Verzeichnis von Verarbeitungstätigkeiten
Ein Verzeichnis von Verarbeitungstätigkeiten ist eine durch das europäische Datenschutzrecht vorgeschriebene Auflistung aller Verarbeitungstätigkeiten personenbezogener Daten. Die bis 2018 übliche Bezeichnung im deutschen Datenschutzrecht lautete Verfahrensverzeichnis.
Der Begriff wurde durch die Datenschutz-Grundverordnung (DSGVO) eingeführt. Für den Bereich der Verfolgung von Straftaten und Ordnungswidrigkeiten ist die DSGVO nicht anzuwenden, sondern die JI-Richtlinie (EU) 2016/680.
Ergänzende Regelungen finden sich in den nationalen Datenschutzgesetzen der EU-Mitgliedsstaaten, in Deutschland durch das Bundesdatenschutzgesetz auf Bundesebene und durch Landesdatenschutzgesetz auf Landesebene: § 70 BDSG und § 46 LDSG (SH), §65 HDSIG, § 58 LDSG (RLP), § 53 DSG NRW, § 38 NDSG, § 50 ThürDSG, Art. 31 BayDSG, § 4 BbgDSG, § 56 BlnDSG, § 15 SDSG.
Geschichte
BearbeitenDie Pflicht zur Führung eines Verzeichnisses über Verarbeitungstätigkeiten wurde mit Inkrafttreten der DSGVO am 25. Mai 2018 in der Europäischen Union eingeführt. Die DSGVO löste die bisherigen datenschutzrechtlichen Regelungen der EU-Mitgliedsstaaten ab, nach denen z. B. in Deutschland nach dem Bundesdatenschutzgesetz ein Verfahrensverzeichnis zu führen war. Art. 30 DSGVO verpflichtet Verantwortliche im Sinne des Datenschutzrechts (nach Art. 4 DSGVO ist dies jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“) und dessen Vertreter, ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen zu führen.
Form und Inhalt
BearbeitenDas Verzeichnis aller Verarbeitungstätigkeiten bedarf der Schriftform. Es kann auch digital geführt werden.
Mindestangaben sind
- Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- die Zwecke der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation unter Nennung des Landes oder der Organisation
sowie wenn möglich
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. DSGVO
Neben den Verantwortlichen sind auch Auftragsverarbeiter, d. h. natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, zur Führung des Verzeichnisses über Verarbeitungstätigkeiten verpflichtet. Deren Verzeichnis muss zusätzlich den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter enthalten.
Rechtsfolgen
BearbeitenDie Verantwortlichen, deren Auftragsverarbeiter sowie deren Vertreter sind verpflichtet, ihr Verzeichnis von Verarbeitungstätigkeiten auf Verlangen der Aufsichtsbehörde zur Verfügung zu stellen.
Bei Verstößen gegen die DSGVO sieht Art. 83 DSGVO Bußgelder vor, so auch bei Verletzung der Verpflichtungen nach Art. 30. Der mögliche Bußgeldrahmen beläuft sich hierbei auf bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.