Verarbeitungsverzeichnis nach Art. 30 DS-GVO
Das für Verantwortliche und Auftragsverarbeiter verpflichtende Verarbeitungsverzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation. Zudem hilft es dabei nachzuweisen, dass die Vorgaben der DS-GVO eingehalten werden.
Die Datenschutz-Grundverordnung (DS-GVO) sieht neue Dokumentationsanforderungen vor, die über die bisherigen Anforderungen nach dem deutschen Recht hinausgehen.
Das nach bisheriger Rechtslage durch den Datenschutzbeauftragten zu erstellende öffentliche Verfahrensverzeichnis gemäß § 4g Absatz 2 Bundesdatenschutzgesetz (BDSG) bzw. die interne Verfahrensübersicht gemäß § 4g Absatz 2a BDSG wurde ab dem 25. Mai 2018 durch ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigkeiten mit personenbezogenen Daten abgelöst.
Verantwortliche und Auftragsverarbeiter sind nun verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten gemäß Artikel 30 DS-GVO zu führen. Verantwortliche und Auftragsverarbeiter, die unter den Anwendungsbereich der Richtline (EU) 680/2016 (JI-Richtlinie) fallen, sind ebenso nach § 53 Datenschutzgesetz Nordrhein-Westfalen in Verbindung mit Artikel 30 DS-GVO verpflichtet, ein solches Verarbeitungsverzeichnis zu führen.
Artikel 30 Absatz 1 bis 4 der DS-GVO gilt entsprechend mit der Maßgabe, dass in dieses Verzeichnis ergänzend Angaben über die Rechtsgrundlage der Verarbeitung, einschließlich der Übermittlungen, für die die personenbezogenen Daten bestimmt sind, sowie gegebenenfalls die Verwendung von Profiling aufzunehmen sind. Das Verzeichnis ist auf Anfrage der Datenschutzaufsichtsbehörde zur Verfügung zu stellen.
Was wurde aus dem Verfahrensverzeichnis nach dem BDSG?
Die LDI NRW hat die Führung des Melderegisters zum 25. Mai 2018 eingestellt, d.h. die vormals in § 4d und § 4e BDSG geregelte Meldepflicht von einigen verantwortlichen Stellen ist entfallen. Das öffentlich von jedermann einsehbare Verzeichnis bei der Aufsichtsbehörde wird nicht mehr fortgeführt.
Die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) haben neue Mustervorlagen sowie ausführliche Hinweise zum Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DS-GVO abgestimmt und veröffentlicht.