Rz. 55
Bis 24.5.2018 ergab sich die Verpflichtung der Sozialleistungsträger zum Führen eines Verzeichnisses bzw. einer Übersicht über die Verfahren automatisierter Verfahren (Verfahrensverzeichnis) aus § 81 Abs. 4 SGB X mit seinem Verweis auf die §§ 4f und 4g BDSG. Seit 25.5.2018 verpflichtet Art. 30 DSGVO unmittelbar zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten; Art. 30 DSGVO enthält keine Öffnungsklausel, sodass im deutschen Datenschutzrecht keine ergänzenden oder einschränkenden Bestimmungen dazu existieren.
Jeder Verantwortliche oder – und das ist neu – jeder Auftragsverarbeiter sollte laut EG 82 DSGVO zum Nachweis der Einhaltung dieser Verordnung ein Verzeichnis der Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen.
2.7.4.1 Verzeichnis des Verantwortlichen
Rz. 56
Dieses Verzeichnis ist nach Art. 30 Abs. 1 DSGVO von jedem Verantwortlichen oder seinem Vertreter zu führen und hat folgende Angaben zu enthalten
- den Namen und die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.
Der Inhalt des Verzeichnisses entspricht im Wesentlichen der bis 24.5.2018 in § 4e Abs. 1 BDSG aufgezählten meldepflichtigen Angaben. Neu ist die Benennung des Datenschutzbeauftragten und die Klarstellung, dass auch Empfänger in Drittländern oder internationalen Organisationen von der Verzeichnispflicht umfasst werden.
2.7.4.2 Verzeichnis des Auftragsverarbeiters
Rz. 57
Nach Art. 30 Abs. 2 DSGVO ist auch von jedem Auftragsverarbeiter und gegebenenfalls seinem Vertreter ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung zu führen.
Dieses Verzeichnis sollte Folgendes enthalten:
- den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie ggf. des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
- die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
- ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.
2.7.4.3 Schriftform, Aufsichtsbehörde und Ausnahmeregelung
Rz. 58
Die Verzeichnisse durch den Verantwortlichen oder den Auftragsverarbeiter sind schriftlich zu führen; dies kann auch in elektronischer Form erfolgen (Art. 30 Abs. 3 DSGVO).
Auf Anfrage sind die Verzeichnisse der Aufsichtsbehörde zur Verfügung zu stellen (Art. 30 Abs. 4 DSGVO).
Rz. 59
Art. 30 Abs. 5 DSGVO enthält eine Ausnahme von der Pflicht zum Führen eines Verzeichnisses für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Allerdings gilt diese Ausnahme nicht, wenn die vorgenommene Verarbeitung
- ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
- die Verarbeitung nicht nur gelegentlich erfolgt oder
- eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten i. S. d. Art. 10 erfolgt.
Sofern eine dieser 3 Ausschlusskriterien vorliegt, besteht die Verpflichtung zum Führen eines Verzeichnisses.