Ratgeber
/ 23. August 2021

DSGVO: Verarbeitungsverzeichnis bei Auftragsverarbeitern

Die Datenschutz-Grundverordnung (DSGVO / GDPR) nimmt auch Auftragsverarbeiter in die Pflicht: Bei einer Auftragsverarbeitung ist nicht mehr nur der Verantwortliche gefordert. Was muss der Auftragsverarbeiter tun?

Die Datenschutz-Grundverordnung (DSGVO) hat den Kreis derer erweitert, die ein Verzeichnis von Verarbeitungstätigkeiten, früher: Verfahrensverzeichnis, führen müssen: Auftragsverarbeiter sind mit der DSGVO ebenfalls gefordert, unter bestimmten Bedingungen ein solches Verzeichnis zu führen.

Verarbeiter können dabei natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, sein.

Lesen Sie zur Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit den Beitrag Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Verarbeitungsübersicht bei Auftragsverarbeitern

Ein Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die er im Auftrag eines Verantwortlichen durchführt.

Als Bestandteile dieses Verzeichnisses von Verarbeitungstätigkeiten nennt die DSGVO in Artikel 30 insbesondere:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).

„Wenn möglich“ sollten Verantwortliche dabei aber nicht als Hintertür verstehen, um die Beschreibung der TOMs einfach grundsätzlich auszulassen.

Die Datenschutz-Aufsichtsbehörden werden sich sicherlich begründen lassen, warum ein Auftragsverarbeiter etwas als unmöglich betrachtet.

Zum Umfang der TOM-Beschreibung gibt es bereits Anhaltspunkte: So sollte die Verarbeitungsübersicht nach DSGVO die Maßnahmen so konkret beschreiben, dass die Aufsichtsbehörden eine erste  Rechtmäßigkeitsüberprüfung vornehmen können.

Teil der Datenschutz-Dokumentation

Umfragen zeigen immer wieder, dass das Verzeichnis in vielen Unternehmen als lästige Pflicht gilt. Das war zu Zeiten des alten Bundesdatenschutzgesetzes so, das ist auch jetzt noch so. So manches Unternehmen hat sich bisher um diese Pflicht gedrückt.

Dieses Verzeichnis von Verarbeitungstätigkeiten sollten Unternehmen aber nicht nur als Pflicht ansehen:

  • Es ist einer der Nachweise, dass der Verantwortliche der Rechenschaftspflicht im Datenschutz nachkommt.
  • Zudem ist es ein Instrument, um die internen Datenschutzmaßnahmen zu strukturieren.
  • Außerdem ist das Verzeichnis Prüfungsgegenstand bei einer Kontrolle durch die Aufsichtsbehörde.

Es lohnt sich also mehrfach, sich damit zu befassen.

Oliver Schonschek

URL zum Beitrag: https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/dsgvo-verfahrensverzeichnis-auftragsverarbeiter/
Beitrag gedruckt von Datenschutz PRAXIS: https://www.datenschutz-praxis.de

Copyright © Datenschutz PRAXIS. All rights reserved.

Klicken zum Drucken