Mit der neuen DSGVO wurde neben schon bekannten Regelungen auch einige Neuerungen eingeführt. Eines stellt das Verzeichnis der Verarbeitungen dar, das jedes Unternehmen von nun an zu führen hat. Nach der DSGVO heißt es:
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“
Die Form des Verzeichnisses wird an dieser Stelle nicht vorgeschrieben. Wichtig ist lediglich eine vollständige Aufführung aller geforderten Inhalte.
Sonderregelung zur Pflicht zum Verfahrensverzeichnissen
Es gibt auch eine gesonderte Regelung für kleinere Unternehmen, um eine Entlastung zu erreichen. Diese sieht für Unternehmen mit weniger als 250 Beschäftigten vor, dass kein Verzeichnis der Verarbeitungstätigkeiten geführt werden muss. Auch an dieser Stelle gibt es wieder eine Ausnahmeregelung, die besagt, dass bei den folgenden Voraussetzungen trotzdem ein Verzeichnis geführt werden muss:
- bei Verarbeitungen, die mit einem erheblichen Risiko für die Betroffenen verbunden sind (z.B. Videoüberwachung) oder
- risikobehaftete Verarbeitungen nicht nur gelegentlich angewendet werden oder
- die Verarbeitungen sensitive Daten (z.B. Gesundheitsdaten oder Daten aus einem Strafregister) umfassen
Diese Ausnahmeregelung trifft fast alle grundlegenden Prozesse eines jeden Unternehmens. Beispielsweise die Prozesse der Lohnbuchhaltung,Führung der Personalakten oder bei Bestücken einer Bewerberdatenbank. Daraus lässt sich schlussfolgern, dass kein Unternehmen mit angestelltem Personal wirklich von dieser Ausnahme Regelung profitieren kann.
Inhalte des Verfahrensverzeichnisses
Jeder Verantwortliche hat ein Verzeichnis der Verarbeitungen zu führen. Für eine übersichtliche Beschreibung aller Prozess- und Verfahrensabläufe zur Verarbeitung personenbezogener Daten im Unternehmen muss es ein Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Die Inhalte gestalten sich wie folgt:
- Kontaktdaten des Verantwortlichen bzw. ggf.seines Vertreters
- Kontaktmöglichkeiten des Datenschutzbeauftragten
- Zweck der Verarbeitung
- Beschreibung der betroffenen Personengruppen und der Kategorien der Daten
- Kategorien von Empfängern, die an der Verarbeitung der personenbezogenen Daten beteiligt sind
- gesetzte oder vorgeschriebene Löschfristen der personenbezogenen Daten
- ggf. Datenübermittlung an Drittstaaten(außerhalb der EU bzw. EWR)
- technische und organisatorische Sicherheitsmaßnahmen („TOM“)
Bei Subunternehmen, die als Auftragsverarbeiter tätig werden, ist ein Verzeichnis zu allen Kategorien von im Auftrag getätigten Verarbeitungen anzulegen und soll folgende Inhalte haben:
- Kontaktdaten des Auftragsverarbeiter und ggf.eines Vertreters
- Kontaktmöglichkeiten des Datenschutzbeauftragten
- Kategorien von Verarbeitungen
- ggf. Datenübermittlung an Drittstaaten(außerhalb der EU bzw. EWR)
- technische und organisatorische Sicherheitsmaßnahmen („TOM“)
Datenschutzkonformität in den Verarbeitungen
Zur Gewährleistung der Datenschutzkonformität bei neuen bzw. geänderten Datenverarbeitungsprozessen müssen Kontrollen eingeführt werden. Eine dokumentierte Überwachung der Einführung dieser Prozesse ist zu empfehlen.
Die technischen und organisatorischen Schutzmaßnahmen müssen für diese Verarbeitungen ausreichend sein. Es empfiehlt sich dazu im Rahmen eines Schutzkonzeptes eine Risikoanalyse durchzuführen.
Eine Kontrolle vorab dieser Verarbeitung ist notwendig,wenn:
- Die Verarbeitung von personenbezogenen Daten besonderer Kategorie vorgenommen wird
- Die Verarbeitung vorsieht, die Persönlichkeit des Betreffenden zu beurteilen oder zur Leistungs- und Verhaltensüberwachung zählt
Ausnahmen davon sind jedoch möglich (z.B. bei Einwilligung, gesetzlicher Verpflichtung).