Springe zum Inhalt

Öffentliches Verfahrensverzeichnis nach BDSG und DS-GVO

Das öffentliche Verfahrensverzeichnis soll den Datenschutz in Unternehmen transparent für die Öffentlichkeit machen. Die DS-GVO hingegen fordert ein Verzeichnis von Verarbeitungstätigkeiten, welches nicht öffentlich ist. data processing Bild

Das Verfahrensverzeichnis nach BDSG

Im Bundesdatenschutzgesetz (BDSG) taucht der Begriff des Verfahrensverzeichnisses direkt nicht auf. Es unterscheidet bei genauerem Hinsehen nach einem internen und einem externen Verzeichnis. Genauer handelt es sich um jeweils eine Übersicht, wie § 4g Abs. 2 und § 4e BDSG klarstellt. Dieser Beitrag betrachtet die öffentliche Übersicht, welche für jedermann einsehbar sein sollte. Es empfiehlt sich, diese Übersicht auf der Webseite der Firma bereitzustellen. Zwar ist dies nach BDSG nicht erforderlich. Jedoch muss das Verzeichnis auf Antrag jedermann zugänglich gemacht werden. Um das Versäumen von Antwortfristen zu vermeiden, etwa im Urlaubsfall oder bei Krankheit oder wegen Mails, die im SPAM-Ordner landen, ist eine Verlinkung des Verfahrensverzeichnisses auf der eigenen Website anzuraten. Abgesehen davon, spart man sich dann die Arbeit, Anfragen zu beantworten. Das BDSG kennt eine Pflicht zum Führen eines Verfahrenverzeichnisses. Wie die Praxis zeigt, wurden Prüfungen allerdings nicht in großem Stil durchgeführt bzw. wurden nennenswerte Bußgelder nicht verhängt.

Inhalt

Die Angaben in der öffentlichen Übersicht sind verglichen mit der internen relativ knapp. Sie enthalten:
  • Name oder Firmierung sowie Anschrift der verantwortlichen Stelle
  • Gesetzliche Vertreter, Leiter und mit dem Datenschutz beauftragte
  • Zweck der Datenerhebung
  • Betroffene Personengruppen
  • Erhobene Daten oder Datenkategorien
  • Empfänger oder Kategorien von Empfängern der Daten
  • Angaben zu Fristen, wann Daten gelöscht werden
  • Angaben zur Datenübermittlung an Drittstaaten
Die weiter unten verlinkten Musterdokumente enthalten entsprechende Abschnitt für diese Angaben.

Musterformulare

Ein Musterformular für das öffentliche Verfahrensverzeichnis ist beim Hessischen Datenschutzbeauftragten im Microsoft Word-Format erhältlich (gewesen). Das dort genannte HDSG ist das Hessische Datenschutzgesetz. Analog gelten ähnliche Gesetze für andere Bundesländer. Die Gesellschaft für Datenschutz und Datensicherheit e.V. bietet ein etwas leichter verständliches Musterformular zum Download an.

Das Verzeichnis von Verarbeitungstätigkeiten nach DS-GVO

Die Datenschutzgrundverordnung (DS-GVO) löst das BDSG ab und ersetzt bestehende Regelungen durch neue und gilt auf europäischer Ebene. So wird aus dem Verfahrensverzeichnis das Verzeichnis von Verarbeitungstätigkeiten. Im Gegensatz zum BDSG führt die DS-GVO existenzbedrohende Strafen für alle ein, die ihrer Pflicht nicht nachkommen, ein solches Verzeichnis zu führen und bereitzustellen. Die bisherigen Aufsichtsbehörden werden im Rahmen der DS-GVO gleichzeitig zu Bußgeldstellen, was die Gefahr von Bußgeldern weiter erhöht. Zudem führt die Datenschutzrichtlinie der EU eine Beweisumkehr ein: Man muss nachweisen, alles richtig gemacht zu haben. Auch dies erhöht das rechtliche Risiko erheblich gegenüber dem bisherigen Datenschutzrecht. Im Gegensatz zum BDSG unterscheidet die DS-GVO kein internes und öffentliches Verzeichnis. Es muss nur noch auf Anfrage gegenüber Aufsichtsbehörden offengelegt werden. Der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten ist allerdings sehr umfangreich, muss sorgfältig zusammengestellt, transparent und vollständig sein.

Für Firmen fast immer vorgeschrieben

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht unbedingt vorgeschrieben. Für Firmen mit weniger als 250 Mitarbeitern regelt § 30 Abs. 5 DSGVO Erleichterungen. Wer nur gelegentlich personenbezogene Daten verarbeitet und zwei weitere Bedingungen erfüllt, kann diese Erleichterungen in Anspruch nehmen. Webseiten erheben allerdings von jedem Besucher personenbezogene Daten, denn IP-Adressen gelten als solche. Daher muss jeder Betrieb mit Webseite (das dürfte heutzutage auf nahezu alle Betriebe in Deutschland zutreffen) ein Verzeichnis nach DS-GVO führen.

Auftragsdatenverarbeiter in der Pflicht

Neben den verantwortlichen Stellen müssen auch die, welche nur im Auftrag dieser Stellen Daten verarbeiten, solche Verarbeitungsverzeichnisse führen (§ 30 Abs. 2 DSGVO). Auftragsverarbeiter sind insbesondere Web Hosting Anbieter, Steuerberater oder Finanzverwalter.