DSGVO Verarbeitungsverzeichnis - Verpflichtend oder nicht?

30.07.2018

Wer ist verpflichtet ein Verfahrensverzeichnis nach DSGVO zu führen!


Verarbeitungstätigkeiten nach der DSGVO sind seit 25. Mai 2018 für den Großteil aller Unternehmen verpflichtend. Alte Verzeichnisse nach dem DSG 2000 müssen überarbeitet werden und auf den neuesten Stand gebracht werden. Neue Verzeichnisse müssen erstellt werden. Dieser Artikel soll Ihnen helfen, zu ermitteln, ob auch Sie ein Verfahrensverzeichnis erstellen müssen oder nicht!


  • Wer muss kein Verzeichnis erstellen?
  • Wer ist im Unternehmen für das Verzeichnis verantwortlich?
  • Welche Folgen hat es, wenn kein Verzeichnis erstellt wird?
  • Kurzzusammenfassung

Wer muss ein Verfahrensverzeichnis erstellen?

Die DSGVO bindet die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen daran, ob eine Verarbeitung von Personendaten stattfindet. Eine Verarbeitung findet dann statt, wenn personenbezogene Daten manuell oder automatisch verarbeitet werden. Eine Verarbeitung muss im Verzeichnis dokumentiert werden. 
In der DSGVO werden die Tätigkeiten umfassend beschrieben:

[...] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; [...]
DSGVO Artikel 4 / 2

Auf Grund dieser Beschreibung sind der Großteil von Unternehmen verpflichtet ein Verzeichnis zu führen, auch dann, wenn keine automatische Verarbeitung erfolgt. Vereine, Einzelkaufleute und Handwerker sind hiervon ebenfalls betroffen. Auch Auftragsdatenverarbeiter müssen ein Verzeichnis führen, wenn Sie einen Auftrag haben, bei dem Kundendaten analysiert werden.

Wer kein Verzeichnis erstellen muss?

Ein Verzeichnis zu führen trifft auf die meisten Unternehmen zu. In Österreich unterliegen schriftliche Aufzeichnungen meist noch den Datenschutzverordnungen der einzelnen Bundesländer aus den 70er oder 80er Jahren. In diesem Punkt greift die DSGVO ebenfalls ein, da die Ablage in Form von Ablagesystemen eine Verzeichnisführung fordert, auch wenn die Verarbeitung nicht automatisch erfolgt.
[...] es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10. Artikel 30/ 5
Während die ersten 4. Kriterien
  • Weniger als 250 Mitarbeiter
  • Risiko für die Rechte von betroffene
  • Verarbeitung besonderer Datenkategorien (Gewerkschaft, Religion, Besondere Bedürfnisse ...)
  • Verarbeitung von Strafrechtlichen Daten
  • Verarbeitung Gelegentlich
bei vielen Unternehmen zutreffen können, werden nur die wenigsten gelegentlich personenbezogene Daten verarbeiten. Da es zur DSGVO noch keine offizielle Auslegungen von "Gelegentlich" gibt, in Form von Gerichtsentscheiden, ist davon auszugehen, dass der Begriff sehr weit gefasst werden muss.

Wer ist im Unternehmen für das Verzeichnis Verantwortlich?

Im Unternehmen ist laut DSGVO der Verantwortliche verpflichtet das Verfahrensverzeichnis aufzustellen und zu pflegen. Verantwortlicher ist beim Einzelunternehmer z.B. der Inhaber oder aber bei der GmbH der Vertretungsberechtigte, also z.B. der oder die Geschäftsführer. In der Praxis ist häufig ein Mitarbeiter abgestellt das Verzeichnis zu erstellen und zu führen, wenngleich die Verantwortung bei dem Verantwortlichen bleibt. Der Verantwortliche ist es auch, der das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss.


Welche Folgen hat es, wenn kein Verzeichnis erstellt wird?

Die Folgen, wenn kein aktuelles Verfahrensverzeichnis auf Anfrage oder Überprüfung der Behörde vorgelegt werden kann, sind immens. So können Bußgelder in Höhe von 20.000.000 EUR oder bis zu 4% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. (DSGVO Artikel 83/4). Das sind sehr hohe Strafen für eine recht einfache Erstellung des Verarbeitungsverzeichnisses. Inwieweit die Behörde Strafen ausstellt, ist noch im Unklaren, fix scheint jedoch, dass eine Abmahnung nur in Frage kommt, wenn die Hausaufgaben in Form der Erstellung des Verarbeitungsverzeichnisses gemacht wurde.


Kurz zusammengefasst: Jeder Unternehmer sollte ein Verfahrensverzeichnis erstellen!

Die gesetzliche Definition ist sehr weitreichend und schließt fast alle Unternehmen ein. Auch nicht Unternehmer die Personen Daten Verarbeiten könnten in diese Verpflichtung hineinfallen. Die klare Empfehlung lautet, erstellen Sie Ihr Verarbeitungsverzeichnis!
Die Bußgelder sind zu hoch und es ist nicht abzusehen inwieweit Ihre Konkurrenz oder die Aufsichtsbehörden von Kontrollen Gebrauch machen.


Jetzt informieren!