Verfahrensverzeichnis bzw. Verzeichnis von Verarbeitungstätigkeiten (DSK-Kurzpapier Nr. 1)

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die DSK hat ein Kurzpapier über das Verfahrensverzeichnis herausgegeben. Hier werden die Fragen geklärt, wer ein Verfahrensverzeichnis erstellen muss, was diese zu beinhalten hat und warum dieses überhaupt zu erstellen ist.

Wer muss ein Verfahrensverzeichnis erstellen?

  • Verantwortliche / Auftragsverarbeiter (z.B. Geschäftsführer)
  • Unternehmen mit mehr als 250 Mitarbeiter
  • AUSNAHME des oben genannten Schwellenwert, wenn
  1. ein Risiko für die Rechte und Freiheiten für die betroffenen Person besteht (z.B. in Fällen von Scoring und Überwachungsmaßnahmen) ODER
  2. die Datenverarbeitung NICHT regelmäßig erfolgt ODER
  3. besondere Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, etc.) verarbeitet werden

Trifft eine der genannten Ausnahmekategorien zu, ist der Verantwortliche ebenfalls zur Führung eines Verfahrensverzeichnisses verpflichtet.

Anmerkung der Datenbeschützerin

Schlussfolgernd aus den oben genannten Punkten ist daraus zu schließen, dass viele Unternehmen / Organisationen / Vereine zur Erstellung eines Verfahrensverzeichnis verpflichtet sind. Sofern Mitarbeiter eingestellt werden, ist eine regelmäßige Datenverarbeitung unumgänglich.

Muss das Verfahrensverzeichnis öffentlich zugänglich sein?

  • Nein, das war im BDSG-alt gefordert
  • Des Weiteren ist das Verfahrensverzeichnis auch nicht mehr der Aufsichtsbehörde zu melden
  • Das Verfahrensverzeichnis es jedoch auf Verlangen der Aufsichtsbehörde offenzulegen

Hinweise der Datenbeschützerin

Dieser Punkt ist dem Verantwortlichen unbedingt mitzuteilen. Möchten Kunden / Geschäftspartner Einsicht in das Verfahrensverzeichnis haben, ist diese zu verneinen und auf die Informationspflichten zu verweisen.

Welche Inhalte müssen in das Verfahrensverzeichnis?

  • Rechtsgrundlage: Art. 30 DSGVO
  • Zwecke der Verarbeitung
  • Betroffene Personen (z.B. Kunden / Geschäftspartner / Mitarbeiter)
  • Datenkategorien der betroffenen Personen (z.B. Name, Adresse, Telefonnummer etc.)
  • Empfänger (intern / extern) der Daten (z.B. interne Mitarbeiter, Steuerberater etc.)
  • Beschreibung der technischen und organisatorischen Maßnahmen

Hinweise der Datenbeschützerin

Weitere Angaben sind nach Art. 30 DSGVO noch erforderlich (diese wurden im Papier nicht genannt):

  • Namen und Kontaktdaten des Verantwortlichen/gemeinsamen Verantwortlichen sowie des Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
  • Übermittlung der Daten in ein Drittland oder internationale Organisations mit Beschreibung der Schutzmaßnahmen (besondere Bedingung nach Art. 44 ff.)
  • Löschfristen (wenn möglich)

Was passiert, wenn kein Verfahrensverzeichnis erstellt wird?

  • Es kann ein Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO durch die Aufsichtsbehörde erlassen werden

Anmerkung der Datenbeschützerin

In Deutschland wurde noch kein Bußgeld aufgrund eines fehlenden bzw. fehlerhaften Verfahrensverzeichnisses bekannt.

Warum muss ein Verfahrensverzeichnis erstellt werden?

  • Das Verfahrensverzeichnis ist nur ein Teilbereich des Datenschutzmanamgents
  • Mit der Erstellung und Pflege des Verfahrensverzeichnisses kommt der Verantwortliche seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nach

Weitere Dokumentation für das Datenschutzmanamgent

  • Vorliegen und Nachweis von Einwilligungen
  • Prüfung der ordnungsgemäßen Datenverarbeitung
  • Ergebnis der Datenschutz-Folgeabschätzung

Anmerkungen der Datenbeschützerin

Weitere Informationen zum Verfahrensverzeichnis finden Sie in unserem Blogartikel: Datenschutz Verfahrensverzeichnis mit Muster.

DSK-Kurzpapier Nr. 1

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.