Gratis
24. August 2017 - Das muss drinstehen

Datenschutzgerechtes Verfahrens­verzeichnis: So geht’s nach DSGVO

Das Verfahrensverzeichnis erfährt mit der Anwendung der Datenschutz-Grundverordnung (DSGVO) einige Änderungen. Doch bis dahin müssen Sie noch die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG) beachten. Was verlangen DSGVO und BDSG?

Datenschutz-Dokumentation nach DSGVO und BDSG Genau genommen heißt das Verfahrensverzeichnis zukünftig "Verzeichnis der Verarbeitungstätigkeiten" (Bild: ktsimage / iStock / Thinkstock).

Verfahrensverzeichnis nach DSGVO (ab dem 25. Mai 2018)

Kein öffentliches Verfahrensverzeichnis mehr

Mit der DSGVO entfällt die Pflicht, jedermann das (öffentliche) Verfahrensverzeichnis auf Antrag in geeigneter Weise verfügbar zu machen. Es gibt dann kein öffentliches Verfahrensverzeichnis mehr.

Ein internes Verfahrensverzeichnis nach DSGVO müssen sowohl Verantwortliche für den Datenschutz als auch Auftragsverarbeiter (natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten) führen.

Das gehört ins Verfahrensverzeichnis (DSGVO) bei Verantwortlichen

Verantwortliche führen ein Verzeichnis von Verarbeitungstätigkeiten. Als Bestandteile dieses Verfahrensverzeichnisses nennt die DSGVO insbesondere:

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien für den Datenschutz
  • wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
Anzeige

EU-konformes Verfahrensverzeichnis Ihr EU-konformes Verfahrensverzeichnis
erstellen Sie mit einer modernen Software eine lückenlose, rechtssichere Dokumentation über alle Verfahren in Ihrem Unternehmen, die Sie jederzeit den Aufsichtsbehörden vorlegen können.

Jetzt testen!


Das gehört ins Verfahrensverzeichnis (DSGVO) bei Auftragsverarbeitern

Auftragsverarbeiter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung. Als Bestandteile dieses Verfahrensverzeichnisses nennt die DSGVO insbesondere:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).

Verfahrensverzeichnis bis zur Umsetzung der DSGVO (bis 25. Mai 2018)

Solange das bestehende Bundesdatenschutzgesetz (BDSG) noch gilt, muss bei einem Verfahrensverzeichnis beachtet werden: Jedes Unternehmen hat zunächst grundsätzlich seine Verfahren automatisierter Verwendung von Daten mit bestimmten Angaben zu erfassen und in ein Verfahrensverzeichnis (auch Verfahrensregister) aufzunehmen.

Die verantwortliche Stelle muss dem Datenschutzbeauftragten dieses Verzeichnis zur Verfügung stellen. So kann der betriebliche Datenschutzbeauftragte bzw. die Aufsichtsbehörde die Problempunkte erkennen, bei denen aus Sicht des Datenschutzes Handlungsbedarf bestehen könnte.

Das gehört ins Verfahrensverzeichnis (nach BDSG)

In das Verfahrensverzeichnis müssen folgende Angaben aufgenommen werden:

  1. der handelsrechtlich korrekte Name des Unternehmens
  2. Angaben über den Inhaber oder Geschäftsleiter des Unternehmens sowie den IT-Leiter
  3. die Anschrift des Unternehmens
  4. die einzelnen Zwecke der Datenerhebung und -verwendung, also die verschiedenen Verfahren der Datenverwendung
  5. eine gattungsmäßige Beschreibung der Personen, deren Daten verwendet werden (beispielsweise Interessenten), und der von ihnen erhobenen und zu verwendenden Daten
  6. die möglichen Empfänger, denen die Daten mitgeteilt werden sollen
  7. die Frist, in denen die Daten mit Rücksicht auf gesetzliche Vorschriften wieder gelöscht werden sollen
  8. eine geplante Datenübermittlung in Drittstaaten, also in Länder außerhalb der EU und des EWR
  9. eine allgemeine Beschreibung, die es ermöglicht zu beurteilen, ob die Datensicherheitsmaßnahmen (Datensicherung) angemessen sind

Öffentliches Verfahrensverzeichnis (BDSG): Kein gesondertes Verzeichnis

Mit dem Begriff des öffentlichen Verfahrensverzeichnisses ist auf den Umstand verwiesen, dass die Angaben des Verfahrensverzeichnisses von Ziffer 1 bis 8 auf Anfrage jedermann zugänglich gemacht werden müssen. Die Angaben aus dem öffentlichen Verfahrensverzeichnis stellen einige Unternehmen freiwillig und gekürzt auf ihrer Homepage ein.

Die Unterscheidung zwischen einem internen und einem öffentlichen Verfahrensverzeichnis kommt aus zweierlei Gründen zustande:

  • Zu den Angaben des Verfahrensverzeichnisses, die auf Anfrage jedermann zur Verfügung zu stellen sind (= öffentliches Verfahrensverzeichnis), gehören nicht die Angaben zu den Datensicherheitsmaßnahmen (Ziffer 9).
  • Zudem gehen die tatsächlich gemachten Angaben, die dem betrieblichen Datenschutzbeauftragten zur Verfügung zu stellen sind, über die Anforderungen des gesetzlichen Verfahrensverzeichnisses hinaus. Denn nur der notwendige Hintergrund der Verfahren versetzt den betrieblichen Datenschutzbeauftragten in die Lage, die notwendigen datenschutzrechtlichen Beurteilungen vorzunehmen.

Die Checkliste führt auf, welche Bestandteile Verantwortliche bei ihrem neuen Verfahrensverzeichnis nicht vergessen dürfen.


Download: Bestandteile des Verfahrensverzeichnisses nach DSGVO


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln