Im ersten Teil meiner Beitragsreihe zum Verarbeitungsverzeichnis habe ich über die Wichtigkeit des Verzeichnisses gesprochen. Und ich habe klar gestellt, dass das Erfassen und Zusammentragen der Datenverarbeitungsvorgänge im Unternehmen ein ganz wichtiger Punkt ist, der immer am Anfang eines DSGVO-Projekts stehen sollte.
Da diese ganzen Vorgänge sowieso bekannt sein müssen, um weitere Entscheidungen treffen zu können, handelt es sich also hierbei auch um eine wichtige Vorarbeit für die weiteren Schritte der Datenschutz-Compliance.
Jetzt möchte ich im zweiten Teil über den Sinn und Zweck des Verarbeitungsverzeichnisses sprechen.
Sinn und Zweck des Verarbeitungsverzeichnisses
Der Verantwortliche für die Datenverarbeitung und der Auftragsverarbeiter soll zum Nachweis der Einhaltung der Datenschutzgrundverordnung ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen (= Verarbeitungsverzeichnis). Das Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen, aber auch nicht-automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Jeder Verantwortliche und Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.
Die neue Regelung verpflichtet nicht nur jeden (hierzu zählen sowohl Behörden als auch zum Beispiel Unternehmen, Freiberufler, Vereine), sondern nun auch die Auftragsverarbeiter, ein solches Verzeichnis zu erstellen und zu führen. Ausgehend von den Mindestanforderungen werden Inhalt und Umfang des Verzeichnisses, je nach Art und Größenordnung der Stelle eines Verantwortlichen oder Auftragsverarbeiters, zu differenzieren sein.
Hinzu kommt, dass das Verzeichnis über die reine Dokumentation hinaus sinnvollerweise auch eingesetzt bzw. verwendet werden kann:
- für eine Festlegung der Verarbeitungszwecke (Art. 5 Absatz 1 lit. b) DSGVO)
- für die Rechenschafts- und Dokumentationspflicht (Art. 5 Absatz 2, Art. 24 DSGVO)
- als geeignete Maßnahme zur Erfüllung der Betroffenenrechte (Art. 12 Absatz 1 DSGVO)
- zur Schaffung und als Nachweis geeigneter technisch-organisatorischer Maßnahmen (Art. 24 Absatz 1 und Art. 32 DSGVO)
- zur Prüfung, ob eine Datenschutzfolgenabschätzung erfolgen muss (Art. 35 DSGVO)
- als Basis für die Aufgabenerfüllung des Datenschutzbeauftragten (Art. 39 DSGVO)
Hierfür sind zwangsläufig zusätzliche Informationen im Verzeichnis nötig, zum Beispiel einzelne Datenfelder, Herkunft bzw. Quelle der Daten, Rechtsgrundlage für die Verarbeitung, verantwortlicher Mitarbeiter, zugriffsberechtigte Personen/Personengruppen etc.
Somit wird das Verzeichnis in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren oft aus einer Reihe von Einzelbeschreibungen bestehen müssen.
Vorlage des Verzeichnisses und Änderungen
Der Aufsichtsbehörde müssen die Verzeichnisse der Verarbeitungstätigkeiten auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO und Erwägungsgrund 82). Ziel ist es, dass die Aufsichtsbehörde die Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrollieren kann.
Also muss das Verzeichnis alleine deshalb schon aktuell gehalten werden. Und das ist gar nicht so einfach. Man denke nur einmal an die diversen Tools, wie Messenger-Dienste oder Cloud-Services, die im betrieblichen Umfeld in immer schnelleren Abständen wechseln, dazu kommen oder wegfallen.
Um Änderungen der Eintragungen im Verzeichnis nachvollziehen zu können, sollte daher eine Dokumentation aller Änderungen mit einer Speicherfrist von einem Jahr erfolgen. Das lässt sich auch aus dem Grundsatz der Rechenschaftspflicht aus Art. 5 Absatz 2 DSGVO herleiten. Eine Änderungshistorie macht es übersichtlicher, um notfalls zu erkennen, wer wann was an dem Verzeichnis angepasst hat.
Was wird in Teil 3 erörtert?
Im dritten Teil meiner Beitragsreihe will ich dann über Form und Ausnahmen sprechen, bevor wir uns dann im Anschluss den inhaltlichen Anforderungen widmen werden.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man