Ein Überblick
1. Art. 30 DS-GVO: Inhalt und Rechtsfolgen
Mit dem Verzeichnis der Verarbeitungstätigkeiten dokumentieren die Verpflichteten nach Art. 30 DS-GVO, dass sie die Datenschutzvorgaben der DS-GVO einhalten. Gleichzeitig erfüllen sie ihre Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO.
a) Wer? - Der persönliche Geltungsbereich
Zur Erstellung und Führung eines Verzeichnisses der Verarbeitungstätigkeiten sind Verantwortliche nach Art. 30 Abs. 1 DS-GVO, Auftragsverarbeiter nach Art. 30 Abs. 2 DS-GVO und deren Vertreter nach Art. 27 DS-GVO verpflichtet. Die Verpflichtung des Auftragsverarbeiters wurde durch die DS-GVO begründet und war bislang für den Auftragsdatenverarbeiter im BDSG nicht vorgeschrieben.
Kein Verzeichnis müssen nach Art. 30 Abs. 5 DS-GVO grundsätzlich Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern führen. Von dieser Ausnahme macht die Verordnung allerdings im selben Absatz fünf drei Gegen-Ausnahmen und begründet eine Erstellungs- und Führungspflicht, wenn der Verantwortliche bzw. der Auftragsverarbeiter Verarbeitungen von personenbezogenen Daten durchführt, die
- ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z.B. Videoüberwachung, Bonitätsscoringverfahren, Ortung von Mitarbeitern) oder
- besondere Datenkategorien nach Art. 9 Abs. 1 DS-GVO (z.B. Religionsdaten, Gesundheitsdaten, biometrische Daten) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen oder
- nicht nur gelegentlich erfolgen (z.B. Verarbeitung von Kunden- oder Beschäftigtendaten, IT-/Internet-/E-Mail-Protokollierung).
Die Pflicht zu Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht bereits dann, wenn mindestens ein Verarbeitungsvorgang aus den oben genannten drei Fallgruppen stattfindet.
Viele der Unternehmen verarbeiten im Rahmen der Lohnabrechnung die Angabe ihrer Mitarbeiter zur Konfessionszugehörigkeit, die eine besondere Datenkategorie nach Art. 9 Abs. 1 DS-GVO ist und die Pflicht zu Führung eines Verzeichnisses von Verarbeitungstätigkeiten begründet. Dies hat zur Folge, dass eine Ausnahme von der Pflicht nach Art. 30 DS-GVO sehr selten vorliegen dürfte und die meisten Verantwortlichen mit weniger als 250 Mitarbeitern ein Verzeichnis erstellen müssten.
b) Was? - Der Inhalt des Verzeichnisses
Die Angaben, die die Verantwortlichen (Art. 30 Abs. 1 DS-GVO) und Auftragsverarbeiter (Art. 30 Abs. 2 DS-GVO) bei der Erstellung und Führung des neuen Verzeichnisses erfassen müssen und die wir nachfolgend vorstellen, stellen den Mindestinhalt dieses Verzeichnisses dar. Dabei ist hervorzuheben, dass der Pflichtenkatalog des Auftragsverarbeiters wesentlich kürzer als derjenige des Verantwortlichen ist, weil der Auftragsverarbeiter weisungsgebunden handelt.
Der Begriff der Verarbeitungstätigkeit nach Art. 4 Nr. 2 DS-GVO ist sehr weit gefasst und umfasst einen Vorgang oder eine Vorgangsreihe mit Bezug zu personenbezogenen Daten, wie z.B. Erhebung, Erfassung, Organisation, Speicherung, Veränderungen, Abfrage, Verwendung, Übermittlung. Beispiele aus der Unternehmenspraxis sind sämtliche Vorgänge in Zusammenhang mit Arbeitszeiterfassung, Kundenstammdaten, Lohnabrechnung und Newsletter-Versand.
aa) Die Pflichten des Verantwortlichen nach Art. 30 Abs. 1 S. 2 DS-GVO
Anzugeben sind zumindest folgende Informationen:
- Name und Kontaktdaten des Verantwortlichen, eines gegebenenfalls gemeinsam mit ihm Verantwortlichen, eines Vertreters sowie eines etwaigen Datenschutzbeauftragten (lit. a)),
- Zwecke der Verarbeitung (lit. b)),
- Beschreibung der Kategorien betroffener Personen und personenbezogener Daten (lit. c)),
- Kategorien von Empfängern, denen die Daten offengelegt wurden oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen (lit. d)),
- Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation (lit. e)),
- vorgesehene Löschungsfristen der verschiedenen Datenkategorien (lit. f)) und
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO (lit. g)).
Einige Hinweise hierzu:
Insbesondere ist hervorzuheben, dass die Dokumentation des Zwecks einer jeden Verarbeitungstätigkeit eindeutig und nachvollziehbar erfolgen muss. Dadurch soll sichergestellt werden, dass sich jeder Verantwortliche vor der Verarbeitung personenbezogener Daten Gedanken darüber macht, wofür er exakt diese Daten benötigt. Dies führt idealerweise dazu, dass nur die Daten verarbeitet werden, die im Unternehmen erforderlich sind.
Empfänger im Sinne der lit. d) können auch Teile eines Unternehmens sein, aber auch die Muttergesellschaft des Verantwortlichen, die Banken, die Finanzämter und die anderen potentiellen Empfänger von personenbezogenen Daten.
