Wie das BayLDA mitteilte, haben sich die deutschen Aufsichtsbehörden in einer Arbeitsgruppe auf Vorlagen zu Verzeichnissen nach Art. 30 DS-GVO verständigt.
ZWECK DES VERZEICHNISSES
Der Zweck ergibt sich aus dem Erwägungsgrund (EG) 82 zu Art. 30 DS-GVO. Hiernach sollen der Verantwortliche und der Auftragsverarbeiter zum Nachweis der Einhaltung
dieser Verordnung ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Jeder Verantwortliche und Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Die neue Regelung in Art. 30 DS-GVO verpflichtet nicht nur jeden Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO (hierzu zählen sowohl Behörden als auch z. B. Unternehmen, Freiberufler,
Vereine), sondern nun auch die Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DS-GVO, ein solches Verzeichnis zu erstellen und zu führen.
Die Regelung des Art. 30 bezieht sich dabei jeweils auch auf den Vertreter im Sinne von Art. 4 Nr. 17 DS-GVO.
Ausgehend von Mindestanforderungen nach Art. 30 Abs. 1 DS-GVO werden Inhalt und Umfang des Verzeichnisses je nach Art und Größenordnung der Stelle eines Verantwortlichen oder Auftragsverarbeiters zu differenzieren sein.
Hinzu kommt, dass das Verzeichnis über die reine Dokumentation hinaus sinnvollerweise auch eingesetzt bzw. verwendet werden kann:
• für eine Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b) DS-GVO
• für Zwecke der Rechenschafts- und Dokumentationspflicht, Art. 5 Abs. 2, Art. 24 DS-GVO
• als geeignete Maßnahme zur Erfüllung der Betroffenenrechte nach Art. 12 Abs. 1 DS-GVO
• zur Schaffung und als Nachweis geeigneter technisch-organisatorischer Maßnahmen nach Art. 24 Abs. 1 und Art. 32 DS-GVO
• zur Prüfung, ob eine Datenschutzfolgenabschätzung nach Art. 35 DS-GVO erfolgen muss
• als Basis für die Aufgabenerfüllung des Datenschutzbeauftragten nach Art. 39 DS-GVO
Hierfür sind zwangsläufig zusätzliche Informationen im Verzeichnis nötig, z. B. einzelne Datenfelder, Herkunft bzw. Quelle der Daten, Rechtsgrundlage für die Verarbeitung, verantwortlicher Mitarbeiter, zugriffsberechtigte Personen/Personengruppen etc.
Somit wird das Verzeichnis in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren oft aus einer Reihe von Einzelbeschreibungen bestehen müssen.
PFLICHT ZUR VORLAGE
Der Aufsichtsbehörde müssen die Verzeichnisse der Verarbeitungstätigkeiten auf Anfrage zur Verfügung gestellt werden, Art. 30 Abs. 4 DS-GVO und EG 82.
Ziel ist es, dass die Aufsichtsbehörde die Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrollieren kann.
Es entfallen die bisher in § 4d und § 4e BDSG geregelten Meldepflichten an die Aufsichtsbehörde, s. EG 89.
Gleichfalls entfällt die bisherige Regelung im BDSG, welche ein allgemeines öffentliches Verfahrensverzeichnis mit einem Einsichtsrecht für jedermann sowie eine detaillierte interne Verarbeitungsübersicht beim Datenschutzbeauftragten vorsah.
FORM, SPRACHE, AKTUALISIERUNG
Die Verzeichnisse sind regelmäßig in deutscher Sprache zu führen, § 23 Abs. 1 und 2 Verwaltungsverfahrensgesetz (VwVfG).
Zumindest muss das Unternehmen in der Lage sein, von der Aufsichtsbehörde angeforderte Verzeichnisse (Art. 30 Abs. 4 DS-GVO und EG 82) unverzüglich in deutscher Sprache vorzulegen (Working Paper (WP) 243 der Art. 29-Gruppe (Leitlinien zum Datenschutzbeauftragten nach der DS-GVO, WP 243, Ziff. 2.3)).
Die Verzeichnisse sind gemäß Art. 30 Abs. 3 DS-GVO schriftlich zu führen. Dies kann auch in einem elektronischen Format erfolgen.
Die Aufsichtsbehörde kann das Format der Vorlage (schriftlich in Papierform oder elektronisch in Textform) eigenständig festlegen und daher auch bei einem im elektronischen Format geführten Verzeichnis den Ausdruck verlangen (§ 3a VwVfG).
Maßstab sind die Verhältnismäßigkeit und Erforderlichkeit für die jeweils verfolgten aufsichtlichen Zwecke (z.B. nur der erforderliche Teil wird ausgedruckt).
Um Änderungen der Eintragungen im Verzeichnis nachvollziehen zu können (z.B. wer war wann Verantwortlicher, Datenschutzbeauftragter etc.), sollte eine Dokumentation der Änderungen mit einer Speicherfrist von einem Jahr erfolgen.
Dies lässt sich auch aus dem Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO herleiten.
Die Mustervorlage der Aufsichtsbehörden für Auftragsverarbeiter steht HIER, die für Verantwortliche HIER zum kostenlosen Download bereit. Ebenso steht ein Mustervorlage für die Angabe der Technischen und Organisatorischen Maßnahmen (TOM) sowie weiterführende Hinweise zur Thematik zur Verfügung.