Warum es sich lohnt, dieses Verzeichnis zu führen

Der richtige Begriff ist „Verzeichnis der Verarbeitungstätigkeiten„. Es werden für diesen Begriff verschiedene Worte verwendet so z.B. Dokumentationspflicht, Verfahrensverzeichnis oder Verarbeitungsverzeichnis. Diese Beschreibungen sind  Synonyme für den oben genannten Begriff.

Was? Wann? Wo?

Es empfiehlt sich, die personenbezogene Datenverarbeitung zu dokumentieren, auch wenn nicht für jeden Verantwortlichen eine Verpflichtung dazu besteht. Das Verzeichnis kann handschriftlich oder elektronisch geführt werden.  Durch die Vorlage-Pflicht an die Aufsichtsbehördemuss es in gedruckter oder elektronischer Weise exportierbar sein (Art.30/4 DSGVO). Das frühere „Datenverarbeitungsregister“ oder „öffentliches Verfahrensverzeichnis“ ist nicht mehr verpflichtend. 

Die Regelung lautet:

Eine Dokumentationspflicht trifft nur unter diesen Umständen zu:

  • Du hast mehr als 250 Mitarbeiter Art.30/5 DSGVO oder 
  • wenn Du Videoüberwachung hast, wenn Du sensible Daten oder strafrechtlich relevante Daten verarbeitest, 
  • wenn die Verarbeitung mehr als nur gelegentlich erfolgt

Soll ich nun das Verzeichnis machen?

Wenn Du jetzt nachdenkst, ob du ein Verzeichnis führen sollst oder nicht, dann lass es sein. Mach das Verzeichnis! Wenn die ersten beiden Punkte nicht zutreffen, dann trifft auf jeden Fall der letzte Punkt zu. Wenn Du eine Lohnverrechnung mit EDV machst, wenn Du einmal im Jahr Weihnachtskarten versendest, ist das mehr als gelegentlich. Niemand verarbeitet personenbezogene Daten nur gelegentlich.

Das Verzeichnis ist die Buchhaltung Deiner Datenverarbeitung

Auch wenn es wie eine unnötige administrative Aufgabe ausschaut – dieses Verzeichnis ist für Dich wichtig. Betrachte es wie die Buchhaltung der Verarbeitung von personenbezogenen Daten in Deinem Unternehmen. Buchhaltung macht niemand gerne, aber Du willst doch sicher wissen, welches Ergebnis du erzielt hast. 

Wo steht das alles im Gesetz?

Die Dokumentationspflicht ist in Art.30 DSGVO festgelegt.

Im Punkt 5 wird zwar gesagt, dass Du erst ab 250 Mitarbeitern ein Verzeichnis führen musst, aber zum Zwecke der Beweisführung, für den Fall der Fälle, ist ein Verzeichnis sicherlich hilfreich – siehe dazu den Erwägungsgrund 82.

➽  Ich rate Dir dieses Verzeichnis unbedingt zu führen. Es beweist der Behörde, dass Du Dich damit auseinander gesetzt hast, was darauf schließen lässt, dass Deine Verarbeitung in Ordnung ist.

 

Was gehört alles hinein?

Das soll im Verzeichnis drinnen stehen:

  • Bewertung der Risiken der Datenverarbeitung
  • Risikoabschätzung dokumentieren
  • Technische und organisatorische Maßnahmen aufgrund der Risikoabschätzung
  • Wenn Entscheidungen getroffen werden sind die dazu hinführenden Überlegungen und Schlussfolgerungen zu dokumentieren
  • Überprüfung der korrekten Umsetzung
  • Regelmäßige Risikoabschätzung und Nachbesserung der Umsetzung
  • Überprüfung der Maßnahmen, die gegebenenfalls nachjustiert werden
  • Welche Daten zu welchem Zweck in welchem Format, wie lange gespeichert werden
  • Welche Arten von Betroffenen (z.B. Vereinsmitglieder, Kunden, Patienten etc) gespeichert werden
  • Welche Anwendungen und Formate

Das Verzeichnis könnte auch ein zentraler Punkt des Datenschutzmanagements sein. Wenn man die Pflichten des Verantwortlichen berücksichtigt, könnte es die Grundlage für Risikobewertungen und strukturierte Dokumentation sein, sodass Beratungs- und Kontrollpflichten durch den Datenschutzbeauftragten überhaupt erst möglich wären.

Verarbeitung von Datensätzen in Papierform gehören ebenfalls in das Verzeichnis.

Achtung dieses Verzeichnis bezieht sich nicht auf die Rechenschaftspflicht von Art.5/2 DSGVO!

So könnte es aussehen

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen

Hauptblatt

  1. Name und Kontaktdaten des Verantwortlichen  Art.30/1a DSGVO
  2. Gesetzlicher Vertreter (=Geschäftsführung) Name/Kontaktdaten
  3. Vertreter in der EU  für nicht in der Union niedergelassenen Verantwortlichen Art.27 DSGVO Name / Ladungsfähige Anschrift
  4. Datenschutzbeauftragter Name/Kontaktdaten
  5. Optionale Inhalte / Übergreifende Regelungen und Sachverhalte
  6. Zuständige Aufsichtsbehörde  – Meldung des/der Datenschutzbeauftragten erfolgt: Ja / Nein
  7. Regelungen zur Datensicherheit – Verweis auf übergreifende IT-Sicherheitskonzepte, die grundsätzlich für alle Verarbeitungstätigkeiten gelten
  8. Regelungen zur Datenlöschung – Verweis auf übergreifende Löschkonzepte, die grundsätzlich für alle Verarbeitungstätigkeiten gelten. Zum Beispiel: welche Fristen Du für die Löschung von Datenkategorien vorgesehen hast
  9. Sachverhalte zu Drittstaatenübermittlungen  – Verweis auf übergreifende Punkte wie BCR, die grundsätzlich für alle Verarbeitungstätigkeiten gelten – Welche Garantien es bei Übermittlung von personenbezogenen Daten in ein Drittland gibt.
  10. Welche Anwendung: Kundenverzeichnis, Newsletterversand, Personalverzeichnis
  11. Welche Kategorie personenbezogener Daten du verarbeitest (Personaldaten könnten möglicherweise Gesundheitsdaten enthalten …sensible Daten)
  12. Welche Datenarten oder Datenkategorien Du speicherst. Das können Personalakten, Bildmaterial, Telefonnummern, Emailadresse, Postanschrift und Alter sein.
  13. Welche Kategorie von Personen (Kreis der Betroffenen) von denen Du die personenbezogenen Daten verarbeitest z.B. Mitarbeiter, Onlinekunden usw…
  14. Welchen Zweck Deine Verarbeitung hat (Marketing, Vertragserfüllung, gesetzliche Verpflichtung)
  15. Speicherdauer, wie lange Du die Daten aufbewahrst

Ich habe kein Verzeichnis

Das Erstellen des Verzeichnisses ist keine unlösbare Aufgabe. Wenn aber die Behörde nach dem Verzeichnis fragt und Du hast es nicht, wird das unnötig teuer.

➽ Es reicht schon das Format eines Excel-Sheets.

➽ Dieses Verzeichnis wird Dich noch lange begleiten. Hier findest Du noch ein paar weitere Details.