Im bisherigen Bundesdatenschutzgesetz (BDSG alt) gibt es eine Verpflichtung zu einem Öffentlichen Verzeichnis von Verarbeitungstätigkeiten. Wie sieht es hier beim neuen Gesetz bzw. der DSGVO aus?
Mythen zur DSGVO: Öffentliches Verzeichnis von Verarbeitungstätigkeiten
Aus dem BDSG sind folgende Dokumentationen (§ 4g Abs. 2 und Abs. 2a BDSG) bekannt:
• öffentliches Verfahrensverzeichnis
• interne Verarbeitungsübersicht
Das öffentliche Verfahrensverzeichnis ist eine Übersicht, für alle zugänglich – daher meist auf der Internetseite – über die Verarbeitungstätigkeiten eines Unternehmens. Um es kurz zu machen: Nach der neuen DSGVO ist ein solches öffentliches Verzeichnis nicht mehr notwendig.
Die grundsätzliche Dokumentationspflicht entfällt aber nicht. In der neuen DSGVO wird mit Art. 30 ein Verzeichnis von Verarbeitungstätigkeiten erwartet.
Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
Mit Art. 30 DSGVO kommt ein schriftliches bzw. elektronisches Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis muss grundsätzlich jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) führen. Neu ist, dass auch ein Auftragsverarbeiter ein solches Verzeichnis führen muss. Zu der Form des Verzeichnisses werden keine Angaben gemacht, jedoch geben die die Behörden Vorschläge und Tipps. Das Verzeichnis muss nach Art. 30 Abs. 1 DS-GVO wesentliche Angaben zur Verarbeitung beinhalten wie z. B.
- Zweck der Verarbeitung
- Beschreibung der Kategorien der personenbezogenen Daten
- der betroffenen Personen und
- der Empfänger
Kein öffentliches Verzeichnis und keine Meldepflicht mehr
Eine öffentlich für jedermann zugängliche Übersicht zu den eingesetzten Verfahren für die Verarbeitung personenbezogener Daten ist in der DSGVO nicht vorgesehen, ebenso entfallen mit der DSGVO die bisher in § 4d und § 4e BDSG geregelten Meldepflichten.
Neu: Pflichten des Auftragsdatenverarbeiters (Art. 30 Abs. 2)
Allen Daten-Kategorien die der von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten müssen künftig nach Art. 30 Abs. 2 DSGVO in einem Verzeichnis dokumentiert werden. Die Inhalte sind ähnlich zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO zu sehen.
Rechtsfolgen bei Verstoß
Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde sind nach Art. 83 Abs. 4 a DS-GVO mit Geldbuße bedroht. Allein aus diesem Grund ist es ratsam, rechtzeitig im eigenen Interesse ein vollständiges Verzeichnis von Verarbeitungstätigkeiten zu erstellen.
Weitere Informationen
Weitere Informationen zum Thema DSGVO, BDSG (neu) und dem Thema Verfahrensverzeichnis finden Sie auch beim Bayerischen Landesamt für Datenschutzaufsicht.
Quelle: https://www.lda.bayern.de/media/baylda_ds-gvo_5_processing_activities.pdf