Wie hat ein Verzeichnis der Verarbeitungstätigkeiten auszusehen?
DSGVO Art 30 + 9, 10, 13, 14, 28, 35, 82, 83, EW 75
Pflicht zur Führung eines Verzeichnisses - bis zu 80% der österreichischen Klein- und Kleinstbetriebe müssen kein Verzeichnis führen - Inhalt des Verzeichnisses - Offenlegung des Verzeichnisses - Vergleich zur Informationspflicht - Konsequenzen der Missachtung der Dokumentationspflicht
Pflicht zur Führung eines Verzeichnisses
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche und Auftragsverarbeiter gemäß Art 30 zur Führung eines "Verzeichnisses der Verarbeitungstätigkeiten".
Schon beim Titel der Bestimmung beginnen die Missverständnisse. Viele verstehen diesen Auftrag als "Führung eines Verarbeitungsverzeichnisses" und setzen es mit den alten DVR-Registermeldungen gleich. Das alte Meldeformular quasi im neuen Gewand.
Dies ist weder formal noch inhaltlich richtig. Die Verpflichtung die Verarbeitungstätigkeiten zu dokumentieren zielt auf die Darstellung aller Verarbeitungsprozesse ab und erfordert eine dynamische Beschreibung der Verarbeitungstätigkeiten (Zwecke). Das alte DVR-System ging von einer statischen Beschreibung einzelner Zwecks aus, zu denen jeweils ein eigener Rechtsgrund anzugeben war. Unmittelbare Konsequenz dieses prozessorientierten Ansatzes ist, dass auch innerbetrieblich alle Verarbeitungsschritte dokumentiert werden müssen, nicht nur Übermittlungen an Dritte.
Weiters müssen zusätzliche Punkte dokumentiert werden, am auffälligsten ist die Darstellung eines Löschkonzepts.
Keine spezifische Dokumentation der Rechtsgrundlagen erforderlich
Im Gegenzug entfällt jedoch die sinnfreie Dokumentation der Rechtsgrundlagen zusätzlich zu den Verarbeitungszwecken. Die Berufung auf ausdrückliche Rechtsgrundlagen ist nur in dem Umfang erforderlich, indem der beschriebene Zwecke erläutert wird.
Im Ergebnis sind die bisherigen DVR-Meldungen bestenfalls eine erste Dokumentationshilfe, ansonsten völlig ungeeignet die Verpflichtungen zum Führen des "Verzeichnisses der Verarbeitungstätigkeiten" zu erfüllen.
Der Vorteil der neuen Bestimmung ist auch, dass es keine Pflicht gibt jede einzelne Verarbeitung getrennt zu dokumentieren, wie dies beim DVR-System der Fall war, sondern ein Verarbeiter kann seinen gesamten Verarbeitungsprozess inklusive aller Hilfs- und Nebenzwecke in einem einzigen Verzeichnis dokumentieren.
Damit ist das "Verzeichnis der Verarbeitungstätigkeiten" realitätsnäher angelegt, als die bisherigen bürokratischen Meldepflichten. Es kann auch eine stark technisch orientierte Dokumentation sein.
Wer hat ein derartiges Verzeichnis zu führen?
Grundsätzlich haben alle Verantwortlichen und Auftragsverarbeiter ein "Verzeichnis der Verarbeitungstätigkeiten" zu führen.
Ausnahmen gibt es für kleine Unternehmen (weniger als 250 Mitarbeiter), sofern
(a) die Verarbeitung KEIN "Risiko für die Rechte und Freiheiten der betroffenen Personen birgt" oder
(b) die Verarbeitung nur gelegentlich erfolgt oder
(c) keine besonderen Datenkategorien und keine strafrechtliche Verurteilungen und Straftaten umfasst.
Die Ausnahmebestimmung ist relativ unklar formuliert, insbesondere besteht derzeit weitgehende Verunsicherung, was unter "gelegentlich" zu verstehen ist. Ist eine Kundenverwaltung eines Friseurs, in dem nur wenige Stammkunden eingetragen sind, eine derartige "gelegentliche" Verarbeitung?
Tatsächlich ist diese Diskussion irreführend. Kern der Prüfung ob ein Verzeichnis zu führen ist oder nicht, ist die Klärung ob ein "Risiko für die Rechte und Freiheiten der betroffenen Personen" vorliegen könnte. Fällt die Prüfung negativ aus, also liegen KEINE erkennbaren Risken vor, dann ist auch KEIN "Verzeichnis der Verarbeitungstätigkeiten" zu führen.
Kleine Unternehmen werden daher VOR Start eines "Verzeichnisses der Verarbeitungstätigkeiten" diese Prüfung machen. Die DSGVO nennt keine Prüfkriterien, gibt aber in den Erwägungsgründen Hinweise, was die DSGVO unter "Risiko für die Rechte und Freiheiten der betroffenen Personen" versteht (EW 75 DSGVO).
Diese Liste sollte zur Prüfung der Notwendigkeit eines "Verzeichnisses der Verarbeitungstätigkeiten" herangezogen werden. In der Regel wird das Ergebnis sein, dass bei Einzelunternehmern oder Kleinunternehmern die bloß eine Buchhaltung, eine Kundenliste und eine Interessentenliste führen, KEIN "Risiko für die Rechte und Freiheiten der betroffenen Personen" vorliegt.
Nach unseren Schätzungen betrifft das etwa 80% der in Österreich gewerblich tätigen Unternehmen, die als Einzelunternehmer oder Kleinstbetriebe im Handel, als Handwerker oder als Transportunternehmer tätig sind. Sie alle müssen - wie bisher - kein "Verzeichnis der Verarbeitungstätigkeiten" führen.
Inhalt des Verzeichnisses
Viele Verarbeiter missverstehen die Verpflichtung zum Führen eines "Verzeichnisses der Verarbeitungstätigkeiten" als Aufbau einer neuen bürokratischen Parallelstruktur zu ihrer bisherigen innerbetrieblichen IT-Dokumentation. Damit würde das veraltete DVR-System nur in die Betriebe ausgelagert, quasi privatisiert werden.
Das ist Unsinn und widerspricht den Zielen der DSGVO. Die optimale Strategie ist auf Basis der bestehenden IT- und Verfahrensdokumentation zu prüfen, welche Informationen verfügbar sind. In manchen Fällen kann es erforderlich sein, Ergänzungen anzubringen. Die Zusammenstellung dieser bestehenden Dokumente, sofern sie die Anforderungen des Art 30 DSGVO abdecken, stellt schon ein geeignetes "Verzeichnis der Verarbeitungstätigkeiten" dar.
Checkliste von geeigneten Dokumenten:
- technische Systembeschreibung der eingesetzten IT-Komponenten
- ein Data-Dictionary über alle verwendeten Datenfelder, Datenbanken und Datentabellen
- Ablauf-, Prozess-, Oranisationsdiagramme
- Kriterien zur Vrgabe von Berechtigungen (Zugriffs-, Zutritts- und Applikationsberechtigten)
- eine interne Security Policy
- klare Dienstanweisungen wer für welche Datenverarbeitungsschritte verantwortlich ist
Wer über diese Dokumente verfügt, muss nur mehr sicher stellen, dass sie aktuell sind, das sie den zuständigen Personen bekannt sind, das sie auch im betrieblichen Alltag angewandt werden (keine "Schatten-IT") und das sie bei Bedarf vorgelegt werden können.
Wer bisher eine geordnete Datenverarbeitung betreibt, wer weiß wo in seinem Unternehmen personenbezogene Daten zu welchen Zweck verwendet werden, hat durch die DSGVO Art 30 praktisch keinen zusätzlichen Dokumentationsaufwand.
Checkliste, welche Informationen vorhanden sein müssen:
- den Namen und die Kontaktdaten des Verantwortlichen
- wenn zutreffend: mit ihm gemeinsam Verantwortliche
- wenn zutreffend: des Vertreters des Verantwortlichen
- wenn zutreffend: des Datenschutzbeauftragten
- Prozessdarstellung der Verarbeitungsschritte, enthält: Beschreibung Kategorien betroffener Personen
- Prozessdarstellung der Verarbeitungsschritte, enthält: Beschreibung Kategorien personenbezogener Daten
- Prozessdarstellung der Verarbeitungsschritte, enthält: Zwecke der Verarbeitung
- Prozessdarstellung der Verarbeitungsschritte enthält: Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (inklusive interne Abläufe, Auftragsverarbeiter, Dritte)
- wenn zutreffend: Empfänger in Drittländern oder internationalen Organisationen
- wenn zutreffend: Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Sicherheits-Maßnahmen
Es ist zulässig weitere Informationen in das "Verzeichnis der Verarbeitungstätigkeiten" aufzunehmen. So sollte bei einzelnen Verarbeitungstätigkeiten angegeben werden, ob der Verantwortliche selbst die Verarbeitung vornimmt oder ein Auftragsverarbeiter.
Wird das "Verzeichnis der Verarbeitungstätigkeiten" von einem Auftragsverarbeiter geführt, MUSS er angeben welche Verarbeitungstätigkeiten er im Auftrag welcher Verantwortlicher durchführt.
Eine weitere Zusatzinformation, die nicht zwangsläufig im "Verzeichnis der Verarbeitungstätigkeiten" enthalten sein muss, es aber Sinn macht hier zu integrieren sind die Vereinbarungen mit Auftragsverarbeitern gemäß Art 28 DSGVO.
Keine Offenlegungspflicht
Das "Verzeichnis der Verarbeitungstätigkeiten" muss nicht offen gelegt werden. Offenzulegen ist die Information an Betroffene gemäß Art 13 und 14 DSGVO, die zwar vergleichbare Informationspflichten haben, aber nicht vollständig deckungsgleich sind.
Ein gut geführtes "Verzeichnis der Verarbeitungstätigkeiten" enthält zahllose interna eines Betriebes und die ARGE DATEN rät daher ausdrücklich davon ab, ein derartiges Verzeichnis offen zu legen.
Es macht jedoch Sinn im Rahmen einer Privacy Policy auf freiwilliger Basis eine öffentliche Fassung des Verzeichnisses zur Darstellung seiner Verarbeitungsprozesse offen zu legen.
Konsequenzen aus der Missachtung der Dokumentationspflicht
Ein Betroffener, dessen Daten nicht gemäß einem vollständigen "Verzeichnis der Verarbeitungstätigkeiten" geführt werden, wird daraus keine unmittelbare Schadenersatzforderungen ableiten können. Es gibt gegenüber den Betroffenen keine Offenlegungspflicht.
Sollte sich jedoch ein Betroffener in seinen subjektiven Rechten verletzt fühlen, etwa wegen unzulänglicher Auskunft, kann er die Datenschutzbehörde anrufen. Diese müsste unter anderem auch das "Verzeichnis der Verarbeitungstätigkeiten" prüfen. Stellt sie Mängel fest, wird das wohl auch in den Bescheid zur Auskunftserteilung einfließen.
Mit diesem Bescheid hat der Betroffene sehr gute Chancen zusätzlich gemäß Art 82 DSGVO Schadenersatz einzuklagen. Bei der Höhe der Schadensbemessung wird wohl auch einfließen wie viele Datenschutzbestimmungen verletzt wurden. So wird allein die Verletzung der Auskunftspflicht, bei sonst korrektem Verhalten des Verarbeiters weniger strafwürdig sein, als die Missachtung mehrerer Bestimmungen, wie etwa das Fehlen eines "Verzeichnisses der Verarbeitungstätigkeiten".
Zusätzlich kann die Datenschutzbehörde bei Fehlen des "Verzeichnisses der Verarbeitungstätigkeiten" gemäß Art 83 DSGVO eine Geldstrafe bis 10 Millionen Euro oder 2% des Jahresumsatzes verhängen.
mehr --> Welche Informationspflichten bestehen durch die Datenschutz-Gr...
mehr --> Das Recht auf Datenübertragung (Datenportabilität)
mehr --> Entwicklung der EU Datenschutz-Grundverordnung (DSGVO)
mehr --> Crashkurs: Datenschutz gemäß DSGVO und DSG
mehr --> Welche Meldepflichten hat ein Verantwortlicher bei Datenschutz...
mehr --> Auftragsverarbeitung gemäß DSGVO
mehr --> Auskunftsrecht gemäß Datenschutz-Grundverordnung (DSGVO)
mehr --> Datenschutzgrundverordnung (DSGVO)
mehr --> Datenschutzgesetz 2018 (Anpassungsgesetz zur DSGVO)
Archiv --> Musterbriefe zum Datenschutzgesetz
|
