Was ist überhaupt ein Verfahrensverzeichnis?

Um den Datenschutz in Ihrem Unternehmen gesetzeskonform umsetzen zu können, brauchen Sie ein Verfahrensverzeichnis. Ein sog. Verfahrensverzeichnis ist eine Übersicht über die laufende Verarbeitung personenbezogener Daten. Hierzu gehört beispielsweise die Personal- und Kundenverwaltung oder auch die Videoüberwachung in Ihrem Unternehmen.



Warum braucht mein Unternehmen ein Verfahrensverzeichnis?

Ab 25.05.2018 ist die Europäische Datenschutzgrundverordnung (kurz: DSGVO) wirksam. Bereits nach dem alten Bundesdatenschutzgesetz (BDSG alt) war ein öffentliches Verfahrensverzeichnis und eine interne Verarbeitungsübersicht geregelt.

Diese Regelungen werden nun von Art. 30 der DSGVO abgelöst. Künftig lautet die Bezeichnung „Verzeichnis von Verarbeitungstätigkeiten“. Jeder Verantwortliche (also Unternehmen, Freiberufler, Vereine und neu auch Auftragsverarbeiter) muss danach ein schriftliches oder elektronisches Verfahrensverzeichnis führen, in dem alle Verarbeitungstätigkeiten mit personenbezogenen Daten abgebildet sind.



Wer muss ein Verfahrensverzeichnis erstellen?

Folgt man der Auffassung Landesdatenschutzaufsichtsbehörden braucht jedes Unternehmen ein Verfahrensverzeichnis. Der Ausnahmetatbestand des Art. 30 Abs. 5 DSGVO, wonach Unternehmen mit weniger als 250 Mitarbeitern nur unter bestimmten Voraussetzungen ein Verfahrensverzeichnis führen müssen, greift nur äußerst selten. Schon bei regelmäßig erfolgenden Lohnabrechnungen ist es nach Auffassung der Aufsichtsbehörden verpflichtend, ein Verfahrensverzeichnis zu führen.



Wie erstelle ich ein korrektes Verfahrensverzeichnis?

Ins Verfahrensverzeichnis für Verantwortliche aufzunehmen sind nach Art. 30 Abs. 1 DSGVO alle wesentlichen Angaben zur Datenverarbeitung. Hierzu gehören insbesondere die Benennung des betroffenen Personenkreises, der Zweck sowie die betroffenen Personen und Empfänger der Datenverarbeitung. Ebenso müssen die zugehörigen technischen und organisatorischen Maßnahmen benannt werden.

Auftragsdatenverarbeiter müssen mit Geltung der DSGVO ebenso ein Verfahrensverzeichnis führen, Art. 30 Abs. 2 DSGVO. Darin müssen alle Tätigkeiten hinsichtlich der Verarbeitung personenbezogener Daten aufgeführt werden, die von einem Verantwortlichen beauftragt wurden.

In Zukunft muss ein Verzeichnis über eingesetzte Verfahren zwar nicht mehr öffentlich zugänglich gemacht werden. Dennoch gilt im Rahmen der neuen DSGVO das sogenannte Accountability-Prinzip. (vgl. Art. 30 Abs. 4 DSGVO) Das bedeutet, dass alle relevanten Unterlagen nach der Datenschutzgrundverordnung (DSGVO) vorgehalten werden müssen, um diese auf Anfrage der Datenschutzbehörde zur Prüfung darlegen zu können.

Bei einem Verstoß durch fehlende oder nicht vollständige Führung eines Verzeichnisses nach Aufforderung durch die Datenschutzbehörde droht ein Bußgeld nach Art. 83 Abs. 4a DSGVO.

Das Verzeichnis von Verarbeitungstätigkeiten wird wie die bisherigen internen Verarbeitungsübersichten eine wichtige Rolle bei der Einhaltung datenschutzrechtlicher Vorgaben spielen. Um die rechtmäßige Verarbeitung personenbezogener Daten gewährleisten zu können, müssen Sie Ihre eigenen Verarbeitungsprozesse kennen und gezielte Maßnahmen ergreifen.



Sie benötigen Unterstützung?
Kontaktieren Sie uns – wir helfen Ihnen dabei!