Was kommt bei der Dokumentationspflicht auf Unternehmen zu?

Bislang gab es auch im BDSG schon die (öffentlichen) Verfahrensverzeichnisse, für die der Datenschutzbeauftragte zuständig war. Die DSGVO verlangt jetzt neu ein (nicht mehr öffentliches) „Verzeichnis von Verarbeitungstätigkeiten“, für das der Verantwortliche, also die Unternehmensführung, zuständig ist. Eine Einschränkung besteht für Unternehmen mit weniger als 250 Mitarbeitern, die in bestimmten Fällen kein Verzeichnis führen müssen:

• Die vorgenommene Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen
• Die Datenverarbeitung erfolgt nur gelegentlich
• Es werden keine sensiblen Daten verarbeitet, also beispielsweise Daten aus dem Gesundheitswesen

Trifft keiner dieser Fälle zu, wird auch von Unternehmen mit weniger als 250 Mitarbeitern ein entsprechendes Verfahrensverzeichnis verlangt. Welche Punkte muss ein korrektes Verfahrensverzeichnis enthalten?

• Zweck der Datenverarbeitung
• Fristen für die Löschung der Daten
• Beschreibung der Kategorien der betroffenen Personen und der personenbezogenen Daten
• Angabe der Kategorien der Empfänger, gegenüber denen die Daten offengelegt werden oder wurden – auch im Ausland
• Beschreibung der technischen und organisatorischen Maßnahmen, die die Datensicherheit gewährleisten sollen

Es ist weiterhin zulässig, die Erstellung der Verfahrensverzeichnisse an den betrieblichen Datenschutzbeauftragten auszulagern – die Haftung für die korrekte Erstellung liegt aber weiterhin bei den Verantwortlichen, in der Regel also der Unternehmensführung.