Görtz – Legal
DE
EN
Sprache:

ra@goertz-legal.de
E-Mail:
18. Mai 2018 - erstellt von Goertz_Redaktion
Das neue Datenschutzrecht – wichtige Änderungen für die Unternehmenspraxis – Die Nachweispflichten:

Von der Rechenschaftspflicht zur Führung eines Verarbeitungsverzeichnisses

Ab 25. Mai 2018 ändern die europaweit geltende Datenschutzgrundverordnung (DSGVO) sowie das neue deutsche Bundesdatenschutzgesetz (BDSG-neu) viele altbekannte Vorgaben im Datenschutzrecht. Eine wesentliche Änderung in der Unternehmenspraxis ergibt sich hinsichtlich der Dokumentation von Datenverarbeitungsvorgängen. Denn künftig muss die Einhaltung des Datenschutzrechts nachgewiesen werden können.

Rechenschaftspflicht

Für die Verarbeitung personenbezogener Daten enthält Artikel 5 Abs. 1 DSGVO folgende Grundsätze, die sich praktisch nicht von den bisherigen Regelungen des BDSG unterscheiden: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Gewährleistung von Integrität und Vertraulichkeit.

Neu ist die in Artikel 5 Abs. 2 DSGVO statuierte „Rechenschaftspflicht“, welche sich durch die ganze DSGVO zieht. Danach muss der für die Datenverarbeitung Verantwortliche die Einhaltung der Grundsätze des Art. 5 Abs. 1 – z.B. gegenüber der Aufsichtsbehörde – nachweisen können.

Wie der Nachweis erbracht werden muss, ist in der DSGVO nicht geregelt. Fest steht aber, dass künftig alle Datenverarbeitenden – auch kleinere und mittlere Unternehmen – ein Mindestmaß an Dokumentation (schriftlich oder elektronisch) vorweisen müssen.

Nach Erwägungsgrund 82 der DSGVO kann die Führung eines Verzeichnisses der Verarbeitungstätigkeiten zum Nachweis der Einhaltung dieser DSGVO beitragen. In der Praxis setzt man die Rechenschaftspflicht deshalb idealerweise in einem Verarbeitungsverzeichnis gemäß Artikel 30 DSGVO um und ergänzt dieses um die Rechtsgrundlage, auf die die jeweilige Datenverarbeitung gestützt wird (sog. „erweitertes Verzeichnis von Verarbeitungstätigkeiten“).

Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Artikel 30 DSGVO fordert von Unternehmen, ein Verarbeitungsverzeichnis über alle Verarbei-tungstätigkeiten zu führen und darin zu dokumentieren, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird. Inhaltlich ähnelt die neue Dokumentation dem bekannten Verfahrensverzeichnis gemäß § 4g BDSG. Es müssen weiterhin die wesentlichen Informationen der Datenverarbeitung zusammengefasst werden, also z.B. Angaben zu Zweck der Verarbeitung, Löschfristen und Empfänger.

Die Pflicht zum Führen des Verzeichnisses entfällt gemäß Art. 30 Absatz 5 DSGVO für Unter-nehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. In der Praxis dürfte diese Freistellung voraussichtlich fast keine Bedeutung erlangen, da sie nur gilt, wenn die Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, nur gelegentlich erfolgt und keine besonderen Datenkategorien wie Gesundheits- oder Religionsdaten verarbeitet werden.

Achtung! Nur wenige Unternehmen dürften von der Pflicht zur Führung eines Verarbeitungs-verzeichnisses ausgenommen sein, da jedes Unternehmen, das kontinuierlich für seine Beschäftigten Lohnabrechnungen durchführt, nicht mehr nur gelegentlich Religions- und Gesundheitsdaten verarbeitet.

Fazit

Unternehmen müssen jederzeit in der Lage sein, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nachweisen zu können. Alleine der fehlende Nachweis kann zu einem Bußgeld führen, selbst wenn die dazugehörige Verarbeitung der Daten rechtskonform erfolgt. Dies spricht grundsätzlich für das Führen eines erweiterten Verzeichnisses der Verarbeitungstätigkeiten, welches die Vorgaben für die Rechenschaftspflichten mitabdeckt, auch wenn das Unternehmen im Einzelfall nicht gesetzlich dazu verpflichtet ist.

 

  Karoline Nutz
-Rechtsanwältin –

           

Tel. Stuttgart: 07 11 / 365 917 0
Tel. Heilbronn: 07 131 / 594 390 0
k.nutz@goertz-kanzlei.de

Kategorie(n): Tagged With: