Ab 25. Mai 2018 ist jeder, der personenbezogene Daten für eigene Zwecke oder für Dritte verarbeitet, verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Damit normiert die DSGVO eine generelle Dokumentationspflicht, die die bisherigen Meldepflichten zum Datenverarbeitungsregister ersetzt. Kleinere Unternehmen gehen regelmäßig fälschlicherweise davon aus, dass sie von der Pflicht, ein Verarbeitungsverzeichnis zu führen, ausgenommen sind. Die Ausnahmeregelung ist jedoch derart eng gefasst, dass sie kaum praktische Bedeutung erlangen wird. Da Unternehmen zumindest einige personenbezogene Daten öfter als „nur gelegentlich“ verarbeiten, greift der Ausnahmetatbestand nicht.
Die Datenschutz-Grundverordnung regelt klar, welche Informationen zu erfassen sind, wenn eigene Daten verarbeitet werden: Der Verantwortliche hat neben Angaben über sich selbst, sämtlichen Datenverarbeitungen einschließlich der Übermittlungen in ein Drittland sowie der Löschungsfristen auch eine Beschreibung technisch-organisatorischer Maßnahmen zur Datensicherheit zu erfassen. Werden Daten für Dritte verarbeitet, hat der Auftragsverarbeiter Angaben über sich selbst aufzunehmen, die jeweiligen Kategorien der im Auftrag vorgenommenen Verarbeitungen zu erfassen, Übermittlungen in ein Drittland anzuführen und ebenso die technisch-organisatorischen Maßnahmen zur Datensicherheit zu beschreiben.
Auf Anfrage muss ein Unternehmen im Rahmen seiner Rechenschaftspflicht der Datenschutzbehörde Einsicht in das Verarbeitungsverzeichnis gewähren. Es ist daher durch interne Prozesse sicherzustellen, dass neue oder geänderte Verarbeitungstätigkeiten im Verarbeitungsverzeichnis entsprechend berücksichtigt werden. Bei Verletzung der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art 30 DSGVO zu führen, droht eine Geldbuße von bis zu EUR 10 Mio oder im Fall eines Unternehmens von bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes, je nachdem, welcher Betrag höher ist.
Das Erstellen eines Verarbeitungsverzeichnisses verursacht einen erheblichen bürokratischen Aufwand. Dennoch sollte nicht übersehen werden, dass die übersichtliche Auflistung der Verarbeitungstätigkeiten auch die interne Organisation erleichtert und eine dem Datenschutzrecht geschuldete Rechtmäßigkeitsprüfung ermöglicht.
Mag. Claudia Fleischhacker-Hofko