rehm-verlag
  Online-Produkte öffnen

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 der Datenschutz-Grundverordnung (DSGVO)

Keine Kommentare
18 Bewertungen

6. Ausgabe Januar 2017

Countdown 16 Monate.jpg

Die Datenschutz-Grundverordnung verpflichtet Unternehmen und Behörden ab dem 25. Mai 2018 zur Führung eines „Verzeichnisses von Verarbeitungstätigkeiten“ (Art. 30 Abs. 1 DSGVO). Dieses Verzeichnis dient dem Verantwortlichen und dem Datenschutzbeauftragten als Arbeitsgrundlage. Ein vergleichbares Verzeichnis muss nach Art. 30 Abs. 2 DSGVO der Auftragsverarbeiter führen. Im Folgenden soll dieses Verzeichnis näher dargestellt werden und insbesondere auch auf die Unterschiede zu dem bisher nach Art. 27 BayDSG von bayerischen Behörden zu führenden Verfahrensverzeichnis eingegangen werden.

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO

Das Verzeichnis von Verarbeitungstätigkeiten ist nach Art. 30 Abs. 1 Satz 1 DSGVO vom „Verantwortlichen“ zu führen, also von der Behörde oder öffentliche Stelle, die über die Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).

Das Verzeichnis von Verarbeitungstätigkeiten ist daher nicht mehr - wie das Verfahrensverzeichnis nach Art. 26 Abs. 1 BayDSG – rechtlich zwingend vom behördlichen Datenschutzbeauftragten zu führen. Die Erstellung und Betreuung dieses Verzeichnisses kann allerdings von dem Behördenleiter (anders als die formale Verantwortung für dessen Führung und Bereitstellung für die Aufsichtsbehörde nach Art. 30 Abs. 4 DSGVO) dem behördlichen Datenschutzbeauftragten nach Art. 38 Abs. 6 DSGVO durch behördeninterne Regelung als besondere Aufgabe übertragen werden, da entgegenstehende Interessenskonflikte nicht erkennbar sind. Das gleiche gilt auch für das vom Auftragsverarbeiter zu führende Verzeichnis – wobei allerdings zu berücksichtigen ist, dass dessen Erstellung mit einem erheblichen Arbeitsaufwand verbunden sein kann.

Das Verzeichnis des Verantwortlichen enthält nach Art. 30 Abs. 1 Satz 2 DSGVO folgende Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen

    Es handelt sich hierbei um Angaben über die Behörde oder öffentliche Stelle, nicht um personenbezogene Daten. Die „Kontaktdaten des Verantwortlichen“ umfassen die Bezeichnung der Behörde oder öffentlichen Stelle sowie ihre Postanschrift, E-Mail-Adresse und Telefonnummer.

  • Sind mehrere Stellen für eine Verarbeitung verantwortlich, sind die Namen und Kontaktdaten aller beteiligten Stellen hier zu nennen (zu den gemeinsam für eine Verarbeitung Verantwortlichen vgl. auch Art. 26 DSGVO);

  • den Namen und die Kontaktdaten des Datenschutzbeauftragten

    Dazu gehören dessen Familiennamen, dienstliche Postanschrift, E-Mail-Adresse (auch als Funktionspostfach) und Telefonnummer;

  • die Zwecke der Verarbeitung

    In Art. 30 Abs. 1 Satz 2 Buchst. b DSGVO wird die Rechtsgrundlage der Verarbeitung nicht erwähnt, anders als in dem bisherigen Art. 26 Abs. 2 Nr. 2 BayDSG. Allerdings ist der Zweck der Verarbeitung in der Regel durch die Erfüllung der der Behörde zugewiesenen Aufgabe gekennzeichnet. Diese Aufgabe ergibt sich aus dem materiellen Fachrecht (z.B. Vollzug des Meldegesetzes, Vollzug des Fahrerlaubnisrechtes). Aus Transparenzgründen ist es deshalb angebracht, die Rechtsgrundlagen der Datenverarbeitung, seien sie allgemeiner (vgl. Art. 6 Abs. 1, Abs. 3 Satz 1 DSGVO) oder bereichsspezifischer (vgl. Art. 6 Abs. 2 DSGVO) Natur, wie bisher anzugeben.