Bei Übermittlungen in ein Drittland oder an eine internationale Organisation ist zu beachten, dass der Verantwortliche nach Art. 49 Abs. 6 DS-GVO zur Dokumentation seiner Beurteilung sowie der angemessenen Garantien verpflichtet ist.
bb) Die Pflichten des Auftragsverarbeiters nach Art. 30 Abs. 2 DS-GVO
Von den oben genannten Pflichten des Verantwortlichen sind die Pflichten nach Art. 30 Abs. 1 S. 2 lit. c), d) und f) DS-GVO für den Auftragsverarbeiter ohne Bedeutung. Er muss lediglich Folgendes angeben:
- Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, eines Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten (lit. a)),
- Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden (lit. b)),
- Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation (lit. c)) und
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO (lit. d)).
Besonders wichtig ist, dass der Auftragsverarbeiter ein eigenes Verzeichnis erstellt und nicht lediglich pauschal auf das Verzeichnis des Verantwortlichen verweist.
Hervorzuheben ist zudem die Pflicht des Auftragsverarbeiters, die sich mittelbar aus Art. 28 Abs. 3 S. 2 lit. a) DS-GVO ergibt, die Weisungen des Verantwortlichen hinsichtlich der Datenverarbeitung zu dokumentieren.
c) Wie? - Die Form des Verzeichnisses
Die Verzeichnisse nach Art. 30 Abs. 1 und Abs. 2 DS-GVO sind schriftlich zu führen. Nach Art. 30 Abs. 3 DS-GVO kann dies auch in einem elektronischen Format, insbesondere durch die Verwendung einer speziellen Datenschutz-Software, erfolgen.
Insbesondere die Auftragsverarbeiter, die standardisierten Produkte bzw. Dienstleistungen (z.B. Cloud Computing, Call Center) anbieten, werden auf die Möglichkeit zugreifen können, die im Auftrag genommenen inhaltsgleichen Verarbeitungen zu gruppieren und zu diesen Gruppen die entsprechenden Verantwortlichen zuzuordnen. Derart werden sie z.B. in tabellarischer Form sehr effizient und praktikabel die Angaben zum Verarbeitungszweck im Sinne der Verordnung erfassen können, ohne jede Verarbeitungstätigkeit im Auftrag eines jeden einzelnen Verantwortlichen anzugeben.
d) Wie oft? - Aktualisierungspflicht
Eine ausdrückliche Pflicht zur Aktualisierung begründet die DS-GVO nicht. Eine solche Pflicht lässt sich allerdings aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO ableiten. Danach ist der Verantwortliche zur Einhaltung der Grundsätze der DS-GVO verpflichtet und muss deren Einhaltung nachweisen können. Eine zeitliche Vorgabe, wann die Rechenschaft abzugeben ist, macht die Verordnung nicht. Daraus lässt sich allerdingst schlussfolgern, dass der Verantwortliche jederzeit hierzu in der Lage sein muss. Daher sollten jeder Verantwortliche und jeder Auftragsverarbeiter das eigene Verzeichnis fortlaufend aktualisieren.
e) Was droht? - Verstöße gegen Art. 30 DS-GVO
Nach Art. 83 Abs. 4 lit. a) DS-GVO führen folgende Verstöße zu einer Geldbuße von bis zu 10 Mio. € oder von bis zu 2 % des Umsatzes:
- fehlende Erstellung des Verzeichnisses,
- nicht vollständige Führung des Verzeichnisses oder
- Nichtvorlegen des Verzeichnisses nach der Aufforderung durch die Aufsichtsbehörde.
2. Änderungen zum § 4g Abs. 2 und 2a BDSG
Ein grundlegender Unterschied zum Verfahrensverzeichnis nach § 4g Abs. 2 und 2a BDSG liegt darin, dass das neue Verzeichnis nach Art. 30 DS-GVO nicht öffentlich zugängig ist. D.h. dass ab dem 25.05.2018 nicht jedermann ein Einsichtsrecht hat. Allein die Aufsichtsbehörde hat nach Art. 30 Abs. 4 DS-GVO das Recht, das neue Verzeichnis anzufordern.
Weiter entfallen mit der DS-GVO die Meldepflichten von manchen Unternehmen nach §§ 4d, 4e BDSG. Diese Meldepflichten sind mit einem bürokratischen und finanziellen Aufwand verbunden gewesen und haben dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt, so die Argumente im 89. EG der DS-GVO zur Abschaffung der Meldepflicht.
3. Fazit und Umsetzung
Zusammenfassend ist allen Verantwortlichen und Auftragsverarbeitern zu empfehlen, sich im ersten Schritt die Zeit zu nehmen und zu prüfen bzw. prüfen zu lassen, ob sie von der Pflicht zur Verzeichniserstellung umfasst sind. Im zweiten Schritt sollten sich die zur Erstellung Verpflichteten dafür entscheiden, welche Umsetzungsart (Tabelle; Software o.a.) sie bevorzugen.
Aktuell sind folgende tabellarischen Gestaltungs-Muster eines Verzeichnisses nach Art. 30 DS-GVO online verfügbar:
- https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
Für die Erfassung sämtlicher Verarbeitungstätigkeiten und der dazu nach Art. 30 DS-GVO erforderlichen Angaben ist allen Verantwortlichen und Auftragsverarbeitern im Ergebnis anzuraten, ausreichend Zeit und Ressourcen einzuplanen.