Di, 31.07.2018 14:00

Neusiedl am See (pts033/31.07.2018/14:00) - Verzeichnisse von Verarbeitungstätigkeiten (VVT) nach DSGVO sind seit 25. Mai 2018 für den Großteil aller Unternehmen verpflichtend. Alte Verzeichnisse nach dem DSG 2000 sind zu überarbeiten und an die neue DSGVO anzupassen. Neue Verzeichnisse sind zu erstellen. Dieser Artikel soll Ihnen helfen zu ermitteln, ob auch Sie ein VVT erstellen müssen oder nicht!

Inhalte

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen?

Wer muss kein VVT erstellen?

Wer ist im Unternehmen für das Verzeichnis verantwortlich?

Welche Folgen hat es, wenn kein VVT erstellt wird?

Beispiele aus der Praxis

Resümee: Jeder Unternehmer sollte ein VVT erstellen

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen?

Das Gesetz bindet die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen daran, ob eine Verarbeitung von Personendaten stattfindet. Eine Verarbeitung findet dann statt, wenn personenbezogene Daten manuell oder automatisch verarbeitet werden. Dies ist in einem VVT zu dokumentieren.

In der DSGVO werden die Tätigkeiten umfassend beschrieben:

[...] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; [...]

DSGVO Artikel 4/2

Aufgrund dieser Beschreibung ist der Großteil von Unternehmen verpflichtet ein Verzeichnis zu führen, auch dann, wenn keine automatische Verarbeitung erfolgt. Vereine, Einzelkaufleute und Handwerker sind hiervon ebenfalls betroffen. Auch Auftragsdatenverarbeiter müssen ein Verzeichnis führen, wenn sie einen Auftrag haben, bei dem Kundendaten analysiert werden.

Wer muss kein VVT erstellen?

Ein Verzeichnis zu führen, trifft auf die meisten Unternehmen zu. In Österreich unterlagen bis zum Inkrafttreten der DSGVO schriftliche Aufzeichnungen meist noch den Landesdatenschutzgesetzen der einzelnen Bundesländer ab den späten 80er Jahren. In diesem Punkt greift die DSGVO ebenfalls ein, da die Ablage in Form von Ablagesystemen eine Verzeichnisführung fordert, auch wenn die Verarbeitung nicht automatisch erfolgt.

[...] es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

DSGVO Artikel 30/5

Während die ersten vier Kriterien

* Weniger als 250 Mitarbeiter

* Risiko für die Rechte von Betroffenen

* Verarbeitung besonderer Datenkategorien (Gewerkschaft, Religion, Besondere Bedürfnisse ...)

* Verarbeitung von Strafrechtlichen Daten

* Verarbeitung "gelegentlich"

bei vielen Unternehmen zutreffen können, werden nur die wenigsten gelegentlich personenbezogene Daten verarbeiten. Da es zur DSGVO noch keine offizielle Auslegungen in Form von Gerichtsentscheiden zu "Gelegentlich" gibt, ist davon auszugehen, dass der Begriff sehr sehr weit gefasst werden muss.

Wer ist im Unternehmen für das Verzeichnis Verantwortlicher?

Im Unternehmen ist laut DSGVO der Verantwortliche verpflichtet, das Verfahrensverzeichnis aufzustellen und zu pflegen. Verantwortlicher ist beim Einzelunternehmer z.B. der Inhaber oder aber bei einer GmbH der Vertretungsberechtigte, also z.B. der Geschäftsführer. In der Praxis ist häufig ein Mitarbeiter beauftragt das Verzeichnis zu erstellen und zu führen, wenngleich die Verantwortung bei dem Verantwortlichen verbleibt. Der Verantwortliche ist es auch, der das VVT der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss.

Welche Folgen hat es, wenn kein VVT erstellt wird?

Die Folgen, wenn kein aktuelles VVT auf Anfrage oder Überprüfung der Behörde vorgelegt werden kann, sind immens. So können Bußgelder in Höhe von 20.000.000 EUR oder bis zu 4% des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. (DSGVO Artikel 83/4). Das sind sehr hohe Strafen im Verhältnis zu einer recht einfachen Erstellung des VVT. Inwieweit die Behörde Strafen ausstellt, ist noch unklar, sehr wahrscheinlich scheint jedoch, dass eine Abmahnung nur in Frage kommt, wenn die Hausaufgaben in Form der Erstellung des VVT gemacht wurden.

Resümee: Jeder Unternehmer sollte ein Verfahrensverzeichnis erstellen!

Die gesetzliche Definition ist sehr weitreichend und schließt fast alle Unternehmen ein. Auch Unternehmer die nicht personenbezogene Daten verarbeiten könnten in diese Verpflichtung hineinfallen. Die klare Empfehlung lautet, erstellen Sie Ihr Verarbeitungsverzeichnis!

Die Bußgelder sind zu hoch und es ist nicht abzusehen inwieweit Ihre Konkurrenz oder die Aufsichtsbehörden von Kontrollen Gebrauch machen werden.

