DSGVO: Verfahrensverzeichnis bei Auftragsverarbeitern
Die Datenschutz-Grundverordnung (DSGVO / GDPR) nimmt auch Auftragsverarbeiter in die Pflicht: Bei einer Auftragsverarbeitung ist nicht mehr nur der Verantwortliche gefordert. Was muss der Auftragsverarbeiter tun?
Verfahrensverzeichnis: Wesentliche Unterschiede BDSG – DSGVO
Vergleicht man die Anforderungen des Bundesdatenschutzgesetzes (BDSG) und die der Datenschutz-Grundverordnung (DSGVO), stellt man fest, dass es einige Änderungen beim Verfahrensverzeichnis gibt.
Die Grundverordnung erweitert den Kreis derer, die ein Verfahrensverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten führen müssen: Auftragsverarbeiter sind mit der DSGVO ebenfalls gefordert, unter bestimmten Bedingungen ein Verarbeitungsverzeichnis zu führen.
Verarbeiter können dabei natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, sein.
Darüber hinaus entfällt zum einen die Meldepflicht gegenüber der Aufsichtsbehörde. Natürlich kann die Aufsichtsbehörde jederzeit Einsicht verlangen.
Zum anderen entfällt die Pflicht, jedermann das (öffentliche) Verfahrensverzeichnis auf Antrag in geeigneter Weise verfügbar zu machen.
Verfahrensverzeichnis bei Auftragsverarbeitern
Ein Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die er im Auftrag eines Verantwortlichen durchführt.
Als Bestandteile dieses Verfahrensverzeichnisses nennt die DSGVO insbesondere:
- den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
- die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).
„Wenn möglich“ sollten Verantwortliche dabei aber nicht als Hintertür verstehen, um die Beschreibung der TOMs einfach grundsätzlich auszulassen. Die Aufsichtsbehörden werden sich sicherlich begründen lassen, warum ein Auftragsverarbeiter etwas als unmöglich betrachtet.
Zum Umfang der TOM-Beschreibung gibt es bereits Anhaltspunkte: So sollte das Verfahrensverzeichnis nach DSGVO die Maßnahmen so konkret beschreiben, dass die Aufsichtsbehörden eine erste Rechtmäßigkeitsüberprüfung vornehmen können.
Teil der Datenschutz-Dokumentation
Umfragen zeigen immer wieder, dass das Verzeichnis in vielen Unternehmen als lästige Pflicht gilt. So manches Unternehmen hat sich auch bisher um diese Pflicht gedrückt.
Das sollte sich umgehend ändern: Nicht nur das Bundesdatenschutzgesetz (BDSG) fordert ein Verfahrensverzeichnis, auch die Datenschutz-Grundverordnung (DSGVO) enthält einen Artikel dazu: Artikel 30 Verzeichnis von Verarbeitungstätigkeiten.
Dieses Verzeichnis von Verarbeitungstätigkeiten sollten Unternehmen aber nicht nur als Pflicht ansehen:
- Es ist einer der Nachweise der Rechenschaftspflicht im Datenschutz.
- Zudem ist es ein Instrument, um die internen Datenschutzmaßnahmen zu strukturieren.
- Außerdem ist das Verzeichnis Prüfungsgegenstand bei einer Kontrolle durch die Aufsichtsbehörde.
Es lohnt sich also mehrfach, sich damit zu befassen.
