(1.12.2016) In unserer 7. Folge über die EU-Datenschutzgrundverordnung (DSGVO) geht es um das Thema:
Verzeichnis der Verarbeitungstätigkeiten
Jedes Unternehmen muss eine Übersicht führen, welche personenbezogene Daten es warum und wie lange bearbeitet.
Daran ändert sich auch ab Mai 2018 nicht viel, wenn die DSGVO in Kraft tritt. Mit einer Ausnahme: Bisher kann eine fehlende Dokumentation nicht geahndet werden. Zukünftig löst dies aber eine Geldbuße aus, die bis zu 10 Mio. Euro betragen kann (oder 2% des weltweiten Jahresumsatzes, falls diese Summe höher ist).
Wie umfangreich muss die Dokumentation werden?
Der Inhalt der Dokumentationspflicht verschiebt sich nur leicht. Gem. Abs. 1 des Art. 30 DSGVO muss jedes Unternehmen ein „Verzeichnis der Verarbeitungstätigkeiten“ führen, in dem es schriftlich oder elektronisch folgende Angaben festhält:
- Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
- Zwecke der Datenverarbeitung
- betroffene Personen und betroffene Daten
- Empfänger von Daten, falls sie weitergegeben werden
- Übermittlungen in Drittländer plus der Rechtsgrundlage hierfür
- Löschungsfristen pro Datenkategorie, wenn möglich
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, wenn möglich
Auch Auftragnehmer müssen dokumentieren
Neu ist, dass auch Auftragsverarbeiter eine Dokumentation führen müssen. Denn sie gelten zukünftig als ebenso verantwortlich für den Datenumgang wie die Auftraggeber selbst.
Von ihnen muss festgehalten werden (Art. 30 Abs. 2 DSGVO):
- Name und Kontaktdaten von Auftraggeber, Auftragnehmer und des etwaigen Datenschutzbeauftragten
- Kategorien von Verarbeitungen, die im Auftrag durchgeführt werden
- Übermittlungen in Drittländer plus die Rechtsgrundlage hierfür
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, wenn möglich
Keine Ausnahmen
Wenn man den Art. 30 der DSGVO liest, könnte man zunächst den Eindruck haben, dass nur größere Stellen mit über 250 Mitarbeitern derartige Dokumentationen führen müssen. In der Praxis wird jedoch kaum ein Unternehmen die kompliziert formulierten Bedingungen für eine Ausnahme erfüllen: De facto muss jedes Unternehmen die Dokumentation führen – sei es, weil die Datenverarbeitung „nicht nur gelegentlich erfolgt“ oder weil in der Personalabteilung auch „besondere Datenkategorien“ wie Schwerbehinderung oder Krankheitstage verarbeitet werden.
Verantwortung liegt beim Unternehmen
Verantwortlich für die Dokumentation ist in erster Linie das Unternehmen, nicht der Datenschutzbeauftragte. Letzterer muss überwachen, dass alle Datenschutz-Vorschriften eingehalten werden – und somit auch, ob das „Verzeichnis der Verarbeitungstätigkeiten“ geführt wird.
Wir arbeiten gerade an einer Datenbanklösung, mit der unsere Kunden und wir die Verarbeitungsübersichten möglichst gut, effizient und zeitsparend erstellen und pflegen können.
Zusammenfassung: Grundlegende Angaben zum Datenumgang müssen dokumentiert werden, ansonsten kann eine Geldbuße drohen.
Übrigens: Alle Änderungen, die die DSGVO mit sich bringt, erfahren Sie in unserem Online-Training zur DSGVO. Mit Teilnahmezertifikat und PDF-Zusammenfassung. → mehr zum DSGVO-Online-Training
Wir beraten Sie aber auch gerne im Einzelfall bei der Umsetzung der neuen Vorgaben: → mehr zur Datenschutzberatung