Datenschutzverzeichnis

Unternehmen sind verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten („Datenschutzverzeichnis“) zu führen, wenn alternativ einer der folgenden Voraussetzungen zutrifft:

  1. Beschäftigung von mehr als 250 Mitarbeitern im Unternehmen
  2. Die Datenverarbeitung stellt ein Risiko für die Rechte und Freiheiten der betroffenen Personen dar
  3. Die Verarbeitung erfolgt nicht nur gelegentlich (z.B. Lohnverrechnung, Kundenbetreuung)
  4. Es werden sensible Daten bzw. Daten über strafrechtliche Verurteilungen verarbeitet

Die bisher bestehende Meldepflicht an das DVR besteht ab Geltung der DSGVO (25.05.2018) nicht mehr.

Es werden zwei Arten von Verzeichnissen unterschieden:

  • Verzeichnis für Verantwortliche (Verantwortliche haben Entscheidungskompetenz hinsichtlich Zwecke und Mittel von Verarbeitung personenbezogener Daten)
  • Verzeichnis für Auftragsverarbeiter (verarbeiten personenbezogene Daten im Auftrag des/der Verantwortlichen)

CASC erstellt als Dienstleistung gemeinsam mit den im Unternehmen zuständigen Personen ein Verzeichnis der im Unternehmen erfolgten Datenverarbeitungen. Dabei wird eine standardisierte Herangehensweise gewählt, um sicherzustellen, dass  alle relevanten Unternehmensprozesse erfasst, und alle gesetzlichen Anforderungen umgesetzt werden. Der Zeitaufwand für die Erstellung des Verzeichnisses ist individuell und abhängig von den Unternehmensstrukturen, vom Umfang der Datenverarbeitungen sowie der Art der im Unternehmen verarbeiteten Daten.

Das Verzeichnis muss auf der Seite des Verantwortlichen enthalten:

  • Name und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters der Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • Zweck der Datenverarbeitung,
  • Kategorien der betroffenen Personen und Kategorien der personenbezogener Daten,
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationale Organisation, einschließlich der Angaben des betreffenden Drittlands oder der internationalen Organisation,
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
  • eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen,

Das erstellte Verzeichnis ist in der Folge konsequent zu führen bzw. regelmäßig zu aktualisieren. CASC bietet hierzu seinen Kunden eine Software-Lösung an, die eine systematische Erfassung der Verarbeitungstätigkeiten im Unternehmen ermöglicht. In festzulegenden Abständen erfolgt eine Überprüfung/ ein Check der Durchführung seitens CASC. Der Verantwortliche im Unternehmen muss der Behörde gegenüber jederzeit die Einhaltung der Anforderungen der DSGVO nachweisen können, also jederzeit auch einen Nachweis der Verzeichnispflicht erbringen können. Das Verzeichnis ist auf Anfrage auch der Behörde vorzulegen. Die von CASC eingesetzte Software ermöglicht ein bequemes Auslesen aller Datenverarbeitungsvorgänge und somit ein schnelles Erstellen des Verzeichnisses.

Derzeit lässt sich noch nicht vollständig abschätzen, wie die DSGVO im Detail auszulegen ist. Zur Klärung sind vielfach auch noch Rechtsprechungsentscheide abzuwarten. Unserer Erkenntnis nach wird die Verpflichtung der Verzeichnisführung aber all diejenigen Unternehmen treffen, die personenbezogene Daten regelmäßig erfassen und verarbeiten (Newsletter, Kundendatenbanken, Aussendungen, Datenbanken zur Rechnungserstellung, etc.).

Wir empfehlen jedem Unternehmen ein Verarbeitungsverzeichnis zu führen. Grundlage hierfür können die im Rahmen der Beurteilung des Datenschutzes (Datenschutzaudit) erhobenen Daten im Unternehmen sein. Der Unternehmer gewinnt mit dem Verzeichnis einen umfangreichen Überblick über die im Unternehmen verarbeiteten personenbezogenen Daten und steht rechtlich auf der sicheren Seite.