Öffentliches Verfahrensverzeichnis nach BDSG und DSGVO

Das öffentliche Verfahrensverzeichnis sollte in der Vergangenheit dafür sorgen, dass Unternehmen ihren Datenschutz für die Öffentlichkeit transparent machen. Auch die neue Europäische Datenschutzgrundverordnung DSGVO fordert solch ein Verzeichnis von Verarbeitungstätigkeiten, welches allerdings nicht öffentlich zu sein braucht.

Das Verfahrensverzeichnis nach dem BDSG

Im Bundesdatenschutzgesetz (BDSG) erscheint der Begriff des Verfahrensverzeichnisses nicht direkt. Er hat sich allerdings für die Dokumentation eingebürgert, mit der jedes Unternehmen beschreiben muss, wie es personenbezogene Daten verarbeitet. Der Gesetzestext unterscheidet dabei zwischen einem internen und einem externen Verzeichnis. Dabei geht es jeweils um Übersichten, wie sie in § 4g Abs. 2 und § 4e BDSG beschrieben werden. In diesem Beitrag wird die öffentliche Übersicht thematisiert, die für jedermann zugänglich sein sollte.

Dazu ist es zu empfehlen, dieses Verzeichnis auf der Unternehmenswebseite bereitzustellen. Dies ist zwar nach BDSG nicht unbedingt erforderlich, doch es muss auf Antrag jedermann zugänglich gemacht werden. Und das Veröffentlichen auf der Webseite hat den Vorteil, dass man keine Antwortfristen versäumt, weil Mitarbeiter in Urlaub oder krank sind, und auch keine Mails im Spamordner verschwinden. Außerdem spart man die Zeit, jede Anfrage händisch zu beantworten.

Das Führen solch eines Verfahrensverzeichnisses ist laut BDSG Pflicht. Allerdings wurde die Einhaltung dieser Regel kaum überprüft und wenn, dann wurden keine nennenswerten Bußgelder verhängt.

Inhalt

Verglichen mit dem internen Verfahrensverzeichnis sind die Angaben in der öffentlichen Übersicht relativ knapp. Sie beantworten folgende Fragen:

  • Wie ist der Name bzw. die Firmierung sowie die Anschrift der verantwortlichen Stelle?
  • Wer sind gesetzliche Vertreter, Leiter und mit dem Datenschutz Beauftragte?
  • Welchem Zweck dient die Datenerhebung?
  • Welche Personengruppen sind betroffen?
  • Welche Daten oder Datenkategorien werden erhoben?
  • Welche Empfänger oder Kategorien von Empfängern erhalten die Daten?
  • Innerhalb welcher Fristen werden Daten wieder gelöscht?
  • Welche Daten werden an Drittstaaten übvermittelt?

Unten sind Musterdokumente verlinkt, die entsprechende Abschnitte für diese Angaben enthalten.

Musterformulare

Formulare DSGVO

Ein Musterformular für das öffentliche Verfahrensverzeichnis ist erhältlich vom Datenschutzbeauftragten jedes Bundeslandes, der es im Microsoft-Word-Format zur Verfügung stellt. Dieses Formular bezieht sich auf das das jeweilige Datenschutzgesetz, für Hessen ist dies das HDSG. Für die anderen Bundesländer gelten vergleichbare Regelungen.

Ein etwas leichter verständliches Musterformular bietet die Gesellschaft für Datenschutz und Datensicherheit e.V. an.

Gerne senden wir Ihnen Musterformulare kostenfrei zu.

Mit dem Eingeben und Absenden Ihrer Daten erklären Sie sich einverstanden, dass wir Ihre Angaben zum Zwecke der Beantwortung Ihrer Anfrage und etwaiger Rückfragen entgegennehmen, zwischenspeichern und auswerten. Sie können dem jederzeit widersprechen. Siehe auch unsere Datenschutzhinweise.

Das Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO

Die Datenschutzgrundverordnung (DSGVO) gilt auf gesamteuropäischer Ebene und löst das nur national geltende BDSG ab. Dabei werden bestehende Regelungen durch neue ersetzt. In diesem Zuge wird aus dem „Verfahrensverzeichnis“ ein „Verzeichnis von Verarbeitungstätigkeiten“. Neu sind allerdings nicht nur Reichweite und Formulierung der Verordnung, sondern auch die möglichen Strafen bei deren Missachtung. Mit Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes beinhaltet die DSGVO existenzbedrohende Strafen für alle, die kein solches Verzeichnis führen und bereitstellen. Dabei agieren die Aufsichtsbehörden gleichzeitig als Bußgeldstellen, was die Gefahr von verhängten Strafen sicher erhöhen wird. Eine weitere Neuerung mit großen Auswirkungen ist die Umkehr der Beweislast: Bei den Datenschutzrichtlinien der EU muss jetzt der Einzelne bzw. das Unternehmen nachweisen, dass man alles richtig gemacht hat. Auch hierdurch wird das rechtliche Risiko erheblich höher als beim bisherigen Datenschutzrecht.

Anders als beim BDSG kennt die DSGVO den Unterschied zwischen einem internen und öffentlichen Verzeichnis nicht mehr. Jetzt muss dieses nur noch auf Anfrage gegenüber Aufsichtsbehörden offengelegt werden. Allerdings ist der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten sehr umfangreich und die entsprechenden Fakten müssen sorgfältig zusammengestellt sein, sie müssen transparent und vollständig sein.

Für fast alle Unternehmen vorgeschrieben

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht für jede Firma zwingend vorgeschrieben. Bei Unternehmen unter 250 Mitarbeitern regelt § 30 Abs. 5 DSGVO Erleichterungen. Diese gelten für Betriebe, die nur gelegentlich personenbezogene Daten verarbeiten und auch noch andere Bedingungen erfüllen. Allerdings gilt hier eine wichtige Einschränkung: Jede Webseite erhebt von ihren Besuchern automatisch personenbezogene Daten. Schon die IP-Adresse zählt als solche. Deshalb muss jede Firma, die über eine eigene Webseite verfügt, zwingend ein Verzeichnis nach der DSGVO führen – und das dürfte auf praktisch alle Betriebe in Deutschland zutreffen.

Auftragsdatenverarbeiter in der Pflicht

Nicht nur direkt verantwortliche Stellen oder Unternehmen müssen diese Verarbeitungsverzeichnisse führen, sondern alle, die nur im Auftrag solcher Stellen Daten verarbeiten (§ 30 Abs. 2 DSGVO). Auftragsverarbeiter in diesem Sinne sind insbesondere Web-Hosting-Anbieter, Steuerberater oder auch Finanzverwalter.

2019-09-17T16:22:04+02:00