Im zweiten Teil ging es um Sinn und Zweck des Verzeichnisses der Verarbeitungstätigkeiten. Und ich habe versucht klar zu machen, wie wichtig es ist, das Verzeichnis aktuell zu halten, aber auch wie schwierig. Vor allem sollte eine Änderungshistorie nicht fehlen.
In diesem dritten Teil möchte ich über Form und Ausnahmen berichten.
Form des Verzeichnisses der Verarbeitungstätigkeiten
In welcher Art und Weise das Verzeichnis zu führen ist, spielt auch eine wichtige Rolle. Denn, werden die formalen Vorgaben nicht beachtet, dann haben Sie kein ausreichendes Verzeichnis über Ihre Verarbeitungstätigkeiten. Daher ist es wichtig, das Verzeichnis gleich in der richtigen Form zu erstellen.
Sprache
Die Verzeichnisse sind in Deutschland auch in deutscher Sprache zu führen. Das bestimmten § 23 Absätze 1 und 2 Verwaltungsverfahrensgesetz (VwVfG). Zumindest muss das verantwortliche Unternehmen in der Lage sein, von der Aufsichtsbehörde angeforderte Verzeichnisse unverzüglich in deutscher Sprache vorzulegen. Das gilt bei bestehender Zuständigkeit einer deutschen Aufsichtsbehörde also auch für ein Unternehmen, das nicht originär aus Deutschland stammt.
Viele meiner Mandanten haben eine US-Muttergesellschaft bzw. ein aus dem Ausland stammende Konzernmutter. Oftmals werden dann bestehende Texte übernommen. Das ist aber nicht ungefährlich. Selbst, wenn die Texte ins Deutsche übersetzt werden, wird oft der rechtliche Sinngehalt nicht richtig wiedergegeben. Es ist daher aus meiner Sicht sehr sinnvoll solche rechtserheblichen Texte von Anfang auch in deutscher Sprache zu erstellen.
Schriftlich – elektronisch
Die Verzeichnisse sind schriftlich zu führen (Art. 30 Abs. 3 DSGVO). Das kann auch in einem elektronischen Format erfolgen. Die Aufsichtsbehörde kann das Format der Vorlage (schriftlich in Papierform oder elektronisch in Textform) festlegen und daher auch bei einem im elektronischen Format geführten Verzeichnis den Ausdruck verlangen (§ 3a VwVfG). Maßstab sind die Verhältnismäßigkeit und Erforderlichkeit für die jeweils verfolgten Zwecke (zum Beispiel nur der erforderliche Teil wird ausgedruckt).
Ausnahme: Stellen mit weniger als 250 Mitarbeitern
Kein Verzeichnis von Verarbeitungstätigkeiten müssen Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern führen (Art. 30 Abs. 5 DSGVO), es sei denn, der Verantwortliche bzw. Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch, die
- ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (zum Beispiel Bonitätsscoringverfahren, Betrugspräventionsverfahren) oder
- besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (Religionsdaten, Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung etc.) oder über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betreffen oder
- nicht nur gelegentlich erfolgen (alle sonstigen Verarbeitungen, zum Beispiel Lohnabrechnungen, Kundendatenverwaltung, IT-/Internet-/E-Mail-Protokollierung, Schulnoten).
Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht also bereits dann, wenn mindestens eine der genannten drei Fallgruppen erfüllt ist. Wegen der regelmäßig erfolgenden Lohnabrechnungen werden damit kaum Unternehmen von der Pflicht eines Verzeichnisses befreit sein, allenfalls Unternehmen, die diese Tätigkeiten komplett durch einen Steuerberater erledigen lassen sowie eventuell kleinere Vereine. Zudem liegen bspw. bei Lohnabrechnungen mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien (Art. 9 Abs. 1 DSGVO) vor.
Das Kriterium, dass diese Datenverarbeitung „nicht nur gelegentlich“ erfolgt, ist schon dann erfüllt, wenn dieses fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommt oder immer wieder oder wiederholt zu bestimmten Zeitpunkten auftritt oder ständig oder regelmäßig stattfindet.
Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können zum Beispiel sein: Videoüberwachungen, Bonitätsscoring- und Betrugspräventionsverfahren, Ortung von Mitarbeitern (zum Beispiel mittels GPS), Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.
Fazit: Es ist davon auszugehen, dass die Ausnahmen nur äußerst selten greifen. Gehen Sie bitte nicht davon aus, dass diese Ausnahme für Sie zutrifft. Im Zweifel fällt daher jedes Unternehmen unter die Pflicht zur Führung des Verzeichnisses.
Was wird in Teil 4 erörtert?
Im nächsten Teil der Beitragsreihe zum Verarbeitungsverzeichnis werde ich über die konkrete Erfassung von Datenverarbeitungsvorgängen im Unternehmen schreiben und was dabei zu beachten ist.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man
