Das Verzeichnis der Verarbeitungstätigkeiten (VVT) löst das bisherige Verfahrensverzeichnis (VVZ) ab. Nach Art. 30 müssen nun auch Auftragsverarbeiter ein Verzeichnis der gesamten Verarbeitungstätigkeiten, die personenbezogene Daten betreffen, führen. Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Merke: nicht mehr der Datenschutzbeauftragte ist für die Führung der Verzeichnisse verantwortlich, sondern der Verantwortliche!

Inhalte des Verzeichnisses der Verarbeitungstätigkeiten:

  • Namen und die Kontaktdaten des Verantwortlichen
    und gegebenenfalls des gemeinsam mit ihm Verantwortlichen,
    ggf. des Vertreters des Verantwortlichen (wenn keine Niederlassung in der EU)
  • Empfehlung hier aus Kompatibilität zum alten Verfahrensverzeichnis:
    • Übergreifend: Leiter der Verantwortlichen Stelle (Geschäftsführung) und Leiter der Datenverarbeitung
    • Je Prozess: zuständiges Mitglied der Geschäftsführung sowie Bereichs-/ Abteilungsleitung
  • ggf. Namen und die Kontaktdaten des Datenschutzbeauftragten
    Empfehlung: nur übergreifend;
  • Zwecke der Verarbeitung;
  • Kategorien betroffener Personen /Betroffene Personengruppen
  • Kategorien personenbezogener Daten / Datenkategorien;
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
    Empfehlung: hier alle gem. Berechtigungskonzept oder faktisch zugriffsberechtigten oder faktisch zugriffsfähigen Empfängerkategorien; auch: öffentliche Stellen,
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder internationale Organisationen
  • Angabe des betreffenden Drittlands
  • Arten / Kategorien von Daten
  • Empfänger in Drittland oder bei internationaler Organisation,
  • bei den in Artikel 49Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die die geeigneten Garantien
  • wenn möglich, die vorgesehenen Fristen für die Löschung je Datenkategorie
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  • Empfehlung: Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen / Risikoanalyse
  • Empfehlung: Vorabkontroll- bzw. Meldepflicht
  • Empfehlung: Vermerke des DSB

Inhalte des von Auftragsverarbeitern für die im Auftrags verarbeiteten Tätigkeiten zu führenden Verzeichnisses

  • Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter
    und des bzw (wenn mehrere) jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist,
  • Ggf. Vertreter wenn keine Niederlassung in der EU
  • Namen und die Kontaktdaten des Datenschutzbeauftragten;
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • Ggf. Übermittlungen an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Absatz 5 klingt so, als würden Stellen, die weniger als 250 Mitarbeiter beschäftigen, nicht dieser Pflicht unterliegen, es sei denn sie verarbeiten personenbezogene Daten, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, die Verarbeitung erfolgt nicht nur gelegentlich oder die Verarbeitung betrifft besondere Datenkategorien nach Art. 9 oder strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO.

Was zunächst nach einer Erleichterung für Unternehmen mit weniger als 250 Mitarbeitern aussieht, könnte aber beim wiederholten Lesen anders gedeutet werden, denn 1. gibt es immer eine irgendwie geartete Art von Risiko und 2. werden Daten bei einem auf Dauer ausgerichteten Geschäftsbetrieb immer „nicht nur gelegentlich“, sondern regelmäßig verarbeitet, und 3. werden immer auch zumindest einige besondere Datenkategorien nach Art. 9 DSGVO – nämlich Gesundheitsdaten in Form von Krankheitstagen oder Einschränkungen – verarbeitet. Insofern wären dann doch alle Unternehmen zur Führung eines Verzeichnisses verpflichtet. Dann würde jedoch der ganze Absatz, insbesondere die Einschränkung auf 250 Mitarbeiter keinen Sinn ergeben.

Hinichtlich des Verarbeitungsrisikos fehlt also vor dem Wort Risiko nur ein quantifizierendes Adjektiv wie z.B. „erhebliches“. So auch in der Kommtarliteratur: „Gemeint ist wohl eine Verarbeitung mit geringem Risiko, von der also kein hohes bzw. erhebliches Risiko oder ein mittleres Risiko ausgeht. “ (Paal/Pauly, Datenschutz-Grundverordnung, DS-GVO Art. 30 Rn. 32, beck-online)
Hinsichtlich der Regelmäßigkeit geht die Kommentarliteratur dahegen davon aus, dass es kein alternativer Tatbestand ist, sondern trotz des „oder“ weiter hinten im Satz hier eine weitere Tatbestandsvoraussetzung ist. Somit soll nur bei regelmäßiger Verarbeitung mit erheblichem Risiko die Pflicht zur Führung eines Verzeichnisses trotz einer Mitarbeiterzahl von weniger als 250 erforderlich sein.
Bei der Verarbeitung besonderer Kategorien personenbezogener Daten ist fraglich, ob schon beispielsweise geringfüge Gesundheitsdaten ausreichen würden, eine Pflicht zur Führung eines Verzeichnisses zu begründen.

Eine konsensfähige Kompromiß-Interpretation könnte (nach Härting, Datenschutzgrundverordnung, S. 9), sein, dass zwar alle Unternehmen weiterhin ein Verfahrensverzeichnis erstellen müssen, kleine unternehmen aber nur für die Verarbeitungen, die regelmäßig stattfinden. Dabei ist natürlich nicht gesagt, ab wann etwas regelmäßig ist.

Diese Interpretationen sind alle noch wenig im Diskurs geprüft und werden erst nach entsprechenden Stellungnahmen der Aufsichtsbehörden oder Gerichtsurteilen, vermutlich also nicht vor 2019 entschieden sein.
Auf der Basis dieser handwerklich unklaren Regelungen wird bis auf Weiteres zu empfehlen sein, die bisherige Praxis der Führung von Verfahrensverzeichnissen nach dem BDSG bis zur Klärung beizubehalten.

Auch gibt es kein öffentliches Verzeichnis mit Einsichtsrecht für jedermann und keine Meldepflicht mehr, die in § 4 d und e BDSG geregelt waren. (Dafür gibt es aber umfangreiche Informationspflichten!)

Mit Spannung ist abzuwarten, wie sich die technischen und organisatorischen Maßnahmen in dem neuen Verzeichnis wieder finden.

Es muss eine Historie der Verfahrensverzeichnisse geben, die die veränderung der Verfahren für die Aufsicht transparent machen. Es empfiehlt sich somit frühere Versionen aufzubewahren.

Mehr hilfreiche Informationen finden Sie hier: