Alle Firmen und Organisationen mit 250 und mehr Beschäftigten müssen gemäß Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten anlegen. Gemeint ist eine Liste von Tätigkeiten, in denen personenbezogene Daten (Begriff siehe Art. 4 Nr. 1 DSGVO). Zwar sind kleinere Organisationen davon befreit, doch sind die Ausnahmeregelungen für diese Befreiung so ridige, dass letztendlich fast jede Verantwortliche und jeder Verantwortlicher ein derartiges Verzeichnis erstellen muss.
Diese Verzeichnisse müssen jedoch nicht zwingend teuer von Externen angelegt werden. Viele Aufsichtsbehörden haben Muster veröffentlicht, wie so ein Verzeichnis gerade für Einzelunternehmer auszusehen hat. Hier zum Beispiel ist ein Muster für einen kleineren Verein. Doch auch ohne Muster können erfahrene Fachleute dies flink erledigen.
Die bayerische Datenschutzaufsicht bietet gleich mehrere Muster für unterschiedliche Gewerke an, nach denen man sich sehr gut richten und sein eigenes Verzeichnis erstellen kann. Ein gute allgemeine Info finden Sie hier beim ULD. Beachten Sie bitte, dass Verantwortliche (Art. 30 Abs. 1 DSGVO) und Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) unterschiedliche Verzeichnisse zu erstellen haben. Diese Info finden Sie ebenfalls beim ULD an gleicher Stelle.
Der primäre Zweck der Dokumentation der Verarbeitungstätigkeiten folgt aus ErwG. 82, wonach das Verzeichnis dem „Nachweis der Einhaltung der DSGVO“ dient. Darüber hinaus ist das Verzeichnis auch noch in anderer Hinsicht ein wichtiges Element zur Einhaltung weiterer Datenschutzvorschriften, welche die Datenschutzstelle Liechtenstein wie folgt aufgelistet hat:
- Erfüllung der Informationspflichten gemäss Art. 13 und 14 DSGVO: Zahlreiche Informationen, die Sie den betroffenen Personen zur Verfügung stellen müssen, können Sie aus dem Verzeichnis übernehmen (etwa den Zweck der Verarbeitung oder die Rechtsgrundlagen). Auf diese Pflichten werde ich am 24.07.20 näher eingehen.
- Gewährleistung der Betroffenenrechte gemäss Art. 13 bis 22 DSGVO: Wenn Sie wissen, welche personenbezogenen Daten in Ihrer Organisation zu welchem Zweck, auf welcher Rechtsgrundlage und für welche Dauer verarbeitet werden, können Sie Anfragen von betroffenen Personen effizienter bearbeiten. Das wird Thema in der folgenden Woche sein.
- Sicherheitsmassnahmen: Eine Bestandsaufnahme Ihrer Verarbeitungstätigkeiten erleichtert es, geeignete technische und organisatorische Massnahmen zu treffen, um ein adäquates Sicherheitsniveau gewährleisten zu können.
- Datenschutz-Folgenabschätzung nach Art. 35 DSGVO: Das Verzeichnis kann zur Prüfung dafür dienen, ob eine Datenschutz-Folgenabschätzung erfolgen muss.
- Hilfestellung für den Datenschutzbeauftragten: Das Verzeichnis ist eine ideale Grundlage für den Datenschutzbeauftragten, um seine Aufgaben gemäss Art. 39 DSGVO erfüllen zu können.