Verfahrensverzeichnis vs. Verzeichnis der Verarbeitungen

Es gibt einige Neuerungen in der EU-DSGVO

Aufmerksame Leser werden vielleicht denken: „Was? Schon wieder ein Artikel zum Verfahrensverzeichnis?“ – und damit nicht ganz Unrecht haben. Schließlich wurde bereits in diesem Artikel ausführlich zur Thematik des „öffentlichen Verfahrensverzeichnisses“ berichtet. Allerdings gibt es zum Thema Verfahrensübersicht noch einiges mehr zu sagen.

Begriffe

Zunächst vielleicht eine kurze Begriffsklärung. Es muss unterschieden werden zwischen dem öffentlichen Verfahrensverzeichnis und der internen Verarbeitungsübersicht einerseits, wie wir sie aus dem BDSG kennen, und der Verarbeitungsübersicht andererseits, welche mit der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) eingeführt wird.

Die Dokumentationspflichten aus dem BDSG

Das öffentliche Verfahrensverzeichnis wurde bereits an anderer Stelle behandelt. Wichtig ist vielleicht, noch einmal zu wiederholen: Es ist wirklich Jedermann auf Anfrage zur Verfügung zu stellen. Es gibt hierbei keine Ausnahmen und keine Möglichkeit, die Herausgabe des öffentlichen Verfahrensverzeichnisses zu verweigern.

Die interne Verarbeitungsübersicht beinhaltet alle Informationen, die auch im öffentlichen Verfahrensverzeichnis enthalten sein müssen, ergänzt um [Zitat § 4e Nr. 9 BDSG] „eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 [BDSG] zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind“. Dieser Teil enthält neben einer Prozessbeschreibung auch die getroffenen technischen und organisatorischen Maßnahmen (TOM).

Interessanter Weise schreibt das BDSG in § 4g Abs. 2 vor, dass diese Verarbeitungsübersicht nicht etwa vom Datenschutzbeauftragten selbst zu erstellen ist, sondern es ist ihm von der verantwortlichen Stelle zur Verfügung zu stellen. Gleiches gilt für die Aufstellung der zugriffsberechtigten Personen. Die Realität sieht in der Regel anders aus. Die Verarbeitungsübersicht existiert meist nur dann, wenn der Datenschutzbeauftragte diese Informationen bei den zahlreichen Wissensträgern im Unternehmen zusammengetragen und dokumentiert hat.

Die Verarbeitungsübersicht dient mit zwei Ausnahmen ausschließlich internen Zwecken. Die erste Ausnahme ist die Meldepflicht: Ist kein Datenschutzbeauftragter beschäftigt, so besteht unter Umständen eine Meldepflicht. In einem solchen Fall, sind die Angaben der Verarbeitungsübersicht der jeweils zuständigen Aufsichtsbehörde zu melden. Die zweite Ausnahme betrifft ebenfalls die Aufsichtsbehörden. Auf deren Anforderung ist die Verarbeitungsübersicht zur Verfügung zu stellen. Die rechtliche Grundlage hierfür findet sich in § 38 BDSG. Die dort beschriebenen Kontrollen durch die Aufsichtsbehörde dürfen auch ohne Anlass erfolgen.

Zukunft: Das Verzeichnis der Verarbeitungen

Mit der EU-DSGVO werden die aus dem BDSG bekannten Dokumentationen künftig einheitlich „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 EU-DSGVO) genannt. Inhaltlich wird sich gegenüber den bekannten Dokumentationen nicht viel ändern. Zusätzlich zur Unternehmensleitung ist nun auch der bestellte Datenschutzbeauftragte einschließlich seiner Kontaktdaten aufzuführen. Weitere Änderungen aus inhaltlicher Sicht gibt es nicht.

Interessante sind die folgenden drei hinzugekommenen Aspekte:

  1. Das Verzeichnis der Verarbeitungen muss nur noch der Aufsichtsbehörde zur Verfügung gestellt werden. Anders: Mit Inkrafttreten der EU-DSGVO wird es kein öffentliches Verfahrensverzeichnis mit der Pflicht zur Weitergabe an Jedermann mehr geben.
  2. Die Pflicht, überhaupt ein Verzeichnis der Verarbeitungen zu führen, entfällt für Unternehmen, die weniger als 250 Mitarbeiter haben. Kleinere Unternehmen müssen das Verzeichnis nur führen, wenn die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder wenn Daten zu strafrechtlichen Verurteilungen oder Straftaten verarbeitet werden. Die Beurteilung, wann eine Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, dürfte speziell in der Anfangsphase des Inkrafttretens der EU-DSGVO noch zu einigen Diskussionen mit den Aufsichtsbehörden führen.
  3. Zukünftig müssen auch Auftragsverarbeiter ein Verzeichnis der Verarbeitungen führen, sofern die Pflicht nicht aufgrund der Größe des Unternehmens entfällt. Der Umfang dieses Verzeichnisses der Verarbeitungen weicht etwas von dem für verantwortliche Stellen ab. Es enthält zusätzlich auch die Information, für welche Verantwortliche Stellen (also für welche Auftraggeber) die Verarbeitungen durchgeführt werden. Dafür kann die Beschreibung des Zwecks und die Löschungsfristen entfallen.

Auch mit der EU-DSGVO wird es also die bekannten Dokumentationspflichten geben. Lediglich die Bezeichnung hat sich geändert und nicht mehr jeder ist zur Erstellung der Dokumente verpflichtet. Andererseits sind nun auch die Auftragsverarbeiter betroffen und haben umfangreiche Verzeichnisse zu führen. Positiv bleibt hervorzuheben, dass das eigentlich völlig sinnlose öffentliche Verfahrensverzeichnis mit der EU-DSGVO abgeschafft wird.

Jetzt bleiben zwei Jahre, die speziell von Auftragsverarbeitern genutzt werden müssen, ihrer neuen Pflicht zur Führung von Verzeichnissen der Verarbeitungen nachzukommen. Benötigen Sie Unterstützung? Melden Sie sich und wir prüfen, ob Sie von dieser Pflicht betroffen sind und wie Sie diese am besten umsetzen können.