Vor dem Inkrafttreten der DSGVO wurde das Verzeichnis für Datenverarbeitung als „Verfahrensverzeichnis“ bezeichnet, und nur größere Unternehmen waren verpflichtet, dieses zu führen. Heutzutage hat sich die Situation geändert. Gemäß Artikel 30 der DSGVO ist jedes Unternehmen, das personenbezogene Daten erhebt, speichert, weiterleitet oder verarbeitet, verpflichtet, ein Verarbeitungsverzeichnis zu führen.
Es handelt sich um eine gesetzliche Anforderung, die zwingend erfüllt werden sollte. Unternehmen können jederzeit von der Aufsichtsbehörde aufgefordert werden, das Verarbeitungsverzeichnis vorzulegen. Für die Aufsichtsbehörde fungiert es als Nachweis dafür, dass die Bestimmungen der DSGVO eingehalten werden. Das Verarbeitungsverzeichnis zielt jedoch auch darauf ab, Transparenz in Bezug auf die Verarbeitung personenbezogener Daten in einem Unternehmen zu schaffen.
Praktisch jeder Unternehmer und Selbstständige ist dazu verpflichtet, eine Übersicht über seine Datenverarbeitungsprozesse zu führen. Gemäß Artikel 30 der DSGVO gibt es theoretisch eine Ausnahme: Die Erstellung eines Verfahrensverzeichnisses ist erst ab 250 Mitarbeitern im Unternehmen verpflichtend, wie es Absatz 5 vorschreibt. Allerdings relativiert der Artikel selbst diese Ausnahme, indem er festlegt, dass jede Verarbeitung, die nicht nur gelegentlich stattfindet, in das Verfahrensverzeichnis aufgenommen werden muss.
Die Notwendigkeit eines Verfahrensverzeichnisses besteht unabhängig davon, ob ein Datenschutzbeauftragter im Unternehmen vorhanden ist oder nicht. Es ist immer erforderlich, es sei denn, die Datenverarbeitung erfolgt nur „gelegentlich“.
Es sei angemerkt, dass die Forderung nach einem Verfahrensverzeichnis nicht neu mit der DSGVO eingeführt wurde. Unternehmen, die bereits vor der DSGVO ein funktionierendes Datenschutzsystem etabliert hatten, sollten von dieser Anforderung nicht überrascht sein.
Ein Verfahrensverzeichnis, auch als Verzeichnis von Verarbeitungstätigkeiten bezeichnet, ist ein Dokument, das Unternehmen und Organisationen dazu dient, eine Übersicht über die verschiedenen Arten von personenbezogenen Datenverarbeitungen zu erstellen, die sie durchführen. Dieses Verzeichnis ist Teil der Datenschutzdokumentation und spielt eine wichtige Rolle im Rahmen des Datenschutzes.
Gemäß der Datenschutz-Grundverordnung (DSGVO), einem europäischen Datenschutzgesetz, müssen Verantwortliche für die Verarbeitung personenbezogener Daten (z.B. Unternehmen, Organisationen) ein Verfahrensverzeichnis erstellen und auf Anfrage den Datenschutzaufsichtsbehörden zur Verfügung stellen. Das Verfahrensverzeichnis enthält Informationen wie:
1. Verantwortlicher und ggf. Datenschutzbeauftragter: Die Namen und Kontaktdaten der für die Verarbeitung Verantwortlichen sowie des Datenschutzbeauftragten, falls einer bestellt wurde.
2. Zwecke der Datenverarbeitung: Eine Beschreibung der Zwecke, für die personenbezogene Daten verarbeitet werden.
3. Beschreibung der betroffenen Personen und der Kategorien von Daten: Informationen über die Gruppen von Personen, deren Daten verarbeitet werden, sowie die Arten von personenbezogenen Daten, die verarbeitet werden.
4. Empfänger oder Kategorien von Empfängern: Eine Aufstellung der Empfänger oder Kategorien von Empfängern, denen personenbezogene Daten offengelegt werden können.
5. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen: Falls Daten außerhalb der Europäischen Union übermittelt werden, muss dies dokumentiert werden.
6. Dauer der Speicherung: Die geplante Dauer, für die die personenbezogenen Daten gespeichert werden.
7. Technische und organisatorische Maßnahmen: Eine Beschreibung der getroffenen Sicherheitsmaßnahmen zum Schutz der Daten.
Die Erstellung und Aktualisierung des Verfahrensverzeichnisses ist ein wichtiger Schritt zur Einhaltung der Datenschutzbestimmungen und ermöglicht es Unternehmen, ihre Datenverarbeitungsaktivitäten transparent zu dokumentieren.
Absatz 5 scheint darauf hinzudeuten, dass Unternehmen mit weniger als 250 Mitarbeitern von der Verpflichtung zur Führung eines Verzeichnisses befreit sind, es sei denn, sie verarbeiten personenbezogene Daten, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, die Verarbeitung erfolgt nicht nur gelegentlich, oder es handelt sich um besondere Datenkategorien gemäß Art. 9 oder strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 der Datenschutz-Grundverordnung (DSGVO).
Bei genauerer Betrachtung könnte dies jedoch anders interpretiert werden. Erstens besteht immer ein gewisses Risiko, und zweitens erfolgt die Datenverarbeitung bei einem dauerhaften Geschäftsbetrieb regelmäßig, nicht nur gelegentlich. Drittens werden in der Regel auch einige besondere Datenkategorien nach Art. 9 DSGVO verarbeitet, wie beispielsweise Gesundheitsdaten in Form von Krankheitstagen oder Einschränkungen. Dies würde bedeuten, dass alle Unternehmen unabhängig von ihrer Mitarbeiterzahl zur Führung eines Verzeichnisses verpflichtet wären, und die Einschränkung auf 250 Mitarbeiter im Absatz hätte keinen Sinn.
In Bezug auf das Verarbeitungsrisiko fehlt vor dem Begriff „Risiko“ offensichtlich ein quantifizierendes Adjektiv wie zum Beispiel „erhebliches“. Kommentatoren argumentieren, dass dies auf eine Verarbeitung mit geringem Risiko hinweist, bei der kein hohes oder erhebliches Risiko besteht. In Bezug auf die Regelmäßigkeit wird angenommen, dass dies keine alternative Bedingung ist, sondern eine zusätzliche Voraussetzung, sodass nur bei regelmäßiger Verarbeitung mit erheblichem Risiko die Pflicht zur Verzeichnisführung besteht, selbst wenn die Mitarbeiterzahl weniger als 250 beträgt. Die Frage, ob bereits geringfügige Gesundheitsdaten ausreichen würden, um die Pflicht zur Führung eines Verzeichnisses zu begründen, bleibt jedoch offen.
Eine mögliche konsensfähige Interpretation könnte sein, dass alle Unternehmen weiterhin ein Verfahrensverzeichnis erstellen müssen, aber kleine Unternehmen nur für regelmäßige Verarbeitungen. Dabei bleibt jedoch unklar, ab wann etwas als regelmäßig gilt.
Diese Interpretationen sind bisher wenig diskutiert und werden wahrscheinlich erst nach Stellungnahmen von Aufsichtsbehörden oder Gerichtsurteilen, vermutlich nicht vor 2019, geklärt sein. Angesichts dieser unsicheren Regelungen wird vorerst empfohlen, die bisherige Praxis der Verfahrensverzeichnisse nach dem Bundesdatenschutzgesetz beizubehalten.
Es gibt auch kein öffentliches Verzeichnis mit Einsichtsrecht für jedermann und keine Meldepflicht mehr gemäß § 4d und e BDSG. Stattdessen gibt es umfangreiche Informationspflichten.
Es bleibt abzuwarten, wie sich die technischen und organisatorischen Maßnahmen im neuen Verzeichnis widerspiegeln werden. Es wird empfohlen, eine Historie der Verfahrensverzeichnisse aufzubewahren, um Veränderungen transparent zu machen.