Die EU-DSGVO und das Verfahrensverzeichnis

Unternehmen arbeiten sehr stark mit persönlichen Daten. Im Handel ist das primär die Kundendatei mit sensiblen Anschriftsdaten oder Zahlungsinformationen (z. B. Kreditkartendaten oder Kontonummern). Sind Angestellte im Unternehmen vorhanden, kommen auch deren persönliche Daten hinzu. Zusätzlich werden weitere Datenbaken mit persönlichen Daten geführt - beispielsweise Prospects oder Lieferanten. Für Unternehmen besteht daher die Pflicht, ein Verfahrensverzeichnis zu führen, welche die Datenverarbeitungsprozesse im Unternehmen katalogisiert. Dieses Verfahrensverzeichnis enthält u. a. die folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten,
  • die Zwecke der Datenverarbeitung,
  • die Empfänger, gegenüber denen die Daten offengelegt worden sind oder noch offengelegt werden.

Für das Verfahrensverzeichnis ist die Unternehmensleitung verantwortlich und es ist auch vom Auftragsverarbeiter – soweit vorhanden – zu führen. Die Pflicht zur Führung eines Verfahrensverzeichnises gilt nach der DSGVO nicht für Unternehmen, welche weniger als 250 Mitarbeiter beschäftigen.

Aber: Auch für jede Ausnahme gibt es natürlich eine Rückausnahme: Es gibt sehr wohl wieder eine Pflicht zur Führung eines Verfahrensverzeichnisses, wenn die Datenverarbeitung ein Risiko birgt, besondere Datenkategorien betroffen sind (z.B. bei Online-Apotheken die Gesundheitsdaten) und nicht nur "gelegentlich" stattfindet. Obwohl es bisher keine nähere Definition von "gelegentlich" gibt und kleinere und mittelständige Unternehmen vor einem erhähten bürokratischen Aufwand geschützt werden sollten, kann die Pflicht auf beispielsweise Händler oder Veranstalter von Messen etc. zutreffen. Schon die Hinterlegung von Kundeninformationen in der eigenen Datenbank erfolgt regelmäßig automatisch und nicht nur gelegentlich. Außerdem werten viele Unternehmen systematisch das Verhalten ihrer Webseitenbesucher aus.

Warum überhaupt ein Verzeichnis führen? Der Grund ergibt sich zum einen aus der gesetzlichen Pflicht. Die nationalen Behörden können zur Prüfung der Einhaltung des Datenschutzes Einsicht in das Verfahrensverzeichnis verlangen. Zum anderen haben Unternehmen Informations- und Auskunftspflichten auch gegenüber den Betroffenen, beispielsweise gegenüber den Kunden, mit deren Daten gearbeitet wird. Mit einem aufbereiteten Verfahrensverzeichnis können die Unternehmen den Anfragen leichter Herr werden.

Wird das Verfahrensverzeichnis nicht geführt oder ist lückenhaft, können dem Verantwortlichen Geldbußen bis zu 10.000.000 Euro oder bis zu 2 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr auferlegt werden. Gegebenenfalls sind auch 20.000.000 Euro oder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr als Sanktion fällig.

Die Vorabkontrolle und die Folgenabschätzung 

Status quo:

Mit dem Fortschreiten der Technologisierung oder beim Wachtum des Unternehmens kommt es von Zeit zu Zeit zur Notwendigkeit, neue Datenverarbeitungsprozesse in das Unternehmen einzuführen. Hier wird einigen schon der Begriff der sog. Vorabkontrolle geläufig sein. Die sog. Vorabkontrolle ist derzeit im deutschen Recht vorhanden: "Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle)".

Eine Vorabkontrolle ist derzeit insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten (z. B. Gesundheitsdaten) verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten – einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens (z.B. Skill-Datenbanken).

Soweit also reguläre Datenverarbeitungsvorgänge eingeführt werden sollen, die den täglichen Kundenverkehr im Online-Shop betreffen, dürfte die Pflicht zur Vorabkontrolle nicht zutreffen. Die Berechtigung, Kundendaten (wie die Anschrift) automatisiert zu speichern und zu nutzen, ergibt sich aus dem Gesetz. Hierfür ist keine gesonderte Vorabkontrolle notwendig.

Neuerungen durch die EU-DSGVO

Nach der EU-DSGVO muss der Verantwortliche künftig nur dann vorab seine Verarbeitungsprozesse behördlich überprüfen lassen, wenn die sog. Folgenabschätzung („Data Protection Impact Assessment“) ergibt, dass ein hohes Risiko für die Daten besteht (z. B. Profiling) und keine anderweitigen Vorkehrungsmaßnahmen getroffen wurden. Mit der EU-DSGVO ist daher zunächst eine Folgenabschätzung durchzuführen.

Die Folgenabschätzung

Birgt die Datenverarbeitung voraussichtlich ein hohes Risi­ko für die Betroffenen, muss der Verantwortliche bereits vor Einführung eines neuen Datenverarbeitungsprozesses eine Abschätzung der Folgen durchführen (sog. Folgenabschätzung). Dies ist insbesondere bei neuen Technologien der Fall, bei der der Umfang und der Eingriff in die Persönlichkeitsrechte noch nicht feststeht. Die EU-DSGVO nennt bestimmte Fallgruppen, bei denen eine Folgenabschätzung stets durchzuführen ist. Dazu zählen:

  • das Profiling
  • die Verarbeitung besonders sensibler Daten (z. B. Gesundheitsdaten)
  • der Einsatz neuer Technologien
  • die umfangreiche öffentliche Videoüberwachung

Die nationalen Aufsichtsbehörden werden hier noch nähere Konkretisierungen vornehmen und die Liste auf nationaler Ebene ergänzen.

Die Folgenabschätzung enthält u. a. Folgendes:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungs­vorgänge in Bezug auf den Zweck
  • eine Bewertung der Risiken
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen (z. B. Sicherheitsvorkehrungen)

Bei der Folgenabschätzung ist der behördliche oder betriebliche Datenschutzbeauf­tragte zu beteiligen. Geht aus einer Datenschutz-Folgenab­schätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verant­wortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Imple­mentierungskosten eindämmen kann, so sollte sogar die nationale Datenschutzaufsichtsbehörde vor der Verarbeitung konsultiert werden.

Wird die Folgenabschätzung nicht oder nicht richtig durchgeführt, können dem Verantwortlichen Geldbußen bis zu 10.000.000 Euro oder bis zu 2 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr auferlegt werden. Gegebenenfalls sind auch 20.000.000 Euro oder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr als Sanktion fällig.

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • gieseckedevrient.gif
  • Postbank.jpg
  • 1_LOGO_SEMATICON.png
  • dlr.png
  • CLAAS.png
  • DEUTSCHE_BANK.png
  • 1_LOGO_FARSITE.png
  • 1_LOGO_SSH.png
  • dekabank.gif
  • 1_LOGO_NEXIONA.png
  • VOESTALPINE.png
  • VENTURETEC.png
  • LMK.png
  • deutschepost.gif
  • TDT-AG.JPG
  • 1_LOGO_VARONIS.png
  • ASKLEPIOS.png
  • commerzbank.gif
  • NXP.png
  • vodafone.gif