  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

    In Art. 26 Abs. 2 BayDSG bislang als Kreis der Betroffenen und „Art der gespeicherten Daten“ bezeichnet. Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.B. „Name und Vornamen“, „Anschrift“, „Staatsangehörigkeit“. Angaben rein technischer Art (z.B. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich;

  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen

    Diese Angabe entspricht weitgehend der in Art. 26 Abs. 5 BayDSG genannten „Art der regelmäßig zu übermittelnden Daten und deren Empfänger“;

  • gegebenenfalls Angaben zu Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

    Im Falle einer Übermittlung an ein Drittland oder eine internationale Organisation nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO sind die geeigneten Garantien, in Bezug auf den Schutz personenbezogener Daten festzuhalten - soweit erforderlich ist dazu auf ergänzende Dokumente zu verweisen;

  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

    Auch die bisher nach Art. 26 Abs. 3 Satz 1 BayDSG dem behördlichen Datenschutzbeauftragten für das Freigabeverfahren zur Verfügung zu stellende allgemeine Beschreibung der technischen und organisatorischen Maßnahmen kann damit in das Verzeichnis von Verarbeitungstätigkeiten integriert werden.

Ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen finden Sie hier. Dieses Muster stammt aus der Anfang Januar 2017 erscheinenden 26. Aktualisierung des Kommentars „Wilde/Ehmann/Niese/Knoblauch, DATENSCHUTZ IN BAYERN“ (bisher „Kommentar zum Bayer. Datenschutzgesetz“).

Dem Vernehmen nach planen sowohl die Datenschutzaufsichtsbehörden im nichtöffentlichen Bereich als auch der Bayerische Landesbeauftragte für den Datenschutz, Empfehlungen zum Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Art. 30 DSGVO enthält allerdings keine Regelung, die zur Benutzung einer bestimmten Vorlage verpflichtet.

Das Verzeichnis des Auftragsverarbeiters nach Art. 30 Abs. 2 DSGVO

Eine neue Verpflichtung für die Auftragsverarbeiter enthält Art. 30 Abs. 2 DSGVO. Diese haben künftig ein „Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“ zu führen mit folgenden Angaben:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist

    Jeder Auftragsverarbeiter muss hier neben seinem eigenen Namen (z. B. AKDB) und seinen Kontaktdaten (s.o.) auch die Namen und Kontaktdaten aller Behörden, öffentlichen Stellen und ggf. privater Unternehmen aufführen, in deren Auftrag personenbezogene Daten verarbeitet werden;

  • den Namen und die Kontaktdaten des Datenschutzbeauftragten (s.o.);

  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden

  • gegebenenfalls Angaben zu Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Die Führung der Verzeichnisse

  • Beide Verzeichnisse können – wie bisher das Verfahrensverzeichnis - schriftlich oder elektronisch geführt werden (Art. 30 Abs. 3 DSGVO).

  • Die Verzeichnisse sind der Aufsichtsbehörde, bei bayerischen Behörden und öffentlichen Stellen also dem Landesbeauftragten für den Datenschutz, auf Anfrage zur Verfügung zu stellen.

  • Eine Veröffentlichung der Verzeichnisse ist von der DSGVO nicht mehr vorgesehen. Im Hinblick auf die dort enthaltene Beschreibung der technischen und organisatorischen Maßnahmen kann eine solche Veröffentlichung auch Geheimhaltungsinteressen berühren.

  • Ein Recht auf Einsichtnahme in das Verzeichnis der Verarbeitungstätigkeiten enthält die DSGVO ebenfalls nicht mehr. Auskunftsersuchen des Betroffenen, ob und ggf. welche Daten zu seiner Person von der Behörde oder öffentlichen Stelle verarbeitet werden, sind vielmehr nach Art. 15 DSGVO zu bearbeiten. Wie andere Behördeninformationen unterliegt das Verzeichnis auch den allgemeinen Informationszugangsrechten, so dass Auskunftsbegehren über den Inhalt der Verzeichnisse insbesondere nach Art. 36 BayDSG und ggf. den dort festgelegten Anspruchsbegrenzungen und Ausschlusstatbeständen zu beurteilen sind.

Keine Ausnahme von der Pflicht zur Führung nach Art. 30 Abs. 5 DSGVO für Behörden und öffentliche Stellen

Nach Art. 30 Abs. 5 DSGVO besteht die Pflicht, ein Verzeichnis nach Art. 30 Abs. 1 oder 2 DSGVO zu führen, nicht für „Unternehmen oder Einrichtungen“, die weniger als 250 Mitarbeiter beschäftigen und deren Verarbeitungen bestimmte Voraussetzungen erfüllen. Diese ursprünglich etwas kryptische Vorschrift wurde inzwischen berichtigt (Amtsblatt der EU L 314/72 vom 22. 11. 2016, siehe: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L:2016:314:TOC). Die Ausnahme hat aber für Behörden und öffentliche Stellen keine praktische Bedeutung, denn sie gilt lediglich für Verarbeitungen, die alle folgenden Voraussetzungen erfüllen:

  • sie erfolgen nur gelegentlich,

  • sie bergen kein Risiko für die Rechte und Freiheiten der betroffenen Personen und

  • es werden damit keine besonderen Datenkategorien im Sinn des Art. 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen oder Straftaten im Sinn des Art. 10 DSGVO verarbeitet.

Weiterverwendung vorhandener Verzeichnisse

Ab dem 25. Mai 2018 sind die Verzeichnisse nach Art. 30 DSGVO zu führen. Da das Verzeichnis nach Art. 30 Abs. 1 DSGVO zusätzlich zu den Daten, die bisher im Verfahrensverzeichnis enthalten waren, den Namen und die Kontaktdaten des Datenschutzbeauftragten und eine allgemeine Beschreibung die technischen und organisatorischen Maßnahmen enthält, kann das bisher geführte Verfahrensverzeichnis um diese Angaben ergänzt werden. Dies kann dadurch geschehen, indem die bereits bisher im Antrag auf Freigabe dem behördlichen Datenschutzbeauftragten zur Verfügung zu stellende Beschreibung der technischen und organisatorischen Maßnahmen zu dem Verzeichnis genommen und der Name und die Kontaktdaten des behördlichen Datenschutzbeauftragten ergänzt wird. Das Verzeichnis nach Art. 30 Abs. 2 DSGVO beim Auftragsverarbeiter ist dagegen neu anzulegen.

Anton Knoblauch
Mitautor Datenschutz in Bayern, Kommentar und Handbuch

Formularverzeichnis.jpg     Ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen nach Art. 30 Abs. 1 – DSGVO stellen wir Ihnen hier zum Download bereit.
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
0 Kommentare zu diesem Beitrag
Wilde / Ehmann / Niese / Knoblauch / Will / Schwabenbauer / Engelbrecht
Datenschutz in Bayern

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Fortsetzungspreis‎ 242,00 €
Loseblattwerk zzgl. Aktualisierungslieferungen
Info & Bestellung
Wilde / Ehmann / Niese / Knoblauch
Datenschutz in Bayern online

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 69,00 €
Online-Produkt
Info & Bestellung
banner-datenschutz.png
rehm_e-line_banner_355x355_L1_Var1.jpg
SX_LOGIN_LAYER

SX_CONTINUE_ORDER_AS_GUEST

Passwort vergessen?

SX_OPENACCOUNT