30. Januar 2017

Was ist ein Verzeichnis von Verarbeitungen iSd Art 30 DSGVO?

Was ist ein Verzeichnis von Verarbeitungstätigkeiten? Welche Sanktionen gibt es, wenn es nicht geführt wird?

Gemäß Art. 30 DSGVO ist ein Verzeichnis von Verarbeitungen (VV) vom Verantwortlichen zu führen.

Art. 30 DSGVO legt fest, dass jeder "Verantwortliche" (= Auftraggeber iS des DSG) ein "Verzeichnis von Verarbeitungstätigkeiten" zu führen hat.

Tut er dies nicht, obwohl er dazu verpflichtet ist, dann droht eine Strafe von 2 % des Vorjahresumsatzes bzw. EUR 10.000.000,-- (Art. 83 (4) DSGVO)

Was ist in das Verzeichnis aufzunehmen? Jedes Computerprogramm bzw. Programm auf einem Mobiltelefon, das vom Unternehmen verwendet wird, und in dem personenbezogene Daten verwendet werden? Jede Applikation, die sich auf personenbezogene Daten (z.B. Emails) auswirkt, wie ein Virenscanner oder ein Spam-Filter? Oder ist es tatsächlich ein Vorgang, der abzubilden ist?

Prämisse:
Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten verwenden.

Wie kommt man zu dieser Schlussfolgerung?

Der Begriff "Verarbeitungstätigkeiten" ist in der DSGVO nicht definiert. Der englische Text enthält den Begriff "records of processing activities".

Das deutsche BDSG kennt ein sog. Verfahrensverzeichnis. Ein "Verfahren" ist ein Bündel von Verarbeitungen, die über eine vom Verantwortlichen definierte Zweckbestimmung verbunden sind (Begründung zu Art. 18 RL 95/46/EG Datenschutzrichtlinie).

Nach dem österreichischen DSG sind sog. Datenanwendungen uU meldepflichtig und die Formulare des DVR oder auch die Vorlagen der StMV 2004 sind vielen bekannt.

Ausgehend davon, dass Daten in "Datenanwendungen" (siehe z.B. § 4 Z 7 DSG) verarbeitet werden, kann man den Schluss ziehen, dass nach österreichischer Sichtweise es sich um ein Verzeichnis von Datenanwendungen handelt.

Auf der Seite der Datenschutzbehörde findet man dazu:

"Eine Datenanwendung dient einem bestimmten Zweck und ist dabei nicht notwendigerweise identisch mit einem bestimmten Programm. Es ist zum Beispiel möglich, eine Datenanwendung "Personalverwaltung" zu führen. Es ist dabei [...] unbedeutend, ob das Unternehmen ein Softwarepaket für die Personalverwaltung benützt oder getrennte Programme für Lohnbuchhaltung und Zeitverwaltung einsetzt."

In der DSGVO ist in Art 4 Z 2 eine Definition von "Verarbeitung" enthalten:

Im Sinne dieser Verordnung bezeichnet der Ausdruck

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Fazit:
Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten verwenden.

Tags: DSGVO, DSB, Verzeichnis, VV, Verarbeitungen