Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Die DSK hat ein Kurzpapier über das Verfahrensverzeichnis herausgegeben. Hier werden die Fragen geklärt, wer ein Verfahrensverzeichnis erstellen muss, was diese zu beinhalten hat und warum dieses überhaupt zu erstellen ist.
Inhaltsverzeichnis
Wer muss ein Verfahrensverzeichnis erstellen?
- Verantwortliche / Auftragsverarbeiter (z.B. Geschäftsführer)
- Unternehmen mit mehr als 250 Mitarbeiter
- AUSNAHME des oben genannten Schwellenwert, wenn
- ein Risiko für die Rechte und Freiheiten für die betroffenen Person besteht (z.B. in Fällen von Scoring und Überwachungsmaßnahmen) ODER
- die Datenverarbeitung NICHT regelmäßig erfolgt ODER
- besondere Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, etc.) verarbeitet werden
Trifft eine der genannten Ausnahmekategorien zu, ist der Verantwortliche ebenfalls zur Führung eines Verfahrensverzeichnisses verpflichtet.
Anmerkung der Datenbeschützerin
Schlussfolgernd aus den oben genannten Punkten ist daraus zu schließen, dass viele Unternehmen / Organisationen / Vereine zur Erstellung eines Verfahrensverzeichnis verpflichtet sind. Sofern Mitarbeiter eingestellt werden, ist eine regelmäßige Datenverarbeitung unumgänglich.
Muss das Verfahrensverzeichnis öffentlich zugänglich sein?
- Nein, das war im BDSG-alt gefordert
- Des Weiteren ist das Verfahrensverzeichnis auch nicht mehr der Aufsichtsbehörde zu melden
- Das Verfahrensverzeichnis es jedoch auf Verlangen der Aufsichtsbehörde offenzulegen
Hinweise der Datenbeschützerin
Dieser Punkt ist dem Verantwortlichen unbedingt mitzuteilen. Möchten Kunden / Geschäftspartner Einsicht in das Verfahrensverzeichnis haben, ist diese zu verneinen und auf die Informationspflichten zu verweisen.
Welche Inhalte müssen in das Verfahrensverzeichnis?
- Rechtsgrundlage: Art. 30 DSGVO
- Zwecke der Verarbeitung
- Betroffene Personen (z.B. Kunden / Geschäftspartner / Mitarbeiter)
- Datenkategorien der betroffenen Personen (z.B. Name, Adresse, Telefonnummer etc.)
- Empfänger (intern / extern) der Daten (z.B. interne Mitarbeiter, Steuerberater etc.)
- Beschreibung der technischen und organisatorischen Maßnahmen
Hinweise der Datenbeschützerin
Weitere Angaben sind nach Art. 30 DSGVO noch erforderlich (diese wurden im Papier nicht genannt):
- Namen und Kontaktdaten des Verantwortlichen/gemeinsamen Verantwortlichen sowie des Vertreters
- Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
- Übermittlung der Daten in ein Drittland oder internationale Organisations mit Beschreibung der Schutzmaßnahmen (besondere Bedingung nach Art. 44 ff.)
- Löschfristen (wenn möglich)
Was passiert, wenn kein Verfahrensverzeichnis erstellt wird?
- Es kann ein Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO durch die Aufsichtsbehörde erlassen werden
Anmerkung der Datenbeschützerin
In Deutschland wurde noch kein Bußgeld aufgrund eines fehlenden bzw. fehlerhaften Verfahrensverzeichnisses bekannt.
Warum muss ein Verfahrensverzeichnis erstellt werden?
- Das Verfahrensverzeichnis ist nur ein Teilbereich des Datenschutzmanamgents
- Mit der Erstellung und Pflege des Verfahrensverzeichnisses kommt der Verantwortliche seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nach
Weitere Dokumentation für das Datenschutzmanamgent
- Vorliegen und Nachweis von Einwilligungen
- Prüfung der ordnungsgemäßen Datenverarbeitung
- Ergebnis der Datenschutz-Folgeabschätzung
Anmerkungen der Datenbeschützerin
Weitere Informationen zum Verfahrensverzeichnis finden Sie in unserem Blogartikel: Datenschutz Verfahrensverzeichnis mit Muster.
DSK-Kurzpapier Nr. 1
Quelle
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf
