Nach Art. 30 DS-GVO haben künftig nicht nur Verantwortliche, sondern auch Auftragsverarbeiter ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu erstellen. Dieses Verzeichnis ist von den Verantwortlichen bereitzuhalten und der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
NEUE BEZEICHNUNG
Die bisher in Deutschland durch das BDSG verpflichtenden öffentlichen und internen Verfahrensverzeichnisse wird es so unter der DS-GVO nicht mehr geben. Stattdessen heißt das „Kind“ dann „Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten“. Dieses muss dann grundsätzlich jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und -neu- auch ein Auftragsverarbeiter erstellen und führen. „Dieses Verzeichnis wird in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren notwendigerweise oft aus einer Reihe von Einzel-Verzeichnissen bestehen müssen“, so die Einschätzung der Bayerischen Aufsichtsbehörde in Ihrem Whitepaper „Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO“.
Verantwortliche Stellen, die bereits jetzt über eine strukturierte Verfahrensübersicht verfügen, sollten inhaltlich mit den geforderten Pflichtangaben des neuen Artikels aus der DS-GVO keine größeren Probleme haben: Es muss wesentliche Angaben zur Verarbeitung beinhalten wie z. B. Zweck der Verarbeitung, Beschreibung der Kategorien der personenbezogener Daten, der betroffenen Personen und der Empfänger. Also quasi wie bisher.
WER MUSS DIESES VERZEICHNIS FÜHREN?
Laut Art. 30 Abs. 5 DS-GVO sind Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern davon befreit, außer der Verantwortliche bzw. Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten
durch,
“
• die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z. B. Scoring),
• die nicht nur gelegentlich erfolgen, oder
• die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder über
strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen.
In diesen Fällen müssen also trotzdem die Angaben in das Verzeichnis aufgenommen werden. Verfahren die „nicht nur gelegentlich erfolgen“ wird es in der Praxis aber wohl auch kaum geben, wodurch letztlich doch so ziemlich jeder ein entsprechendes Verzeichnis führen müssen wird.“
WEGFALL ÖVV UND MELDEPFLICHT
Das bisher gültige Öffentliche Verfahrensverzeichnis, das für jeden auf Anfrage zur Verfügung gestellt werden muss, ist in der DS-GVO nicht mehr vorgesehen. Allerdings ist ein entsprechendes Verzeichnis der Verarbeitungstätigkeiten von den Verantwortlichen für eine Vorlage bei der Aufsichtsbehörde auf Anfrage, stets bereitzuhalten. Auch die bisher in § 4d und § 4e BDSG geregelten Meldepflichten mancher Unternehmen an die Aufsichtsbehörde fallen zukünftig weg.
NEUES FÜR AUFTRAGSDATENVERARBEITER
Ein Verzeichnis beim Auftragsverarbeiter zu allen Kategorien der von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung wir nach Art. 30 Abs. 2 DS-GVO künftig verpflichtend. Dies kommt also zum obligatorischen Abschluss eines Auftragsdatenverarbeitungsvertrages (ADV-Vertrag) noch hinzu. Aber das BayLDA gibt Entwarnung: „Auch hier sind die Pflichtangaben überschaubar, so dass der Aufwand, dieses Verzeichnis zu erstellen, als eher gering einzustufen sein wird.“
MUSTERVORLAGE SOLL KOMMEN
Wie das BAyLDA auf seiner Internetseite bekannt gibt, haben die deutschen Aufsichtsbehörden bereits eine Arbeitsgruppe gegründet, die das Ziel verfolgt, eine Mustervorlage für solch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO zu erarbeiten. Geplant ist, diese Mustervorlage dann bis ca. Mitte 2017 zu veröffentlichen.