Dipl.-Volksw. Fritz Schmidt
Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und nichtautomatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlichkeit zu wahren, empfiehlt es sich, für jedes Verfahren eine eigene Übersicht anzufertigen.
Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dies gilt aber nicht,
- wenn Verarbeitungen personenbezogener Daten erfolgen, die besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO betreffen (dazu gehören z. B. Daten zur Religion) oder
- die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt oder
- die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
Die Ausnahmen von der Verpflichtung laufen wohl regelmäßig ins Leere. Die Verarbeitung von personenbezogenen Daten erfolgt bei nahezu allen Unternehmen nicht nur gelegentlich. Dazu kommt, dass in Deutschland alle Unternehmen, die Arbeitnehmer beschäftigen, wegen des Kirchensteuerabzugs Religionsdaten zu verarbeiten haben. Genossenschaften haben bei Dividendenausschüttungen ebenfalls Religionsdaten zu verarbeiten.
Nach Art. 30 Abs. 3 DSGVO ist das Verzeichnis schriftlich zu führen, was aber auch in einem elektronischen Format möglich ist. Weitere Vorgaben zur Form des Verzeichnisses machen DSGVO und BDSG nicht. Es empfiehlt sich – soweit möglich –, das Verzeichnis eher allgemein zu halten. Beispielsweise sollte bei der Datenerhebung beim Bundeszentralamt für Steuern zum Zwecke des Kirchensteuerabzugs bei Dividendenausschüttungen besser allgemein auf die Steuergesetze als auf § 51a EStG verwiesen werden, weil sich die Paragraphen durch eine Änderung der Steuergesetzgebung schnell ändern können.
Der Inhalt des Verzeichnisses ergibt sich aus § 30 DSGVO. Danach sind für jeden Verarbeitungsprozess anzugeben:
- die Namen und Kontaktdaten der Geschäftsführung und des Datenschutzbeauftragten (sofern eine Bestellung erfolgt ist,
- die Zwecke der Verarbeitung,
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
- Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen,
Nicht nach Art. 30 DSGVO zwingend erforderliche Daten, die aber sinnvollerweise trotzdem in das Verzeichnis aufgenommen werden sollten:
|
8. eingesetzte IT-Systeme, |
|
9. ggf. Angaben zur Datenschutzfolgenabschätzung. |
Das hier angebotene Muster stellt ein Verfahrensverzeichnis für den Beschäftigtendatenschutz zur Verfügung. Ein Allgemeines Verfahrensverzeichnis finden Sie unter dem Titel Allgemeines Verfahrensverzeichnis für Wohnungsunternehmen.