Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Öffentliches Verfahrensverzeichnis nach BDSG und DS-GVO

Veröffentlicht am 4. Januar 2021 von Dr. DSGVO · Zuletzt aktualisiert am 22. Februar 2021
0

Kategorien: Datenschutz und Retrospektive

Dies ist ein älterer Beitrag, der nicht unbedingt die aktuelle Haltung des Autors darstellt. Insbesondere zu den Themen Datenschutz, Google und Social Media ist der Autor aufgrund mittlerweile gewonnener Erkenntnisse anderer Meinung als früher! Was Web Hosting angeht, empfehle ich Strato, 1&1 und andere große nicht mehr.

Das öffentliche Verfahrensverzeichnis soll den Datenschutz in Unternehmen transparent für die Öffentlichkeit machen. Die DS-GVO hingegen fordert ein Verzeichnis von Verarbeitungstätigkeiten, welches nicht öffentlich ist.

Das Verfahrensverzeichnis nach BDSG

Im Bundesdatenschutzgesetz (BDSG) taucht der Begriff des Verfahrensverzeichnisses direkt nicht auf. Es unterscheidet bei genauerem Hinsehen nach einem internen und einem externen Verzeichnis. Genauer handelt es sich um jeweils eine Übersicht. Dieser Beitrag betrachtet die öffentliche Übersicht, welche für jedermann einsehbar sein sollte. Es empfiehlt sich, diese Übersicht auf der Webseite der Firma bereitzustellen. Zwar ist dies nach BDSG nicht erforderlich. Jedoch muss das Verzeichnis auf Antrag jedermann zugänglich gemacht werden. Um das Versäumen von Antwortfristen zu vermeiden, etwa im Urlaubsfall oder bei Krankheit oder wegen Mails, die im SPAM-Ordner landen, ist eine Verlinkung des Verfahrensverzeichnisses auf der eigenen Website anzuraten. Abgesehen davon, spart man sich dann die Arbeit, Anfragen zu beantworten. Das BDSG kennt eine Pflicht zum Führen eines Verfahrenverzeichnisses. Wie die Praxis zeigt, wurden Prüfungen allerdings nicht in großem Stil durchgeführt bzw. wurden nennenswerte Bußgelder nicht verhängt.

Inhalt

Die Angaben in der öffentlichen Übersicht sind verglichen mit der internen relativ knapp. Sie enthalten:

  • Name oder Firmierung sowie Anschrift der verantwortlichen Stelle
  • Gesetzliche Vertreter, Leiter und mit dem Datenschutz beauftragte
  • Zweck der Datenerhebung
  • Betroffene Personengruppen
  • Erhobene Daten oder Datenkategorien
  • Empfänger oder Kategorien von Empfängern der Daten
  • Angaben zu Fristen, wann Daten gelöscht werden
  • Angaben zur Datenübermittlung an Drittstaaten

Die weiter unten verlinkten Musterdokumente enthalten entsprechende Abschnitt für diese Angaben.

Musterformulare

Ein Musterformular für das öffentliche Verfahrensverzeichnis ist beim Hessischen Datenschutzbeauftragten im Microsoft Word-Format erhältlich (gewesen). Das dort genannte HDSG ist das Hessische Datenschutzgesetz. Analog gelten ähnliche Gesetze für andere Bundesländer. Die Gesellschaft für Datenschutz und Datensicherheit e.V. bietet ein etwas leichter verständliches Musterformular zum Download an.

Das Verzeichnis von Verarbeitungstätigkeiten nach DS-GVO

Die Datenschutzgrundverordnung (DS-GVO) löst das BDSG ab und ersetzt bestehende Regelungen durch neue und gilt auf europäischer Ebene. So wird aus dem Verfahrensverzeichnis das Verzeichnis von Verarbeitungstätigkeiten. Im Gegensatz zum BDSG führt die DS-GVO existenzbedrohende Strafen für alle ein, die ihrer Pflicht nicht nachkommen, ein solches Verzeichnis zu führen und bereitzustellen. Die bisherigen Aufsichtsbehörden werden im Rahmen der DS-GVO gleichzeitig zu Bußgeldstellen, was die Gefahr von Bußgeldern weiter erhöht. Zudem führt die Datenschutzrichtlinie der EU eine Beweisumkehr ein: Man muss nachweisen, alles richtig gemacht zu haben. Auch dies erhöht das rechtliche Risiko erheblich gegenüber dem bisherigen Datenschutzrecht. Im Gegensatz zum BDSG unterscheidet die DS-GVO kein internes und öffentliches Verzeichnis. Es muss nur noch auf Anfrage gegenüber Aufsichtsbehörden offengelegt werden. Der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten ist allerdings sehr umfangreich, muss sorgfältig zusammengestellt, transparent und vollständig sein.

Für Firmen fast immer vorgeschrieben

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht unbedingt vorgeschrieben. Für Firmen mit weniger als 250 Mitarbeitern regelt § 30 Abs. 5 DSGVO Erleichterungen. Wer nur gelegentlich personenbezogene Daten verarbeitet und zwei weitere Bedingungen erfüllt, kann diese Erleichterungen in Anspruch nehmen. Webseiten erheben allerdings von jedem Besucher personenbezogene Daten, denn IP-Adressen gelten als solche. Daher muss jeder Betrieb mit Webseite (das dürfte heutzutage auf nahezu alle Betriebe in Deutschland zutreffen) ein Verzeichnis nach DS-GVO führen.

Auftragsdatenverarbeiter in der Pflicht

Neben den verantwortlichen Stellen müssen auch die, welche nur im Auftrag dieser Stellen Daten verarbeiten, solche Verarbeitungsverzeichnisse führen (Artikel 30 Abs. 2 DSGVO). Auftragsverarbeiter sind insbesondere Web Hosting Anbieter, Steuerberater oder Finanzverwalter.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/oeffentliches-verfahrensverzeichnis-datenschutz
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

    Schreiben Sie einen Kommentar

    Ihre Mail-Adresse wird nicht veröffentlicht.

    Nächster Beitrag

    Datenschutz-Tagebuch