Mythos 3: Aufzeichnung der Verarbeitungstätigkeiten

In der Blog-Serie Die 7 größten Missverständnisse über die DSGVO klären wir die 7 häufigsten Mythen und Märchen. Diese Woche befassen wir uns mit der Aufzeichnung der Verarbeitungsvorgänge.

Ein wichtiger Grundsatz bei der Verarbeitung personenbezogener Daten ist die Rechenschaftspflicht. Dies bedeutet, dass der Controller (und der Prozessor) für die Einhaltung der Datenschutz-Grundverordnung (DSGVO) verantwortlich ist und diese nachweisen kann. Eine Folge der Rechenschaftspflicht ist die Pflicht zur Aufzeichnung der Verarbeitungsvorgänge in einem Verzeichnis. Es ist ein weit verbreiteter Irrtum, dass ein solches Verzeichnis nur für große Unternehmen obligatorisch wäre. Fast jede Organisation ist verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

Von der Meldepflicht zur Verzeichnispflicht

Nach der bisherigen EU-Datenschutzrichtlinie und ihrer deutschen Umsetzung, dem Bundesdatenschutzgesetz, mussten Unternehmen die Verarbeitung noch bei der Aufsichtsbehörde für den Datenschutz melden. Die Aufsichtsbehörde führte ein Register der ihr gemeldeten Verarbeitungen. Durch die DSGVO wird diese "Meldepflicht" durch eine "Verzeichnispflicht" ersetzt. Statt Verarbeitungen an die Aufsichtsbehörde für den Datenschutz zu melden, müssen die Organisationen nun Aufzeichnungen über die Verarbeitungen in ihrem eigenen Verzeichnis führen. Vorsicht! Das Melden von Datenlecks bleibt auch nach der DSGVO obligatorisch.

Was ist die Verzeichnispflicht?

Artikel 30 EU-DSGVO verlangt, dass der für die Verarbeitung Verantwortliche (und in geringerem Umfang auch der Verarbeiter) Aufzeichnungen über die von ihm durchgeführten Verarbeitungen führt. Es gibt eine Ausnahme: Unternehmen und Organisationen, die weniger als 250 Mitarbeiter beschäftigen, sind von der Verzeichnispflicht befreit, es sei denn die Verarbeitung stellt ein Risiko für die Datensubjekte dar, die Verarbeitung ist nicht zufällig oder die Verarbeitung betrifft spezielle Kategorien von personenbezogenen Daten oder strafrechtlich relevante Daten.

Dies bedeutet, dass ein kleines Unternehmen, das einige einmalige Verarbeitungstätigkeiten durchführt, bereits der Pflicht zur Führung eines Verzeichnisses unterliegt. Und das ist bei den meisten (kleinen) Organisationen der Fall. Eine einmalige Verarbeitung personenbezogener Daten ist jede Verarbeitung struktureller oder dauerhafter Art. Dabei handelt es sich um Verarbeitungstätigkeiten, die fast jedes kleine oder mittelständige Unternehmen durchführt, wie z.B. die Führung von Lohn- und Gehaltsabrechnungen, eine Kundendatenbank und sogar die Verwendung von E-Mails. Mit anderen Worten, die Ausnahme hat so viele Haken, dass letztendlich kaum jemand darunter fällt.

Der Klarheit halber fassen wir noch einmal zusammen, wann die Verzeichnispflicht gilt:

  • Für Unternehmen oder Organisationen mit mehr als 250 Mitarbeitern
  • Wenn eine Verarbeitung mit hohem Risiko durchgeführt wird
  • Bei der Durchführung von nicht nur einmaligen Bearbeitungsvorgängen
  • Wo besondere Kategorien personenbezogener Daten oder strafrechtlich relevante Daten verarbeitet werden

Was steht im Verzeichnis?

Das Register muss zunächst die Kontaktdaten des Inhabers des Registers und gegebenenfalls des Datenschutzbeauftragten (DSB) der Organisation enthalten. So wissen die Betroffenen, an wen sie sich bei Fragen zu ihren Daten wenden können. Es enthält auch die verschiedenen durchgeführten Verarbeitungstätigkeiten, die Verarbeitungsziele für jeden Verarbeitungsschritt, eine Beschreibung der Kategorien der betroffenen Personen und welche personenbezogenen Daten dieser Personen verarbeitet werden. Darüber hinaus wird festgelegt, ob personenbezogene Daten an Dritte weitergegeben werden, wer diese sind und ob es zu einer Übermittlung in Drittstaaten kommt. Vermerkt wird im Verzeichnis auch, wenn möglich, welche Daten wie lange aufbewahrt werden. Schließlich werden die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten allgemein beschrieben.

Du siehst, dass die Führung eines Verzeichnisses über alle Arten von Verarbeitungstätigkeiten zu einem enormen Verwaltungsaufwand werden kann. Aber es muss nicht schwierig sein. Privacy Nexus bietet eine Lösung. Dieses einfach zu bedienende Tool hilft dir, den Überblick über die Aufzeichnung der Verarbeitungstätigkeiten zu behalten.

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company