Benötige ich aufgrund von Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (so die DSGVO, nicht ganz so sperrig: Verarbeitungsverzeichnis)?

Diese Frage bekommen wir in den letzten Tagen und Wochen häufig gestellt. In der Regel ist die Pflicht, ein Verarbeitungsverzeichnis zu erstellen und zu führen auch gegeben. Jedes Unternehmen (unabhängig ob einzelner Handwerker oder Großbetrieb), ist hierzu verpflichtet, sofern personenbezogene Daten verarbeitet werden und keine gesetzlichen Ausnahmen vorliegen (dazu gleich mehr).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies kann zum Beispiel ein Name, eine Telefonnummer, eine E-Mail Adresse oder auch eine IP Adresse sein. Die Definition in Art. 4 DSGVO ist sehr weitgehend und es erscheint ratsam, im Zweifelsfall prüfen zu lassen, ob der Personenbezug vorliegt oder nicht.

Unter dem Begriff der „Verarbeitung“ versteht das Gesetz jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

Eine Verarbeitung liegt damit nicht nur vor, wenn die Verarbeitung mit einem Computersystem erfolgt. Auch eine Verarbeitung mit Karteikarten kann eine Verabeitung im Sinne der DSGVO darstellen.

Im Gegensatz zur alten Rechtslage unter dem BDSG müssen nach der DSGVO auch Auftragsverarbeiter ein Verarbeitungsverzeichnis führen!

Wenn Sie in Ihrem Unternehmen also personenbezogene Daten verarbeiten, sind Sie in aller Regel auch verpflichtet, ein Verarbeitungsverzeichnis zu führen und dieses auf Anforderung der Aufsichtsbehörde vorzulegen. Sollten Sie dann kein Verarbeitsverzeichnis vorweisen können, kann dies empflindliche Strafen nach sich ziehen.

Abschließend noch ein paar Worte zu den Ausnahmen: Nach der DSGVO entfällt die Pflicht zur Führung eines Verarbeitungsverzeichnisses für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.

Auch diese Ausnahmeregelungen führen in vielen Fällen dazu, dass ein Verarbeitungsverzeichnis erstellt und geführt werden muss. Dies gilt z.B. unabhängig von der Mitarbeiterzahl für Arztpraxen oder Apotheken, da diese Gesundheitsdaten verarbeiten (besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO).

Ob Sie zusätzlich einen Datenschutzbeauftragten benötigen, können wir in einem persönlichen Gespräch mit Ihnen ermitteln.