Verfahrensverzeichnis Datenschutz

Sowohl die zuständige Behörde ( 30 Abs. 1 DSGVO) als auch - und das ist eine Neuerung - jeder Vertragsbearbeiter für die Auftragsabwicklung (30 Abs. 2 DSGVO, s. auch unseren Beitrag über die Aufgaben des Vertragsbearbeiters) ist für die Erstellung und Führung eines Bearbeitungsverzeichnisses zuständig. Die Verantwortlichen und Unternehmer müssen die Liste jedoch den zuständigen Behörden auf Verlangen hin zugänglich machen (Art. 30 Abs. 4 und Erwägung 82 DSGVO).

Die generelle Verpflichtung zum Nachweis und zur Dokumentation der Rechtmässigkeit der Datenverarbeitung (z.B. Artikel 5 Absatz 2 DSBER) wird in der Folge eine wichtige Bedeutung für die Erfüllung dieser Forderungen haben. Wenn Sie die Vorgaben des BDSG bereits erfüllt haben und ein firmeninternes Verfahrensverzeichnis gepflegt haben, können Sie damit ein Verfahrensverzeichnis gemäß DSGVO einrichten.

Wie ist die Liste der Bearbeitungsaktivitäten? Nach § 30 DSGVO müssen die Betriebe eine "Liste der Verarbeitungstätigkeiten" vorhalten. Das Adressbuch soll der Übersichtlichkeit der Verarbeitung persönlicher Informationen und dem Rechtsschutz des Betriebes dienen. Eine Liste von Bearbeitungsvorgängen beinhaltet mehrere Vorgangsbeschreibungen. Die Bearbeitungsschritte der Personendaten sind in den Prozessbeschreibungen festgehalten.

Die Unterlagen müssen zeigen, welche personenbezogenen Informationen das jeweilige Unter- nehmen bearbeitet und wie und welche technischen und organisatorischen Massnahmen zum Schutze dieser Informationen ergriffen wurden. Es wird empfohlen, eine Gesamtübersicht über alle Applikationen und Tools (IT-Verfahren und Dateien) zu schaffen, die im Betrieb eingesetzt werden, in dem die personenbezogenen Informationen bearbeitet werden.

Von wem muss ein Register der Verarbeitungsvorgänge geführt werden? Aus § 30 DSGVO resultiert die Pflicht zur Aufbewahrung einer Verarbeitungsliste. Keine Gefährdung der Rechte und Pflichten der Datensubjekte, keine besondere Datenkategorie gemäß 9 Abs. 1 DSGVO (z.B. 1 Gesundheitsdaten) oder kriminelle Handlungen und Delikte im Sinn von § 10 DSGVO.

Weil nur eine dieser Fallgemeinschaften für eine Registerpflicht zu erfüllen ist, werden nur wenige Firmen und Institutionen von der Registerpflicht befreit. Insbesondere die Ausnahmeregelung, dass die Bearbeitung nur vereinzelt stattfinden darf, bedeutet, dass fast immer ein Telefonbuch gehalten werden muss.

Die Lohnbuchhaltung allein wird regelmässig und nicht nur vereinzelt durchgeführt, und da sie auch religiöse und gesundheitliche Daten (Krankheitstage) umfasst, wird in nahezu allen Betrieben und Institutionen ein Verarbeitungsverzeichnis benötigt. Dies ist für kleine Firmen und Institutionen (z.B. Handwerksbetriebe, Mediziner und vor allem Verbände) ein erheblicher zusätzlicher bürokratischer Arbeitsaufwand.

Für den inhaltlichen Umfang der Listen der Verarbeitungstätigkeiten gelten die Vorgaben des 30 DSGVO, die denen der früheren Verfahrenslisten des BDSG entsprechen. Je nachdem, ob es sich um die Liste der zuständigen Stellen oder des Auftragsbearbeiters für die Auftragsabwicklung handelte, ergeben sich jedoch unterschiedliche Voraussetzungen. Dementsprechend sind die für die Datenverarbeitung erforderlichen Informationen anzugeben, wie der Verarbeitungszweck, die Kategorien von Informationen, die Gruppe der Datensubjekte und die Empfänger der Informationen.

Deutlicher sind die Voraussetzungen für das jeweilige Adressbuch für Auftragnehmer. Jede Liste muss jedoch eine generelle Darstellung der fachlichen und organisatorischen Massnahmen gemäss Artikel 32 Absatz 1 DSGVO enthalten. Sie sollte so spezifisch sein, dass sich die Kontrollstelle einen genauen Einblick in die angewandten Datenschutzmaßnahmen verschaffen kann.

Die Liste der Bearbeitungstätigkeiten des für die Verarbeitung verantwortlichen Unternehmens und des Auftragsverarbeiters ist gemäß Artikel 30 Absatz 3 in schriftlicher oder schriftlicher Weise in schriftlicher bzw. schriftlicher Fassung (Textform) zu erstellen. Weil die offizielle Landessprache nach dem deutschen Verwaltungsverfahrensgesetz die deutsche ist, sollte das Telefonbuch in englischer Sprache gehalten werden. International tätige Firmen mit englischer Firmensprache müssen daher für den Fall, dass die Aufsicht dies verlangt, eine Übersetzung liefern.

Eine Auflistung der Bearbeitungstätigkeiten ist keine neue Forderung der DSGVO. In vielen Betrieben wurde die Einhaltung dieser Verpflichtungen jedoch aufgeschoben, vertagt bzw. halbwegs abgeschlossen. Doch mit der DSGVO müssen sich die Verantwortlichen und Verarbeiter auf deutlich erhöhte Geldbußen einrichten. Bei unvollständiger oder fehlender Liste kann eine Geldbuße von bis zu 10 Mio. oder bis zu 2 Prozent des Umsatzes verhängt werden (Art. 83 Abs. 4a DSGVO).

Die Vorgehensweise bei der Aufstellung der Liste der Bearbeitungstätigkeiten sollte sich an der Struktur und Kompliziertheit des Betriebes ausrichten. Zugleich muss das Bearbeitungsverzeichnis so aufgebaut sein, dass es den Erfordernissen der §§ 5 Abs. 2 DSGVO (Rechenschaftspflicht) und 24 und 30 DSGVO entspricht. Zur Vermeidung unnötiger Unterlagen, die zu doppelter Dokumentation führen würden, ist es ratsam, auf andere erforderliche Unterlagen im Bearbeitungsverzeichnis zu verwiesen, einschließlich des Datenschutzkonzepts oder des Löschkonzepts.

Für die Aufstellung der Liste der Bearbeitungsvorgänge sind detaillierte Kenntnisse der jeweiligen Vorgänge unerlässlich. Es sollte daher für eine einzige Instanz (z.B. den Datenschutzbeauftragten) nicht möglich sein, die Liste allein für die zuständige Instanz zu führen.