DSGVO: Verarbeitungsverzeichnis bei Auftragsverarbeitern
Die Datenschutz-Grundverordnung (DSGVO) hat den Kreis derer erweitert, die ein Verzeichnis von Verarbeitungstätigkeiten, früher: Verfahrensverzeichnis, führen müssen: Auftragsverarbeiter sind mit der DSGVO ebenfalls gefordert, unter bestimmten Bedingungen ein solches Verzeichnis zu führen.
Verarbeiter können dabei natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, sein.
Lesen Sie zur Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit den Beitrag Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
Verarbeitungsübersicht bei Auftragsverarbeitern
Ein Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die er im Auftrag eines Verantwortlichen durchführt.
Als Bestandteile dieses Verzeichnisses von Verarbeitungstätigkeiten nennt die DSGVO in Artikel 30 insbesondere:
- den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
- die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).
„Wenn möglich“ sollten Verantwortliche dabei aber nicht als Hintertür verstehen, um die Beschreibung der TOMs einfach grundsätzlich auszulassen.
Die Datenschutz-Aufsichtsbehörden werden sich sicherlich begründen lassen, warum ein Auftragsverarbeiter etwas als unmöglich betrachtet.
Zum Umfang der TOM-Beschreibung gibt es bereits Anhaltspunkte: So sollte die Verarbeitungsübersicht nach DSGVO die Maßnahmen so konkret beschreiben, dass die Aufsichtsbehörden eine erste Rechtmäßigkeitsüberprüfung vornehmen können.
Teil der Datenschutz-Dokumentation
Umfragen zeigen immer wieder, dass das Verzeichnis in vielen Unternehmen als lästige Pflicht gilt. Das war zu Zeiten des alten Bundesdatenschutzgesetzes so, das ist auch jetzt noch so. So manches Unternehmen hat sich bisher um diese Pflicht gedrückt.
Dieses Verzeichnis von Verarbeitungstätigkeiten sollten Unternehmen aber nicht nur als Pflicht ansehen:
- Es ist einer der Nachweise, dass der Verantwortliche der Rechenschaftspflicht im Datenschutz nachkommt.
- Zudem ist es ein Instrument, um die internen Datenschutzmaßnahmen zu strukturieren.
- Außerdem ist das Verzeichnis Prüfungsgegenstand bei einer Kontrolle durch die Aufsichtsbehörde.
Es lohnt sich also mehrfach, sich damit zu befassen.