Verzeichnis von Verarbeitungstätigkeiten
Die ab 25. Mai 2018 zur Anwendung kommende Datenschutz-Grundverordnung (DSGVO) bringt erhöhte Dokumentations- und Rechenschaftspflichten für Unternehmen bei der Verarbeitung personenbezogener Daten mit sich. Einen Schwerpunkt der Dokumentation wird dabei das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO bilden. Die Verpflichtung zur Erstellung und Führung des Verzeichnisses trifft in der Praxis fast alle Verantwortlichen und Auftragsverarbeiter.
Inhalt des Verarbeitungsverzeichnisses
Der Inhalt des Verzeichnisses ist im wesentlichen im §30 der DSGVO geregelt und umfasst:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Sinnvollerweise sollte das Verzeichnis noch mit Informationen zur Rechtmäßigkeit der Verarbeitung ergänzt werden.
Verzeichnis von Verarbeitungstätigkeiten ersetzt DVR-Meldung
Die Pflicht zur Führung eines Verzeichnisses ersetzt in Österreich die Verpflichtung zur Meldung einer Datenanwendung beim Datenverarbeitungsregister (DVR). Die bestehende Offenlegungspflicht ist Teil des DSG 2000 und gilt, bis auf gesetzlich festgelegte Ausnahmen, den sogen Standard- und Musteranwendungen, für alle Auftraggeber bei der Verwendung von personenbezogenen Daten. Bei Durchsicht aktueller Eintragung von Datenanwendungen im Register, kann man jedoch unschwer feststellen, dass diese Pflicht von den Auftraggebern bis dato nicht allzu intensiv wahrgenommen worden ist. Ein Verstoß gegen die Offenlegungspflicht ist aktuell mit einer Verwaltungsstrafe bis 10.000,- Euro bedroht. Mit Einführung der Datenschutz-Grundverordnung entfällt die beschriebene Registrierpflicht von Datenanwendungen.
Stattdessen müssen Verantwortliche (die DSGVO ersetzt den Begriff Auftraggeber durch Verantwortliche) und Auftragsverarbeiter zukünftig zum Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben ein Verzeichnis der Verarbeitungstätigkeiten führen, welches jederzeit und vollständig für die Aufsichtsbehörden vorgehalten werden muss. Bei Regelverstoß droht dann ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes, so dass sich hier für Unternehmen ein dringender Handlungsbedarf ergibt.
Die Verantwortung für das Führen des Verarbeitungsverzeichnisses liegt beim Verantwortlichen bzw Auftragsverarbeiter, dh bei Unternehmen idR bei der Geschäftsführung. In der Praxis wird das Erstellen und das Führen des Verzeichnisses der Verarbeitungstätigkeiten meist dem Datenschutzbeauftragten oder Projektverantwortlichen für Datenschutz übertragen.
Tipps zur Erstellung des Verzeichnisses
Unternehmen, die bereits jetzt ihrer Meldepflicht bei Datenverarbeitungsregister nachgekommen sind, wird die Erstellung des Verzeichnisses naturgemäß leichter fallen. Die österreichische Datenschutzbehörde ermöglicht für registrierte Datenanwendungen den Export der gemeldeten Daten in elektronischer Form. Die exportierten Daten dienen als Grundlage für das neu zu erstellende Verzeichnis von Verarbeitungstätigkeiten. Es sollte in diesen Fällen jedoch unbedingt geprüft werden, inwieweit die bisherigen Registereinträge die inhaltlichen Anforderungen des Art. 30 DSGVO erfüllen und ggf. entsprechend ergänzt werden müssen. Vor allem bei den Löschfristen und bei der Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen zeichnet sich hier ein Nachbesserungsbedarf ab.
Im Falle von nicht vorhandenen Registrierungen, zB für Standardanwendungen wie die „Personalverwaltung für privatrechtliche Dienstverhältnisse“, muss zunächst festgestellt werden, welche Arten von personenbezogenen Daten von Betroffenen, z.B. Beschäftigten, vom Unternehmen erhoben und verarbeitet werden. Ausgangspunkt ist idR eine Inventarisierung der vom Unternehmen eingesetzten internen bzw externen IT-Systeme, Prozesse und Anwendungen, in denen personenbezogene Daten für verschiedene Zwecke verarbeitet werden. Die Ergebnisse der IST-Analyse dienen als Basis für die weitere Dokumentation des Verzeichnisses von Verarbeitungstätigkeiten. Dieses wird in der Praxis zwecks Übersichtlichkeit meist aus mehreren Verzeichnissen für verschiedene Verarbeitungsvorgänge (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) bestehen und in elektronischer Form erfolgen.
In der Praxis stellt vor allem die Zuordnung einzelner Datenarten zu Datenkategorien eine Herausforderung dar. Beim Rückgriff auf Datenfelder oder -arten leidet rasch die Übersichtlichkeit des Verzeichnisses und der Aufwand zur Bestimmung der vorgesehenen Löschfristen steigt beachtlich.
Umsetzung erfordert Zeit und Personal
Vor allem Unternehmen ohne Meldungen im DVR bzw interne Datendokumentation sollten den zeitlichen und personellen Aufwand für die Erstellung der Verzeichnisse nicht unterschätzen. Eine vollständige und DSGVO-konforme Erfassung und Dokumentation der Verarbeitungstätigkeiten im Unternehmen ist von einer Vielzahl von Faktoren abhängig und sollte unbedingt rechtzeitig, effizient und effektiv erfolgen. Das Büro für Datenschutz & Datensicherheit unterstützt Sie gerne mit Dienstleistungen bei der Erstellung und Führung des Verzeichnisses der Verarbeitungstätigkeiten.