Breuer, Klingen, Goldkamp Rechtsanwälte · Blog

Allgemeines Zivilrecht | Ihr gutes Recht | IT-Recht | Kaarst | Krefeld | Neuss | Pressemitteilungen | Vertragsrecht | Wettbewerbsrecht

DSGVO – Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

Rechtsanwältin Verena Daniels am 19. April 2018

Welche personenbezogenen Daten werden wie, warum und wo von wem im Unternehmen bearbeitet? Das muss künftig im Verarbeitungsverzeichnis aufgeführt werden.

Denn: Artikel 30 DSGVO erfordert, dass alle Verantwortlichen ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen haben, die in ihrem Unternehmen durchgeführt werden. Das heißt, es muss detailliert dokumentiert werden, in welchem Zusammenhang mit welchen personenbezogenen Daten zu welchem Zweck gearbeitet wird.

Der Zeitaufwand, der erforderlich ist, um diesen Dokumentations- und Rechenschaftspflichten nachzukommen, sollten Sie keinesfalls unterschätzen.

Viele Unternehmen verweisen darauf, dass das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von diesen Dokumentations- und Rechenschaftspflichten befreit. Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt. Da moderne Unternehmen Daten, sei es via Website, Onlineshop, CRM-Systeme, Lohnabrechnungssysteme etc. permanent verarbeiten, also nicht nur gelegentlich, kommt diese Ausnahme nur äußerst selten zum Tragen.

Das heißt: Selbst Freelancer und Einzelunternehmen, Vereine und kleine Unternehmen sind von der Verpflichtung so gut wie nie ausgenommen.

Form des Verzeichnisses

Das Verzeichnis von Verarbeitungstätigkeiten kann schriftlich oder elektronisch geführt werden.

Inhalt des Verzeichnisses

Das Verzeichnis muss mindestens die in Artikel 30 Abs. 1 DSGVO genannten Inhalte aufweisen, das heißt:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und personenbezogener Daten
  • Beschreibung der Kategorien von Empfängern von Daten
  • wenn möglich vorgesehene Fristen zur Löschung.

Die wesentliche Arbeit nimmt die Darstellung der einzelnen Verarbeitungstätigkeiten in Anspruch. Dabei kann bereits die Identifizierung und Zusammenfassung der einzelnen Verarbeitungsprozesse aufwändig und schwierig sein. Die Angaben müssen aussagekräftig sein, deshalb der Rat: Lieber zu viele als zu wenige Angaben zu machen.

Zudem müssen Sie darstellen, welche technischen und organisatorischen Maßnahmen ergriffen worden sind, um die verarbeiteten personenbezogenen Daten vor Kenntnisnahme durch Unbefugte, Zerstörung oder Missbrauch zu schützen. Wie schützen Sie Server, Festplatten und Akten? Wie stellen Sie sicher, dass Dritte wie zum Beispiel der Host Ihrer Webseite, der Newsletter-Dienstleister, die Werbeagentur, Plug-Ins oder andere Programme, die mit personenbezogenen Daten in Kontakt kommen, diese datenschutzkonform behandeln?

Als wenn das Verzeichnis der Verarbeitungstätigkeiten nicht schon kompliziert genug wäre, müssen Unternehmen ihre Verarbeitungstätigkeiten in bestimmten Fällen einem Stresstest unterziehen. Das ist der Fall, wenn

  • Profiling als Grundlage für schwerwiegende Entscheidungen, z.B. für eine Bonitätsbeurteilung, eingesetzt wird
  • im großen Umfang sensible Daten verarbeitet werden
  • Videoüberwachung eingesetzt wird.

In diesen Fällen müssen Sie als Unternehmer die möglichen Risiken aufzählen und in einem Bericht darlegen, wie Sie diese abwenden können. Ist dies nicht möglich, müssen Sie eine Meldung an die zuständige Datenschutzaufsichtsbehörde erstatten.

Das Verzeichnis der Verarbeitungstätigkeiten muss mindestens einmal im Jahr und im Fall von Änderungen aktualisiert werden. Gerade bei Unternehmen mit mehreren Beschäftigten und einer Vielzahl von Verarbeitungsprozessen wird es häufig wirtschaftlich sinnvoller sein, Fachleute zu beauftragen. Vor allem wenn eigene Datenschutzkapazitäten fehlen, leisten externe Datenschutzbeauftragte oder spezialisierte Rechtsanwälte hilfreiche Unterstützung. Im Fall der sehr aufwendigen Datenschutz-Folgenabschätzung wird dies sicher notwendig sein.

Sollten Sie bei der Erstellung dieses Verzeichnisses Hilfe benötigen, setzen Sie sich mit uns in Verbindung. Wir helfen Ihnen gerne!

Rechtsanwältin Verena Daniels
Kostenlose Sofort-E-Mail an Rechtsanwältin Verena Daniels
Tel. 02131/9665-55

Mehr:

Rechtsberatung:

Beiträge und Kommentare geben die persönliche Auffassung der jeweiligen Autoren wieder, die nicht unbedingt der Auffassung der Breuer, Klingen, Goldkamp Rechtsanwälte Partnerschaftsgesellschaft mbB oder der herrschenden Rechtsprechung entspricht. Sie dienen lediglich der Information und Diskussion, d.h. stellen keine Rechtsberatung dar und dürfen nicht als Entscheidungsgrundlage in konkreten Rechtsfällen verwendet werden.

Google Analytics Opt-Out Cookie wurde erfolgreich gesetzt.

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Akzeptiert