Sie sind auf Seite 1von 3

Kurzpapier Nr.

1
Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO
Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz –
DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK
die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffas-
sung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen
Datenschutzausschusses.

Altes Recht = neues Recht? • die nicht nur gelegentlich erfolgen (z.B. die
regelmäßige Verarbeitung von Kunden-
Das aus dem BDSG bekannte Verfahrensverzeichnis
oder Beschäftigtendaten) oder
(§ 4g Abs. 2 und 2a BDSG; dort „Übersicht“ ge-
• die besondere Datenkategorien gemäß Art. 9
nannt) wird mit der DS-GVO abgelöst durch ein
Abs. 1 DS-GVO (Religionsdaten, Gesundheits-
(schriftliches oder elektronisches) Verzeichnis aller
daten, usw.) oder strafrechtliche Verurteilun-
Verarbeitungstätigkeiten mit personenbezogenen
gen und Straftaten im Sinne des Art. 10 DS-
Daten. Dieses Verzeichnis betrifft sämtliche – auch
GVO betreffen.
teilweise – automatisierte Verarbeitungen sowie
nichtautomatisierte Verarbeitungen personenbezo-
Die Pflicht zur Führung eines Verzeichnisses von
gener Daten, die in einem Dateisystem gespeichert
Verarbeitungstätigkeiten besteht also bereits dann,
sind oder gespeichert werden sollen. Grundsätzlich
wenn mindestens eine der genannten Fallgruppen
ist jeder Verantwortliche (z. B. Unternehmen, Frei-
erfüllt ist. Da es anders als in Art. 35 DS-GVO (Da-
berufler, Verein) und – neu – auch jeder Auf-
tenschutz-Folgenabschätzung) nicht darauf an-
tragsverarbeiter zur Erstellung und Führung eines
kommt, dass es sich voraussichtlich um ein hohes
solchen Verzeichnisses verpflichtet. Es wird in der
Risiko für die Rechte und Freiheiten natürlicher
Praxis wegen der Unterschiede bei den eingesetz-
Personen handelt, sondern jedes Risiko für die
ten Verfahren notwendigerweise oft aus einer Rei-
Rechte und Freiheiten bezüglich der Verarbeitung
he von Einzelbeiträgen bestehen müssen. Das Ver-
zu betrachten ist, wird vielfach das Erstellen eines
fahrensverzeichnis wird somit die Summe der ein-
Verzeichnisses von Verarbeitungstätigkeiten gebo-
zelnen Verfahrensbeschreibungen sein.
ten sein.

Stellen mit weniger als 250 Mitarbeitern


Kein öffentliches Verzeichnis und keine Melde-
Unternehmen und Einrichtungen mit weniger als pflicht mehr
250 Mitarbeitern müssen kein Verzeichnis von Ver-
Anders als im bisherigen BDSG ist eine Möglichkeit
arbeitungstätigkeiten führen, es sei denn, der Ver-
für jedermann, in das Verzeichnis von Verarbei-
antwortliche bzw. Auftragsverarbeiter führt Verar-
tungstätigkeiten Einsicht zu nehmen, nach der DS-
beitungen personenbezogener Daten durch,
GVO nicht vorgesehen. Ebenso entfallen mit der DS-
• die ein Risiko für die Rechte und Freiheiten GVO die bisher in § 4d und § 4e BDSG geregelten
der betroffenen Personen bergen (dazu ge- Meldepflichten von manchen Unternehmen an die
hören regelmäßig Fälle von Scoring und Aufsichtsbehörde. Erstellt und vorgehalten werden
Überwachungsmaßnahmen) oder müssen die Verzeichnisse dennoch, da sie den Auf-
sichtsbehörden jederzeit auf Anfrage zur Verfügung

Verzeichnis von Verarbeitungstätigkeiten Stand: 29.06.2017 Seite 1


zu stellen sind (siehe Art. 30 Abs. 4 DS-GVO und eine erste Rechtmäßigkeitsüberprüfung vornehmen
ErwGr. 82). können.

