Dokumentation von Prozessen -> Verfahrensverzeichnis

Die Einhaltung der Grundsätze und die Umsetzung im Unternehmen war schon nach dem BDSG grundsätzlich zu dokumentieren; dazu wurde ein Verfahrensverzeichnis verwendet, das jedoch für viele Unternehmen nicht vorgeschrieben war. Durch die neu eingeführte Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO werden der verantwortlichen Stelle nunmehr auferlegt, die Grundsätze der DSGVO einzuhalten und die Einhaltung auch zu dokumentieren.

Die Prozesse des Datenschutzes sind daher – auch zu Nachweiszwecken gegenüber den Aufsichtsbehörden – zu dokumentieren; ab einer Unternehmensgröße von 250 Mitarbeitern ist die Führung eines formellen Verzeichnisses der Verarbeitungstätigkeiten (Verfahrensverzeichnis) unabhängig von der Art der verarbeiteten Daten vorgeschrieben. Aber auch bei kleineren Unternehmen ist dann ein Verfahrensverzeichnis vorgeschrieben, wenn besonders geschützte Daten verarbeitet werden.

Datenschutz-Folgenabschätzung

Hat eine Form der Datenverarbeitung aufgrund

  • der Verwendung neuer Technologien,
  • aufgrund der Art, des Umfangs, der Umstände und
  • der Zwecke der Verarbeitung
  • voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge,

so muss der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Die DSGVO sieht grundsätzlich vor, dass die Aufsichtsbehörden eine entsprechende Liste veröffentlichen können, die positiv die Fälle beschreibt, in denen die Folgenabschätzung notwendig ist. Eine solche Liste wird es für Deutschland in absehbarer Zeit jedoch nicht geben. Daher muss die Prüfung jeweils individuell erfolgen. Allgemein ist aber davon auszugehen, dass die systematische Bewertung persönlicher Aspekte natürlicher Personen (z.B. im Rahmen von Kredit-Scorings) sowie die optoelektronische Bilddatenerfassung stets eine Datenschutz-Folgenabschätzung erfordern. Darüber hinaus ist die Folgenabschätzung erforderlich, wenn zum Beispiel das Risiko eines Identitätsdiebstahls oder -betrugs oder die Offenlegung von Gesundheitsdaten im Rahmen der Verarbeitung durch Dritte, die nicht selbst Berufsgeheimnisträger sind, besteht.

Auftrags(daten)verarbeitung

Die bisherige Auftragsdatenverarbeitung wird es auch künftig geben, allerdings ändern sich Bezeichnungen, Verantwortungen und die notwendigen Vereinbarungen. Künftig heißt es „Auftragsverarbeitung“ der Auftragnehmer wird zum „Auftragsverarbeiter“ und die bisherigen Auftragsdatenverarbeitungsvereinbarungen werden neu zu fassen sein, wobei seitens der Aufsichtsbehörden hier wieder Muster veröffentlicht werden. Insbesondere die Struktur der und Anforderungen an die bisherigen technischen und organisatorischen Maßnahmen wird sich ändern und näher am neuen Verfahrensverzeichnis orientiert sein.