Das Verfahrensverzeichnis als effektives Instrument des Datenschutzes

Datenschutzbeauftragtenfinden.de Wissensartikel

Die Strafen gegen einen Verstoß der europaweit geltende Datenschutzgrundverordnung (EU-DSGVO) sind bisher noch milde ausgefallen. Strafen in zweifacher Millionenhöhe musste bisher nur das Internetunternehmen Google zahlen – verhängt von der französischen Datenschutzbehörde. Deutschen Datenschutzbehörden machen nun Ernst. Aktuell läuft ein Berliner Verfahren mit einem möglichen Bußgeld in zweistelliger Millionenhöhe.

Das Verfahrensverzeichnis als effektives Instrument des Datenschutzes

In der europaweit geltenden Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, verfügt über zwei verschiedene Verfahrensverzeichnisse. Es wird zwischen dem internen und öffentlichen Verfahrens­verzeichnis unterschieden. Während im internen Verfahrensverzeichnis alle Angaben zum ang­ewandten Verfahren veröffentlicht sind, die zur Einhaltung der Datensicherheit notwendig sind, ist das öffentliche Verfahrensverzeichnis für jedermann einzusehen.

Seit dem Einsatz des DSGVO gibt es einige grundlegende Änderungen, die in den Unternehmens­alltag eingearbeitet werden müssen. Durch die Maßgaben der DSGVO wird konsequent festgelegt, dass die Unternehmen ihrer Nachweispflicht gegenüber der Aufsichtsbehörden nachkommen müssen. Die Betroffen sind sowohl die Eigner eines Unternehmens als auch eventuell vorhandene Dienstleister und nachweisbar sein, dass die personenbezogenen Daten dauerhaft geschützt werden.

Mit den Datenschutzregeln wird vorgeschrieben, dass die Verantwortlichen, sowie Vereine, Unter­nehmen und Freiberufler und Partnerunternehmer – wozu beispielsweise Partnerunternehmen der IT, Cloudanbieter oder Rechenzentren verpflichtet sind, ein Verfahrensverzeichnis zu erstellen sowie fortlaufend und aktuell zu führen. Häufig muss ein derartiges Verzeichnis über die Verarbeitung von personenbezogener Daten durch den Verantwortlichen und den Auftragsverarbeiters unterscheidet.

Das Verfahrensverzeichnis muss einheitlich gestaltet sein

Heutzutage sind fast alle Unternehmen, zumindest aber Unternehmen ab einer Mitarbeiterzahl von 250 Mitarbeitern sowie Unternehmen, die viel mit personenbezogenen Daten arbeiten, dazu verpflichtet, ein Verarbeitungsverzeichnis oder Verzeichnis für Verarbeitungstätigkeiten selbstständig zu erstellen. In dem Verzeichnis müssen sämtliche Verarbeitungsprozesse der personenbezogenen Daten hervorgehen und dient vorrangig dazu, um nachzuweisen, wie mit ihnen umgegangen wurde.

Die Verarbeitung der personenbezogenen Daten unterliegt strengen Dokumentationspflichten, die bereits im national geltenden BDSG-alt festgelegt wurden. Allerdings wird dieses nach dem Ablauf der Übergangsfrist der DSGVO durch das BDSG-neu ersetzt. Ab dem 28. Mai 2020, in dem das DSGVO eingesetzt wird, müssen die für den Datenschutz Verantwortlichen müssen das interne und externe Verfahrensverzeichnisse in einem einheitlichen Verarbeitungsverzeichnis zusammengeführt werden.

Das Verarbeitungsverzeichnis ist gründlich zu führen und konsequent zu pflegen, sodass es den Aufsichtsbehörden für den Datenschutz auf Wunsch nachgewiesen werden kann. Ein weiterer Punkt, der nun hinzugekommen ist, liegt darin, dass die Unternehmen ein Verzeichnis für die Erfassung von Auftragsdaten erstellen muss. Wird das Verfahrensverzeichnis fehlerhaft oder lückenhaft geführt, ist mit strengen Strafen zu rechnen – 20 Millionen Euro bzw. 4 % des weltweiten Vorjahresumsatzes.

Das Verfahrensverzeichnis richtig erstellen

Grundsätzlich gilt, dass ein Verfahrensverzeichnis von den für den Datenschutz verantwortlichen im Unternehmen schriftlich zu führen ist. Nach dem Artikel 30, Absatz 1 DSGVO müssen die folgenden Angaben bezüglich der Datenverarbeitung enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen bzw. seinem (Mit)verantwortlichen, dem Vertreter und dem Datenschutzbeauftragten (falls er existiert)
  • Die Zwecke der Verarbeitung der personenbezogenen Daten
  • Beschreibung der Kategorien von betroffenen Personen (Näheres ist im Artikel 9, Absatz 1 des DSGVO zu finden
  • Die Kategorien der Datenempfänger, in denen festgelegt wird, wer noch Zugriff auf die personenbezogenen Daten hat (Artikel 4, Absatz 9 DSGVO)
  • Übermittlung von personenbezogene Daten in ein Drittland oder eine internationale Organisation. Hier müssen Angaben zum Drittland oder der internationalen Organisation gemacht werden. (Artikel 49 DSGVO)
  • Wenn möglich, die Löschungsfristen der Datenkategorien und die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen festlegen

Das Verfahrensverzeichnis sollte am besten elektronisch geführt werden, allerdings sind die Verzeichnisse in deutscher Sprache zu benutzen. Außerdem ist es notwendig, dass es sich immer auf dem aktuellen Stand befindet, sodass die Aufsichtsbehörden es zu jeder Zeit anfordern können.

Es existieren zwei Arten des Verfahrensverzeichnissen – dem internen und öffentlichen Verfahrens­be­­schreibung. So müssen im Rahmen des internen Verfahrensverzeichnis ist es notwendig, alle Verfahren, die personenbezogene Daten durchlaufen müssen, genau zu beschreiben, was bei dem öffentlichen Verfahrensverzeichnis nicht notwendig ist.

Tipps der Entwicklung eines Verfahrensverzeichnis

Die Art des Aufbaus eines Verfahrensverzeichnisses sollte auf der Komplexität des Unternehmens basieren, doch trotz allem müssen die Anforderungen des Artikel 5, Absatz 2 – die Rechenschafts-pflicht – sowie dem Artikel 24 und Artikel 30 erfüllt werden.

Um eine Doppeldokumentation zu vermeiden, ist es notwendig, unnötige Dokumente zu löschen. Die beste Möglichkeit liegt darin, eine Verweisung auf relevante Dokumente vorzunehmen. Dazu gehören beispielsweise das Datenschutzkonzept oder das Löschkonzept bei gelöschten Daten. Sollte die Aufsichtsbehörde die Daten anfordern, müssten auch die Konzepte, auf die verwiesen wird, den Behörden mit vorgelegt werden.

Wird die Verfahrensbeschreibung bzw. das Verzeichnis für Verarbeitungstätigkeiten neu entwickelt, ist ein hohes Detailwissen wichtig. Dafür ist eine gute, regelmäßige Kommunikation zur Pflege unabdingbar, gleichzeitig müssen ausreichend Mitarbeiter den Datenschutzes absichern.

Sie suchen einen Datenschutzbeauftragten? Jetzt externen Datenschutzbeauftragten finden.

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Schreibe einen Kommentar