Inhalt des Verzeichnisses für Verantwortliche Rechtsfolgen bei Verstoß


(Art. 30 Abs. 1 DS-GVO) Verstöße durch eine fehlende oder nicht voll-
Das Verzeichnis der Verantwortlichen muss nach ständige Führung eines Verzeichnisses oder das
Art. 30 Abs. 1 DS-GVO wesentliche Angaben zur Nichtvorlegen des Verzeichnisses nach Aufforde-
Verarbeitung beinhalten wie z. B. die Zwecke der rung durch die Aufsichtsbehörde können nach Art.
Verarbeitung und eine Beschreibung der Kategorien 83 Abs. 4 lit. a DS-GVO mit einer Geldbuße sanktio-
der personenbezogenen Daten, der betroffenen niert werden.
Personen und der Empfänger.
Das Verzeichnis als Teil der Rechenschafts-
Verantwortliche Stellen, die bereits jetzt über ein pflicht
strukturiertes Verfahrensverzeichnis oder eine
Mit der Erstellung des Verzeichnisses der Verarbei-
strukturierte Datenschutzdokumentation zu den
tungstätigkeiten sind keinesfalls alle von der DS-
Verfahren verfügen, sollten mit den geforderten
GVO geforderten Dokumentationspflichten erfüllt.
Pflichtangaben des neuen Artikels aus der DS-GVO
Das Verzeichnis ist nur ein Baustein, um der in Art. 5
keine Probleme haben.
Abs. 2 normierten Rechenschaftspflicht zu genügen.
So müssen beispielsweise auch das Vorhandensein
Inhalt des Verzeichnisses für Auftragsverarbei-
von Einwilligungen (Art. 7 Abs. 1), die Ordnungsmä-
ter (Art. 30 Abs. 2 DS-GVO) ßigkeit der gesamten Verarbeitung (Art. 24 Abs. 1)
Ein Verzeichnis beim Auftragsverarbeiter zu allen und das Ergebnis von Datenschutz-Folgen-
Kategorien der von ihm im Auftrag eines Verant- abschätzungen (Art. 35 Abs. 7) durch entsprechen-
wortlichen durchgeführten Tätigkeiten der Verar- de Dokumentationen nachgewiesen werden.
beitung war vom BDSG bislang nicht vor-
geschrieben. Nach Art. 30 Abs. 2 DS-GVO ist ein Ausblick: Wesentliche Rolle des Verzeichnisses
solches Verzeichnis jedoch künftig zu erstellen. und Muster-Vorlage der Datenschutzauf-
sichtsbehörden
Auch hier sind die Pflichtangaben überschaubar, so
Das Verzeichnis von Verarbeitungstätigkeiten nach
dass der Aufwand, dieses Verzeichnis zu erstellen,
der DS-GVO wird wie die bisherigen internen Ver-
als eher gering einzustufen sein wird.
fahrensverzeichnisse eine wesentliche Rolle spielen,
um datenschutzrechtliche Vorgaben überhaupt
Beschreibung technischer und organisatori-
einhalten zu können. Nur wer die eigenen Verarbei-
scher Maßnahmen
tungsprozesse kennt, kann gezielt Maßnahmen
Art. 30 Abs. 1 lit. g und Art. 30 Abs. 2 lit. d DS-GVO ergreifen, um eine rechtmäßige Verarbeitung per-
geben vor, dass das Verzeichnis, wenn möglich, eine sonenbezogener Daten sicherstellen zu können.
allgemeine Beschreibung der technischen und or- Die deutschen Aufsichtsbehörden werden im Jahr
ganisatorischen Maßnahmen gemäß Artikel 32 Ab- 2017 eine Muster-Vorlage sowie weitere Hinweise
satz 1 DS-GVO enthalten soll. Wie detailliert diese für ein Verzeichnis von Verarbeitungstätigkeiten
Beschreibung sein muss, lässt sich der DS-GVO nicht nach Art. 30 DS-GVO bereitstellen.
unmittelbar entnehmen. Jedenfalls sollte die Be-
schreibung der Maßnahmen nach Art. 32 DS-GVO
so konkret erfolgen, dass die Aufsichtsbehörden

Verzeichnis von Verarbeitungstätigkeiten Stand: 29.06.2017 Seite 2


Unsere Empfehlung
Es ist ratsam, rechtzeitig im eigenen Interesse ein
vollständiges Verzeichnis von Verarbeitungstätigkei-
ten zu erstellen. Das Verzeichnis von Verarbeitungs-
tätigkeiten dient als wesentliche Grundlage für eine
strukturierte Datenschutzdokumentation und hilft
dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2
DS-GVO nachzuweisen, dass die Vorgaben aus der
DS-GVO eingehalten werden (Rechenschaftspflicht).
Die Übergangszeit bis zur Geltung der DS-GVO am
25.05.2018 sollte dazu genutzt werden, die bereits
bestehende Verfahrensdokumentation an die neu-
en Anforderungen anzupassen.

Verzeichnis von Verarbeitungstätigkeiten Stand: 29.06.2017 Seite 3