Welche Rolle haben Datenschutzbeauftragte beim Verarbeitungsverzeichnis?

 

Jeder Verantwortliche und jeder Auftragsverarbeiter muss ein Verzeichnis aller Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen (Artikel 30 Absätze 1 und 2 DS-GVO; vgl. Artikel 24 Absätze 1 und 2 JI-RL). Das Verarbeitungsverzeichnis ermöglicht den Verantwortlichen und den Datenschutzbeauftragten, die Verarbeitungstätigkeiten innerhalb der Organisation zu überblicken. Dies ist Voraussetzung für eine gute Überwachungstätigkeit und fördert die Nachvollziehbarkeit der internen Verarbeitungsprozesse.

 

Nach altem Recht führten Datenschutzbeauftragte das Verfahrensverzeichnis und erteilten Auskunft daraus (§ 4g Absatz 2 Satz 2 BDSG, § 32a Absatz 3 Sätze 2 und 3 DSG NRW). Nach der DS-GVO und der JI-RL entfallen diese Aufgaben für Datenschutzbeauftragte.

 

Das Verzeichnis von Verarbeitungstätigkeiten ist durch den Verantwortlichen bzw. den Auftragsverarbeiter lediglich intern zu führen und auf Anforderung nur der Aufsichtsbehörde zur Verfügung zu stellen, damit die betreffenden Verarbeitungsvorgänge überprüft werden können (Artikel 30 Absatz 4 DSGVO; vgl. Artikel 24 Absatz 3 Satz 2 JI-RL).

 

Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen keine Verzeichnisse führen (Artikel 30 Absatz 5 DS-GVO). Dies gilt ausnahmsweise nicht, falls:

  • die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, oder
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • die Verarbeitung besondere Datenkategorien gemäß Artikel 9 Absatz 1 DS-GVO (z.B. Gesundheitsdaten) bzw. personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DS-GVO betrifft.

 

Die Dokumentationsverpflichtung tritt dann wieder ein, wenn mindestens eine der genannten Bedingungen erfüllt ist („oder“). Dies wird der Regelfall sein, da die Verarbeitung in den meisten Fällen nicht nur gelegentlich erfolgt. Auch sobald ein Daten verarbeitender Betrieb Lohn- und Gehaltsdaten mit dem Merkmal „Religionszugehörigkeit“ (bedingt durch die Kirchensteuergesetze zwingend) versieht, ist die Rückausnahme „besondere Arten von Daten“ gegeben, was zur Dokumentationspflicht führt.

 

Die LDI NRW empfiehlt zur Gewährleistung eines effektiven Datenschutz-Managementsystems und zu Dokumentationszwecken in jedem Fall die Erstellung eines schriftlichen, internen Verzeichnisses von Verarbeitungstätigkeiten, auch wenn dies an sich nicht erforderlich wäre.

Weitere Dokumentation empfohlen

Die LDI NRW empfiehlt weitere, dem Verständnis des Verarbeitungsverzeichnisses dienende Informationen zur Dokumentation datenschutzrelevanter Vorgänge außerhalb des Verarbeitungsverzeichnisses zu erstellen und vorzuhalten (z. B. ein Sicherheits- und Rechte-und-Rollen-Konzept, ein Wiederanlaufkonzept sowie die Dokumentation des Ergebnisses einer gegebenenfalls durchgeführten Datenschutz-Folgenabschätzung).

Diese Dokumente stellen keine Anlagen zum Verarbeitungsverzeichnis dar, son-dern weitere, darüber hinausgehende Bausteine einer umfassenden Dokumen-tation der organisationsinternen Datenschutzstrategie. Wir empfehlen, diese Dokumente als Referenz im Verarbeitungsverzeichnis aufzuführen. Auf Anfrage können diese Referenzdokumente zusätzlich zum Verarbeitungsverzeichnis der Aufsichtsbehörde vorgelegt werden. Sie dienen zusammen mit dem Verarbei-tungsverzeichnis der Umsetzung der Dokumentations- und Nachweispflichten des Verantwortlichen bzw. des Auftragsverarbeiters nach Artikel 24 Absatz 1 DS-GVO (vgl. Artikel 19 JI-RL).

zurück zur Übersicht