Ab dem 25. Mai 2018 gilt die neue EU-DSGVO. Spätestens dann trifft viele Unternehmen die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten (VvV) zu führen. Bis dahin müssen nicht nur alte Verfahrensverzeichnisse nach altem BDSG erweitert und auf den neuesten Stand gebracht werden (siehe BDSG (neu)), sondern auch viele neue erstmals erstellt werden. Dieser Stellungnahme soll Ihnen zeigen, ob auch Ihr Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten (VvV) erstellen muss.
Wen trifft die Pflicht?
Die EU-DSGVO verknüpft die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten (VvV) zu führen, damit, ob Verarbeitungen von personenbezogenen Daten stattfinden - egal ob manuell oder automatisch. Wenn dem so ist, müssen diese in einem Verzeichnis dokumentiert werden. Artikel 4 Nr. 2 EU-DSGVO listet diese Verarbeitungs-Tätigkeiten umfassend auf:
„[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]“
Die EU-DSGVO kommt - Packen wir's an! |
Damit wird also eine große Anzahl an Unternehmen verpflichtet, ein solches Verzeichnis zu führen, sogar wenn keine automatische Verarbeitung erfolgt. Das gilt auch für...
... Einzelkaufleute, Handwerker, Vereine, etc. Darüber hinaus müssen künftig auch Auftrags(daten)verarbeiter ein Verzeichnis von Verarbeitungen (VvV) führen, wenn z.B. im Auftrag personenbezogene Daten des Auftraggebers durch den Auftrags(daten)verarbeiter (AV) verarbeitet werden.
Welche Personen im Unternehmen sind verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (VvV) zu führen?
Artikel 30 Abs. 1 EU-DSGVO sagt hierzu:
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. […]“
„Verantwortlicher“ ist gemäß Artikel 4 Abs. 7 EU-DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; [...]"
In Unternehmen trifft damit die gesetzliche Pflicht, das Verzeichnis von Verarbeitungstätigkeiten (VvV) aufzustellen und zu pflegen, erstmal den Geschäftsführer (z.B. bei der GmbH), den Vorstand einer AG, aber auch den Inhaber eines Einzelunternehmens. In der Praxis wird dieser Verantwortliche das Aufstellen und Führen des Verzeichnisses von Verarbeitungen an einen Datenschutzbeauftragten delegieren. Die Verantwortung verbleibt beim Verantwortlichen. Er tut also gut daran, einen erfahrenen (ggf. externen) Datenschutzbeauftragten mit dieser wichtigen Aufgabe zu betrauen und das Ergebnis regelmäßig mit diesem zu überprüfen.
Artikel 30 Abs. 4 EU-DSGVO bestimmt auch: „Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.“
Wer muss kein Verzeichnis von Verarbeitungstätigkeiten führen?
Das Gesetz nennt augenscheinlich eine Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Doch Vorsicht: Ein Verzeichnis von Verarbeitungstätigkeiten muss von den kleineren Unternehmen nur dann nicht aufgestellt werden, wenn einige zusätzliche Kriterien zutreffen. Diese finden sich in Artikel 30 Abs. 5 EU-DSGVO:
„[…] Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“
Datenschutz-Experten sehen hierbei als problematisch an, dass die wenigsten Unternehmen personenbezogene Daten „nur gelegentlich“ verarbeiten. Da es zur EU-DSGVO noch keine offiziellen Auslegungen in Form von Gerichtsentscheiden gibt, ist davon auszugehen, dass der Begriff vorerst eher weit gefasst werden sollte. Dafür spricht auch, dass § 70 des ebenfalls ab 25.05.2018 geltenden BDSG (neu) gar keine Einschränkung vorsieht:
„Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten: den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten, die Zwecke der Verarbeitung, die Kategorien von […]“
Was sind die Folgen, wenn kein Verzeichnis von Verarbeitungstätigkeiten (VvV) erstellt wird?
Im bisher geltenden BDSG (alt) gab es für die Vernachlässigung der gesetzlichen Pflicht, ein Verfahrensverzeichnis zu führen, keinen speziellen Bußgeldtatbestand. Vermutlich dadurch haben viele Unternehmen bisher großzügig auf die Erstellung eines Verfahrensverzeichnisses verzichtet.
