Haftungsrisiko und Chance zugleich: Das DSGVO-Verarbeitungsverzeichnis

Die Uhr tickt: Am 25.05.2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Und damit wird sich vieles ändern. Wer nicht jetzt beginnt, sich auf die Änderungen einzustellen, der wird ein böses Erwachen haben. Wesentlich höhere Bußgelder – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – werden aufgerufen, deren Rahmen auch – so die Ankündigung von Datenschutzbehörden – ausgeschöpft werden soll.

Das wichtigste und erste, was es zu tun gilt? Die Erstellung des Verarbeitungsverzeichnisses. Das Verarbeitungsverzeichnis ist nämlich der Grundstein nicht nur der DSGVO-Compliance im Unternehmen, sondern die Auseinandersetzung mit der Erstellung des Verzeichnisses dient auch als Basis und Ausgangspunkt für die notwendige Evaluierung der Datenverarbeitungsvorgänge im Unternehmen und die Prüfung der Notwendigkeit zur Umsetzung und Erfüllung der weiteren Anforderungen der DSGVO (beispielsweise der Datenschutzfolgenabschätzung oder der Wahrung der Betroffenenrechte, wie Informationspflichten etc.).

Das erste, was die Datenschutzaufsichtsbehörden sehen wollen, wenn sie bei Ihnen im Unternehmen die Einhaltung der Datenschutz-Vorschriften prüfen, ist mit Sicherheit das Verarbeitungsverzeichnis. Damit steht und fällt auch die weitere Prüfung und deren Umfang. Liegt ein sauberes vollständiges und gut gepflegtes Verarbeitungsverzeichnis vor, dann spricht das für eine ordentliche Kenntnis der eigenen Datenverarbeitungsprozesse. Daher ist es auch ein gutes Werkzeug für die Aufsichtsbehörden sich einen schnellen Überblick über alle Verarbeitungen zu verschaffen.

Wichtig: Da der Datenschutzbeauftragte die Vollständigkeit des Verarbeitungsverzeichnisses selbst zu prüfen hat, bestünde bei seiner Beauftragung mit der Erstellung des Verzeichnisses eine Interessenkollision. Der betriebliche (interne oder externe) Datenschutzbeauftragte sollte also weder mit der Erstellung noch mit der Pflege des Verarbeitungsverzeichnisses beauftragt werden!

Und: Zukünftig müssen neben den Verantwortlichen selbst auch die Auftragsverarbeiter die im Auftrag durchgeführten Verarbeitungstätigkeiten dokumentieren. Das ist neu. Daher müssen sich Auftragsverarbeiter schon jetzt unbedingt darauf vorbereiten, wie sie die Anforderungen des Artikel 30 Absatz 2 DSGVO erfüllen. Der Pflichtenkatalog birgt einige Herausforderungen, beispielsweise für Cloud-Anbieter. So muss zum Beispiel der Kundenbestand in das Verarbeitungsverzeichnis des Auftragsverarbeiters eingearbeitet werden, was zu einem ständigen Aktualisierungsbedarf führen wird.

Die Anforderungen und Details sind natürlich noch wesentlich umfangreicher. Ohne anwaltliche Beratung dürfte ein DSGVO-Projekt kaum zum Erfolg gebracht werden können.

Fazit

Das vollständige Verfahrensverzeichnis nach der DSGVO muss den Datenschutzbehörden ab dem 25.05.2018 auf Anfrage unverzüglich vorgelegt werden können. Alle Unternehmen sollten die Bedeutung und Dringlichkeit dieser Maßnahme erkennen und darauf reagieren, indem das Projekt der Anpassung oder Erstellung des Verfahrensverzeichnisses ganz oben auf die Prioritätenliste gesetzt wird. Denn: Die Uhr tickt.

Wir sind Experten für Datenschutz und unterstützen Sie bei Ihrem DSGVO-Projekt von Anfang bis Ende, um die Haftungsfallen zu vermeiden. Sprechen Sie uns jederzeit gerne an.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag:

  • Datenschutz: © putilov_denis - Fotolia.com