Bislang gab es auch im BDSG schon die (öffentlichen) Verfahrensverzeichnisse, für die der Datenschutzbeauftragte zuständig war. Die DSGVO verlangt jetzt neu ein (nicht mehr öffentliches) „Verzeichnis von Verarbeitungstätigkeiten“, für das der Verantwortliche, also die Unternehmensführung, zuständig ist.
Eine Einschränkung besteht für Unternehmen mit weniger als 250 Mitarbeitern, die in bestimmten Fällen kein Verzeichnis führen müssen:
- Die vorgenommene Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen
- Die Datenverarbeitung erfolgt nur gelegentlich
- Es werden keine sensiblen Daten verarbeitet, also beispielsweise Daten aus dem Gesundheitswesen
Trifft keiner dieser Fälle zu, wird auch von Unternehmen mit weniger als 250 Mitarbeitern ein entsprechendes Verfahrensverzeichnis verlangt.
Welche Punkte muss ein korrektes Verfahrensverzeichnis enthalten?
- Zweck der Datenverarbeitung
- Fristen für die Löschung der Daten
- Beschreibung der Kategorien der betroffenen Personen und der personenbezogenen Daten
- Angabe der Kategorien der Empfänger, gegenüber denen die Daten offengelegt werden oder wurden – auch im Ausland
- Beschreibung der technischen und organisatorischen Maßnahmen, die die Datensicherheit gewährleisten sollen
Es ist weiterhin zulässig, die Erstellung der Verfahrensverzeichnisse an den betrieblichen Datenschutzbeauftragten auszulagern – die Haftung für die korrekte Erstellung liegt aber weiterhin bei den Verantwortlichen, in der Regel also der Unternehmensführung.
Nächste Artikel-Empfehlung
NIS 2 Richtlinie: Wie bereiten Unternehmen sich am besten vor?
e-Book: Die DSGVO kommt!
Was sich ändert und was Unternehmen jetzt beachten müssen, erfahren Sie in unserem e-Book
Bleiben Sie informiert.
...mit unserem Newsletter 1x im Monat
- Neue Trends aus der Arbeitswelt
- Aktuelle Urteile verständlich erklärt
- Tipps zu Steuern & Finanzen
- Experten-Interviews, Studien u.v.m
