Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das Mitte 2018 in Kraft tritt. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz–Grundverordnung, Juni 2016).
Selbst in kleineren Unternehmen ist es nicht immer einfach, den Überblick über die eigenen Datenverarbeitungsprozesse zu behalten. Dies umso mehr als einzelne Prozesse in die Cloud verlagert werden. Wenn Terminkalender und die Kundendatenbank in der Cloud geführt werden, sind die Daten auf den Unternehmensservern nicht mehr sichtbar. Bei einem Datenschutz-Audit kann es leicht passieren, dass derartige Prozesse übersehen werden.
Geltendes Recht zu Verfahrensverzeichnissen
Nach geltendem Recht wird die Transparenz der Datenverarbeitungsprozesse durch Verfahrensverzeichnisse gesichert. Die Führung eines Verfahrensverzeichnisses nach § 4 g Abs. 2 Satz 1 i. V. m. § 4 e Satz 1 BDSG gehört zu den Kernaufgaben des betrieblichen Datenschutzbeauftragten (siehe v. d. Bussche in: Plath, BDSG, § 4g Rn. 20 – 24).
Bei den Verfahrensverzeichnissen geht es weniger um Software als um Prozesse, beispielsweise um Kundendatenbanken, die Verwaltung der Mitarbeiterdaten in der Personalabteilung, um den Internetauftritt, den Terminkalender und die Finanzbuchhaltung. Jeder dieser Prozesse muss in einem Verfahrensverzeichnis in Grundzügen beschrieben werden.
§ 4e Abs. 1 Satz 1 BDSG schreibt folgende Angaben vor (siehe v. d. Bussche in: Plath, BDSG, § 4e Rn. 5 – 15):
- Name, Firma und Anschrift der verantwortlichen Stelle;
- Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter oder die mit der Leitung der Datenverarbeitung beauftragten Personen;
- Zweckbestimmungen der Datenerhebung, -verarbeitung oder –nutzung;
- Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien;
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können;
- Regelfristen für die Löschung der Daten;
- Datenübermittlung in Drittstaaten, falls geplant;
- eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die technischen und organisatorischen Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
Änderungen durch die DSGVO
Art. 30 Abs. 1 DSGVO entspricht § 4 e Satz 1 BDSG und listet die Angaben auf, die ein Verfahrensverzeichnis enthalten muss:
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.”
- Teilweise Befreiung von Pflicht zu Verfahrensverzeichnissen
Anders als nach bisherigem Recht gibt es eine (teilweise) Befreiung von der Pflicht zu Verfahrensverzeichnissen für kleinere Unternehmen (Art. 30 Abs. 5 DSGVO):
“Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.“
Unternehmen mit weniger als 250 Beschäftigten müssen somit nicht für jedes Verarbeitungsverfahren ein Verzeichnis anlegen, sondern nur für Verfahren, die
- mit einem erheblichen Risiko für die Betroffenen verbunden sind (z.B. Videoüberwachung) oder
- nicht nur gelegentlich angewendet werden oder
- sensitive Daten (z.B. Gesundheitsdaten oder Daten aus einem Strafregister) umfassen.
Merke:
Die Ausnahme gilt nur für „gelegentliche“ Verfahren. Daher gibt es für alle Grundfunktionen des Unternehmens (z.B. Finanzbuchhaltung; Personalakten; Kundendatenbank) keine Änderung. Es bleibt bei der Verpflichtung zur Führung von Verfahrensverzeichnissen.
Verantwortung für, Einsicht in und Transfer von Verfahrensverzeichnissen
Art. 30 DSGVO weist drei weitere Besonderheiten gegenüber dem geltenden Recht auf:
- Verantwortung: Anders als nach der bisherigen Praxis ist die Unternehmensleitung und nicht der betriebliche Datenschutzbeauftragte für die Verfahrensverzeichnisse verantwortlich (Art. 30 Abs. 1 DSGVO).
- Verantwortung: Auch der Auftragsverabeiter ist nach Art. 30 Abs. 2 DSGVO zur Führung von Verfahrensverzeichnissen verpflichtet.
- Keine allgemeine Einsicht: Nach der DSGVO gibt es kein „Jedermanns-Recht“ auf Einsicht in die Verfahrensverzeichnisse. Die Führung externer Verzeichnisse zur Erfüllung der Verpflichtung nach § 4 g Abs. 2 Satz 2 BDSG wird entbehrlich.
- Datentransfer: Bei einem Datentransfer in einen Drittstaat auf der Grundlage des Art. 49 Abs. 1 Satz 2 DSGVO sind die Risikoabschätzung und die ergriffenen Schutzmaßnahmen nach Art. 28 DSGVO zu dokumentieren (Art. 49 Abs. 6 DSGVO). Bei einem neuen Verarbeitungsverfahren ist somit ein neues Verzeichnis zu erstellen, anderenfalls ist das bereits bestehende Verzeichnis um die durch Art. 49 Abs. 6 DSGVO vorgeschriebenen Angaben zu ergänzen.
Merke:
Bei der Funktion der Verzeichnisse gemäß Art. 30 DSGVO lässt sich eine leichte Akzentverschiebung beobachten:
Geht es in § 4 g Abs. 2 Satz 1 i. V. m. § 4 e Satz 1 BDSG maßgeblich um ein jeweils aktuelles Bild der Datenverarbeitungsverfahren, die im Unternehmen praktiziert werden (v. d. Bussche in: Plath, BDSG, § 4g Rn. 20 ff.), kommt durch Art. 30 DSGVO eine historische Komponente hinzu. Art. 30 DSGVO soll den Aufsichtsbehörden auch für die Vergangenheit die Möglichkeit eröffnen, Datenverarbeitungsverfahren zu untersuchen.
Wegen der historischen Komponente erscheint es ratsam, die jeweils aktuellen Verfahrensverzeichnisse in ein umfassendes Dokumentationssystem einzubinden. Alle Änderungen und Ergänzungen sowie die Neuanlegung und Schließung von Verzeichnissen sollten lückenlos unter Verwendung von Zeitstempeln dokumentiert sein.