Die EU-Datenschutzgrundverordnung beschäftigt derzeit Unternehmen jeder Größe – die Aufregung ist groß. Was braucht man wirklich, wo soll man anfangen. Das Erstellen und Führen eines Verarbeitungsverzeichnisses ist nur eine der neuen Verpflichtungen, die die EU-DSGVO für Unternehmen mit sich bringt. Unternehmen sollen hiermit dem Accountability-Grundsatz oder auch ihrer Dokumentationspflicht Rechnung tragen, andernfalls drohen Bußgelder von bis zu 10 Mio. oder bis zu 2% des Jahresumsatzes. Doch was ist das genau, wer ist hierzu verpflichtet und was sind die inhaltlichen Vorgaben?
Was ist ein Verarbeitungsverzeichnis?
Ein Verarbeitungsverzeichnis ist letztlich nichts anderes als eine Übersicht aller Verarbeitungen im Zusammenhang mit personenbezogenen Daten. Dies können z.B. Kunden-, Mitarbeiter-, oder Lieferantendaten sein. Wichtig ist, dass im Zweifelsfall für die Aufsichtsbehörde nachvollziehbar wird, wie in dem Unternehmen mit personenbezogenen Daten umgegangen wird. Die Gestaltung des Verzeichnisses ist jedem Unternehmen selbst überlassen, allerdings sind bestimmte Angaben gem. Art. 30 Abs. 1 EU-DSGVO zwingend: Name und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Beschreibung der Kategorien betroffener Personen, Kategorien personenbezogener Daten, Kategorien von Empfängern von Daten, ggf. Übermittlungen an ein Drittland und wenn möglich, vorgesehene Fristen zur Löschung und eine Beschreibung der technischen und organisatorischen Maßnahmen. Zu empfehlen ist, die entsprechende Rechtsgrundlage für die jeweilige Verarbeitung anzugeben.
Wer muss ein Verzeichnis führen?
Grundsätzlich erfordert Art. 30 Abs. 1 EU-DSGVO, dass alle Verantwortlichen ein Verzeichnis sämtlicher Verarbeitungstätigkeiten führen. Hiervon gibt es eine theoretische Ausnahme: Unternehmen mit weniger als 250 Mitarbeitern sind von dieser Verpflichtung freigestellt. Doch an dieser Stelle sollte sich niemand zu früh freuen, denn diese Ausnahme soll nur dann gelten, wenn die Verarbeitung lediglich gelegentlich erfolgt, keine besonderen Datenkategorien wie Gesundheits- oder Religionsdaten verarbeitet werden oder die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Letztere Einschränkung ist gewissermaßen bei jeder Verarbeitung personenbezogener Daten gegeben. Möglicherweise meint der Gesetzgeber jedoch ein „besonderes Risiko“. Dies kann in den meisten Fällen jedoch offen bleiben, da für alle Unternehmen, die z.B. Webseiten, Online-Shops, CRM-Systeme, Personalverwaltung oder Lohnabrechnungssysteme betreiben, diese Ausnahme nicht mehr greift. Die Verarbeitung erfolgt hier nicht nur gelegentlich und die jeweiligen Unternehmen, die Mitarbeiter anstellen, verarbeiten z.B. Gesundheitsdaten zur Feststellung der Krankentage oder Religionsdaten zur Abführung der Kirchensteuer (besondere Datenkategorien).
Konkrete Umsetzung
Oftmals führt die Verpflichtung zum Erstellen eines Verarbeitungsverzeichnisses zu großer Unsicherheit darüber, wie detailliert dieses in der Praxis aussehen soll. Sinn und Zweck dieser Aufgabe ist es, der Datenschutzbehörde einen Überblick über die Verarbeitungstätigkeiten und dem generellen Daten-Handling zu verschafften. Keinesfalls erforderlich ist es, eine gesonderte Datenbank zu erstellen und komplette Datensätze zu übertragen. Erforderliche Angaben sind lediglich die abstrakten Datenkategorien wie z.B. „Name“, „Bankverbindung“, „Religionszugehörigkeit“ und nicht „Max Müller“, „IBAN DE75...“, „katholisch“. Für Mitarbeiterdaten bedeutet das beispielsweise, dass hier nicht alle Mitarbeiter aufgelistet werden müssen, sondern nur die übergeordneten Datenkategorien, die für die erfassten Daten eines jeden Mitarbeiters stehen.
Das Verzeichnis sollte in deutscher Sprache geführt und aktuell sein. Um den Aufsichtsbehörde die Aktualisierung nachweisen zu können, sollten Änderungen nicht durch Überschreibungen erfolgen, vielmehr sollten alte Eintragungen weiterhin verfügbar und die Änderungen nachvollziehbar sein. Zu empfehlen ist es, hier für einen Zeitraum von mindestens einem Jahr entsprechende Änderungen abzubilden.
Sind Sie sich unsicher, ob sie ein Verarbeitungsverzeichnis führen müssen, benötigen Sie eine Vorlage oder haben Sie Fragen hinsichtlich dieses Themas? Kontaktieren Sie uns gerne!