Sinn und Zweck des Verzeichnisses von Verarbeitungstätigkeiten

Reine Bürokratie oder nützliches Handwerkszeug? Überlegungen zum Verzeichnis von Verarbeitungstätigkeiten.

Gemäß Art. 30 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) ist jeder gem. Art. 24 DSGVO Verantwortliche verpflichtet, ein Verzeichnis zu führen, in dem er sämtliche Verarbeitungstätigkeiten dokumentiert, analysiert und begründet. Das gleiche gilt – allerdings in abgespeckter Form – nach Art. 30 Abs. 2 DSGVO für den Auftragsverarbeiter. Diese Pflicht trifft originär den Verantwortlichen und kann auch nicht auf den Datenschutzbeauftragten übertragen werden. Seine Befugnisse beschränken sich nach Art. 39 DSGVO auf eine unterstützende und beratende Funktion, was nicht ausschließt, ihn bei datenschutzrechtlichen Problemen im Rahmen der Erstellung des Verarbeitungsverzeichnisses heranzuziehen. Dass die originäre Zuständigkeit des Verantwortlichen nicht reiner Selbstzweck ist, sondern dass hierdurch bestimmte Zwecke verfolgt werden, soll im Folgenden aufgezeigt werden. 

Risikobewusstsein und Datenschutz durch Verfahren 

Was oberflächlich als bloßer Formalismus erscheint, hat bei genauerer Betrachtung einen tieferen Sinn, der sich aus der Konzeption der DSGVO als eine risikobasierte Verordnung ergibt. Der Verantwortliche ist weitgehend autonom zuständig für die Datenverarbeitung und muss sich gerade deshalb des Risikos einer Verletzung personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO bewusst sein. Durch das Erstellen eines Verzeichnisses der genannten Art wird der Verantwortliche in die Lage versetzt, seine Datenverarbeitungstätigkeiten zu reflektieren. Dies ist umso wichtiger, wenn man bedenkt, dass die Aufzeichnungspflicht des Art. 30 DSGVO die nach altem Recht geltende Meldepflicht ersetzt und dem Verantwortlichen dadurch eine weitgehende Eigenständigkeit eingeräumt wird. An die Stelle eines sehr bürokratischen „Datenschutzes durch Kontrolle“ tritt ein „Datenschutz durch Verfahren“, der die inhaltlichen Anforderungen der DSGVO verfahrensrechtlich absichert.  

Rechenschaftspflicht 

Ein weiterer Aspekt ist der durch die DSGVO neu begründete Accountability-Grundsatz (zu Deutsch: Rechenschaftspflicht) des Art. 5 Abs. 2 in Verbindung mit Art. 24 DSGVO. Hiernach wird die weitgehende Freiheit des Verantwortlichen von einer umfassenden Pflicht zur Rechtfertigung flankiert, nach welcher dieser die Rechtmäßigkeit seiner Verarbeitungstätigkeiten im Einzelfall nachweisen muss. Der Verantwortliche muss also stets nachweisen können, dass er im Einklang mit der DSGVO handelt. Nach EG 82 DSGVO dient das Verarbeitungsverzeichnis der Dokumentation eben dieser Rechenschaftspflicht. Ferner gewährleistet das Verzeichnis die Transparenz der Verarbeitungstätigkeiten, die nach Art. 5 Abs. 1 lit. a) DSGVO ebenfalls ein Grundpfeiler des europäischen Datenschutzrechts angesehen werden muss. 

Die Etablierung des Datenschutzes im Geschäftsleben 

Schließlich ist der Verantwortliche durch die bußgeldbewehrte Pflicht, ein Verarbeitungsverzeichnis zu führen, dazu gezwungen, sich mit datenschutzrechtlichen Fragestellungen auseinanderzusetzen. Dadurch wird angezeigt, dass Grundkenntnisse im Datenschutzrecht nun ebenso sehr zum Geschäftsleben gehören wie solche des Bürgerlichen Rechts und des Strafrechts. Zwar wird nicht verlangt, dass der einfache Betriebswirt nun zum Experten für datenschutzrechtliche Fragestellungen avanciert, dennoch wird erwartet, dass personenbezogene Daten von jedem sensibel gehandhabt werden.  

Fazit 

Der Datenschutz ist also in der Compliance-Kultur des allgemeinen Geschäftslebens angekommen. Und so werden summa summarum mit Art. 30 DSGVO vier Zwecke verfolgt: (1) Reflexion des Verantwortlichen über die von ihm zu verantwortenden Verarbeitungstätigkeiten (2) Datenschutz durch Verfahren (3) Gewährleistung der Rechenschaftspflicht sowie des Grundsatzes der Transparenz der Datenverarbeitung (4) Etablierung des Datenschutzes im allgemeinen Geschäftsleben.  

Wenn Sie Unterstützung bei der Führung Ihres Verzeichnisses von Verarbeitungstätigkeiten benötigen, stehen wir Ihnen gerne beratend zur Seite – wir freuen uns auf Ihre Kontaktanfrage