Dies ändert sich nun mit Artikel 83 Abs. 4 EU-DSGVO. Es drohen nun „[…] Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist […]“
Wichtig zu wissen ist dabei vielleicht noch: Kontrollen der Aufsichtsbehörde werden künftig in der Regel nicht vor Ort stattfinden. Das ULD führte z.B. kürzlich aus, dass im Prüfungsfall ein Unternehmen direkt dazu aufgefordert werden wird, das Verzeichnis der Verarbeitungen bei der Aufsichtsbehörde einzureichen. Dies wäre vergleichbar mit dem Wirtschaftsprüfer, der zu Beginn seiner Prüfung erstmal die Verfahrensdokumentation gemäß GoBD vom Unternehmen einfordert.
Es ist also künftig sehr schnell möglich, durch das Vernachlässigen der Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VvV) ins Fadenkreuz der zuständigen Aufsichtsbehörde zu geraten und der Bedrohung eines empfindlichen „abschreckenden“ Bußgeldes gegenüberzustehen.
Dies ist umso ärgerlicher, wenn man bedenkt, wie schnell ein Verzeichnis von Verarbeitungstätigkeiten (VvV) erstellt werden kann und welche weiteren Vorteile ein solches Verzeichnis dem Unternehmen bringt.
Vorteile
Beispiele aus der Datenschutz-Praxis:
- Eine kleine GmbH mit 15 Mitarbeitern hat die Lohn- und Gehaltsabrechnung an das Lohnbüro bei ihrem Steuerberater ausgelagert. Diese Verarbeitung muss im Verzeichnis von Verarbeitungstätigkeiten (VvV) erfasst werden,
- da die GmbH personenbezogene Daten nicht nur gelegentlich verarbeitet,
- hierbei besondere personenbezogene Daten verarbeitet werden und
- es sich dabei eigentlich um eine Auftragsverarbeitung handelt.
- Ein Schreiner mit 4 Angestellten führt eine Kundenkartei, in der jeder Mitarbeiter bei jedem Auftrag Daten wie Name, Telefonnummer und Art der durchgeführten Arbeit notiert. Die Verarbeitung erfolgt manuell, dies ist aber unerheblich, da die Verarbeitung regelmäßig erfolgt. Auch hier muss ein Verzeichnis von Verarbeitungstätigkeiten (VvV) erstellt werden, gleichwohl dies vielleicht nur wenige Einträge hat.
Unser Fazit: Jedes Unternehmen sollte künftig ein Verzeichnis der Verarbeitungstätigkeiten führen
Betrachtet man die obigen Ausführungen, treffen die gesetzlichen Definitionen sehr viele Unternehmen. Es ist also davon auszugehen, dass die meisten Unternehmen in der EU/EWR gezwungen sind, ein Verzeichnis der Verarbeitungstätigkeiten aufzustellen und fortan zu führen. Die gesetzlichen Bußgelder sind abschreckend hoch, auch wenn es noch nicht absehbar ist, inwiefern die Aufsichtsbehörden von diesen Gebrauch machen werden. Das BDSG (neu) sieht überhaupt keine Begrenzung der Pflicht, ein entsprechendes Verzeichnis zu erstellen.
Unternehmen gehen also besser auf Nummer sicher. Wenn die Anfrage von der Aufsichtsbehörde kommt, könnte es schon zu spät sein.
Ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen und danach zu pflegen ist für Datenschutz-Ungeübte immer wieder ein nicht zu unterschätzender bürokratischer Aufwand. In der Praxis ist dies manchmal kaum zu schaffen und geht in der täglichen Arbeit oft unter. Nicht ohne Grund treffen wir uin unserer Beratungspraxis immer wieder auf interne Datenschutzbeauftragte, die in 5 Jahren Datenschutz gerade mal 3 bis 5 Verfahren erfasst haben. Angesichts der drohenden Nachteile und der in Aussicht stehenden Vorteile sollten Sie die Unterstützung eines externen Beraters erwägen.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele