bislang kein Verzeichnis zu allen Kategorien der von ihm im Auftrag durchgeführten Datenverarbeitung. Das ändert der Art. 30 Abs. 2. Zum Inhalt gehört:

  • Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen für den er tätig ist. Gegebenenfalls auch die des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und des Datenschutzbeauftragten
  • Kategorien von Verarbeitungen, die er im Auftrag jedes Verantwortlichen durchführt
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 DSGVO)

Diese Pflichtangaben seien jedoch überschaubar, wenn man dem Projekt 29 glaubt. Der Aufwand, dieses Verzeichnis zu erstellen, wird dort als eher gering eingestuft. Mehr Informationen und nützliche Tipps zu Ihren ADV-Verträgen lesen Sie ausführlich im Blogartikel Auftragsdatenverarbeitung: Rechtskonformer ADV-Vertrag – trotz DSGVO.

Angedrohte Bußgelder

Die angedrohten Bußgelder bei Verstößen liegen bei bis zu 10 Millionen Euro oder bis zu 2 Prozent Ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem, welcher der Beträge höher ist (vgl. Art. 83 Abs. 4 a DSGVO). Verstöße sind zum Beispiel

  • Fehlendes Verfahrensverzeichnis
  • Unvollständige Führung des Verzeichnisses
  • Nichtvorlegen des Verzeichnisses, obwohl Sie die Aufsichtsbehörde dazu aufgefordert hat

Wenn Sie das Risiko dieser Bußgelder nicht eingehen möchten, unsicher bei der Umsetzung der DSGVO sind oder Beratung zu technischen und organisatorischen Maßnahmen benötigen, dann stehen Ihnen bundesweit die Dienstleister des IT-SERVICE.NETWORK vertrauensvoll zur Seite.


Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.


security

DSGVO richtig umsetzen? Na klar!

Die Dienstleister des IT-SERVICE.NETWORK beraten Sie kompetent zu allen Fragen der IT-Sicherheit – inklusive DSGVO.

Zur IT-Sicherheit

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses Akismet to reduce spam. Learn how your comment data is processed.