DDV Suche

DS-GVO: Auslegungstipp "Verfahrensverzeichnis"

Verfahrensverzeichnis
Unternehmen und ihre Dienstleister sollen die von ihnen durchgeführte Datenverarbeitung überblicken. Hierzu müssen Verzeichnisse über die Verarbeitungstätigkeiten geführt werden.
Ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitern. Die Ausnahme gilt aber nicht, wenn ein besonderes Risiko mit der Verarbeitung verbunden ist, sie nicht nur gelegentlich erfolgt oder besonders sensible Daten verarbeitet werden (Artikel 30 Abs.5). Im Dialogmarketing sind bei Unternehmen und Dienstleistern zwar meist weniger als 250 Mitarbeiter beschäftigt. Jedoch finden die Verarbeitungen in der Regel „nicht nur gelegentlich“ statt. Oft wird daher ein Verfahrensverzeichnis zu führen sein.
Jeder Verantwortliche oder gegebenenfalls sein Vertreter müssen das Verzeichnis mit folgenden Angaben führen:
- Name und Kontaktdaten des Verantwortlichen/gegebenenfalls des gemeinsam mit ihm Verantwortlichen, seines Vertreters sowie eines etwaigen Datenschutzbeauftragten,
- Zwecke der Verarbeitung,
- Beschreibung der Kategorien betroffener Personen und deren personenbezogener Daten,
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
- wenn möglich, vorgesehene Löschungsfristen der verschiedenen Datenkategorien,
- wenn möglich, allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung gemäß Artikel 32 Abs. 1.
Neu gegenüber dem BDSG ist, dass auch die eingeschalteten Auftragsverarbeiter und deren Vertreter ein Verfahrensverzeichnis zu führen haben (Einzelheiten siehe Artikel 30 Abs. 2).
Das Verzeichnis ist schriftlich zu führen, was auch in elektronischer Form erfolgen kann (Artikel 30 Abs. 3). Auf Anforderung ist es der zuständigen Aufsichtsbehörde zur Verfügung zu stellen. Die Verordnung sieht keine Registrierung oder Meldung von Datenverarbeitungen an die jeweiligen Aufsichtsbehörden vor. Es besteht kein Recht von Jedermann auf Einsicht in das Verzeichnis.
Tipp für die Praxis:
Das Verfahrensverzeichnis sollte das zentrale Tool für den Datenschutzbeauftragten sein, um Datenverarbeitungen zu dokumentieren: Von wem die Daten erhoben wurden, etwaige Zweckänderungen und deren Rechtsgrundlage. Sinnvoll ist, die Rechtsgrundlage für die Verarbeitungen allgemein zu erfassen und bei Verwendung der Interessenabwägung deren Kriterien aufzunehmen. Erfasst werden sollte, ob eine Datenschutzfolgenabschätzung erfolgte und wo man die Unterlagen dazu findet.
Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, 3. überarbeitete Auflage Juli 2019
Ihre Ansprechpartner
Gerne stehen die Mitarbeiter der DDV-Geschäftsstelle für Ihre Fragen zur Verfügung. Hier finden Sie die direkten Kontakte für häufige Fragen. Eine Liste aller Mitarbeiter finden Sie auf der Seite Geschäftsstellen.
Martina Rambach
E-Mail: m.rambach@ddv.deTel: 069 401 276-522
Fax: 069 401 276-599
Franz Peter Altemeier
E-Mail: fp.altemeier@ddv.deTel: 030 509 3209-44
Fax: 030 509 3209-55