Mythen zur DSGVO: Öffentliches Verzeichnis von Verarbeitungstätigkeiten

Im bisherigen Bundesdatenschutzgesetz (BDSG alt) gibt es eine Verpflichtung zu einem Öffentlichen Verzeichnis von Verarbeitungstätigkeiten. Wie sieht es hier beim neuen Gesetz bzw. der DSGVO aus?

Mythen zur DSGVO: Öffentliches Verzeichnis von Verarbeitungstätigkeiten


Aus dem BDSG sind folgende Dokumentationen (§ 4g Abs. 2 und Abs. 2a BDSG) bekannt:

• öffentliches Verfahrensverzeichnis
• interne Verarbeitungsübersicht

Das öffentliche Verfahrensverzeichnis ist eine Übersicht, für alle zugänglich – daher meist auf der Internetseite – über die Verarbeitungstätigkeiten eines Unternehmens. Um es kurz zu machen: Nach der neuen DSGVO ist ein solches öffentliches Verzeichnis nicht mehr notwendig.

Die grundsätzliche Dokumentationspflicht entfällt aber nicht. In der neuen DSGVO wird mit Art. 30 ein Verzeichnis von Verarbeitungstätigkeiten erwartet.

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO

Mit Art. 30 DSGVO kommt ein schriftliches bzw. elektronisches Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis muss grundsätzlich jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) führen. Neu ist, dass auch ein Auftragsverarbeiter ein solches Verzeichnis führen muss. Zu der Form des Verzeichnisses werden keine Angaben gemacht, jedoch geben die die Behörden Vorschläge und Tipps. Das Verzeichnis muss nach Art. 30 Abs. 1 DS-GVO wesentliche Angaben zur Verarbeitung beinhalten wie z. B.

  • Zweck der Verarbeitung
  • Beschreibung der Kategorien der personenbezogenen Daten
  • der betroffenen Personen und
  • der Empfänger

Kein öffentliches Verzeichnis und keine Meldepflicht mehr

Eine öffentlich für jedermann zugängliche Übersicht zu den eingesetzten Verfahren für die Verarbeitung personenbezogener Daten ist in der DSGVO nicht vorgesehen, ebenso entfallen mit der DSGVO die bisher in § 4d und § 4e BDSG geregelten Meldepflichten.

Neu: Pflichten des Auftragsdatenverarbeiters (Art. 30 Abs. 2)

Allen Daten-Kategorien die der von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten müssen künftig nach Art. 30 Abs. 2 DSGVO in einem Verzeichnis dokumentiert werden. Die Inhalte sind ähnlich zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO zu sehen.

Rechtsfolgen bei Verstoß

Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde sind nach Art. 83 Abs. 4 a DS-GVO mit Geldbuße bedroht. Allein aus diesem Grund ist es ratsam, rechtzeitig im eigenen Interesse ein vollständiges Verzeichnis von Verarbeitungstätigkeiten zu erstellen.

Weitere Informationen

Weitere Informationen zum Thema DSGVO, BDSG (neu) und dem Thema Verfahrensverzeichnis finden Sie auch beim Bayerischen Landesamt für Datenschutzaufsicht.

Quelle: https://www.lda.bayern.de/media/baylda_ds-gvo_5_processing_activities.pdf

Empfehlen Sie den Beitrag weiter ...

Der Datenschutzbeauftragte

Hier schreibt Matthias Weber, Datenschutz-Experte der mwbsc GmbH in Zusammenarbeit mit den Content-Partner der ERP-Heroes zum Thema Datenschutz, DSGVO und BDSG.