EU-Datenschutzgrundverordnung: Verfahrensverzeichnis 2.0 – Die neuen gesetzlichen Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten.
Ab Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO). Bis dahin müssen die neuen Anforderungen im Datenschutz umgesetzt werden. Welche Änderungen ergeben sich für das Verfahrensverzeichnis? Wir informieren Sie.
Die DSGVO bringt umfangreiche Dokumentations- und Nachweispflichten mit sich. So müssen Verantwortliche künftig nachweisen können, dass ihre Datenverarbeitungsvorgänge den Anforderungen der DSGVO entsprechen (sog. Accountability).
Ein wichtiger Baustein der Datenschutzdokumentation ist das Verzeichnis der Verarbeitungstätigkeiten, geregelt in Artikel 30 DSGVO. Dieses ist vergleichbar mit dem bereits aus dem Bundesdatenschutzgesetz bekannten Verfahrensverzeichnis.
Die Regelung in Artikel 30 DSGVO bringt jedoch einige Neuerungen mit sich.
Das Gesetz sieht zunächst vor, dass nur Unternehmen mit mindestens 250 Mitarbeitern ein Verzeichnis der Verarbeitungstätigkeiten führen müssen. Allerdings besteht diese Pflicht auch für kleinere Unternehmen, wenn
Praktisch stehen damit auch viele kleine und mittlere Unternehmen in der Pflicht, das Verzeichnis zu führen.
Neu ist zudem, dass zukünftig nicht mehr zwischen dem internen und dem öffentlichen Verfahrensverzeichnis unterschieden wird. Es gibt nur noch ein internes Verfahrensverzeichnis. Dieses muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
Schließlich kann in Zukunft bei Verstößen gegen die Anforderungen an das Verfahrensverzeichnis ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes verhängt werden, Artikel 83 Absatz 4 DSGVO.
Inhaltlich muss das Verzeichnis zunächst allgemeine Angaben enthalten:
Name und Kontaktdaten
Zudem muss es verfahrensübergreifende technische und organisatorische Angaben enthalten:
Schließlich sind spezifische Angaben zu den einzelnen Datenverarbeitungsverfahren zu machen:
► Empfänger,
► Drittland oder Organisation,
► geeignete Garantien zum Schutz der Daten und Betroffenenrechte im Drittland,
Werden Daten im Auftrag verarbeitet, sind bei den allgemeinen Angaben neben den Daten zu den Verantwortlichen auch die Kontaktdaten des Auftragsverarbeiters aufzuführen.
Das Verzeichnis der Verarbeitungstätigkeit ist schriftlich oder in elektronischem Format zu führen.
www.deloitte-tax-news.de | Diese Mandanteninformation enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen eines Einzelfalles gerecht zu werden. Sie hat nicht den Sinn, Grundlage für wirtschaftliche oder sonstige Entscheidungen jedweder Art zu sein. Sie stellt keine Beratung, Auskunft oder ein rechtsverbindliches Angebot dar und ist auch nicht geeignet, eine persönliche Beratung zu ersetzen. Sollte jemand Entscheidungen jedweder Art auf Inhalte dieser Mandanteninformation oder Teile davon stützen, handelt dieser ausschließlich auf eigenes Risiko. Deloitte GmbH übernimmt keinerlei Garantie oder Gewährleistung noch haftet sie in irgendeiner anderen Weise für den Inhalt dieser Mandanteninformation. Aus diesem Grunde empfehlen wir stets, eine persönliche Beratung einzuholen.
This client information exclusively contains general information not suitable for addressing the particular circumstances of any individual case. Its purpose is not to be used as a basis for commercial decisions or decisions of any other kind. This client information does neither constitute any advice nor any legally binding information or offer and shall not be deemed suitable for substituting personal advice under any circumstances. Should you base decisions of any kind on the contents of this client information or extracts therefrom, you act solely at your own risk. Deloitte GmbH will not assume any guarantee nor warranty and will not be liable in any other form for the content of this client information. Therefore, we always recommend to obtain personal advice. |