Alle Verantwortlichen, die personenbezogene Daten verarbeiten, müssen laut DSGVO ihre Verarbeitungsvorgänge in einem „Verzeichnis der Verarbeitungstätigkeit“, auch Verarbeitungsverzeichnis genannt, festhalten. Hier wird unter anderem dokumentiert, welche Arten von Kundendaten verarbeitet und wie lange diese gespeichert werden sowie der Zweck der Verarbeitung.
Vor Einführung der DSGVO war es Pflicht ein sogenanntes Verfahrensverzeichnis öffentlich zu führen. Allerdings galt dies nur für größere Unternehmen. Das neu eingeführte Verarbeitungsverzeichnis ist nun aber von fast jedem Unternehmen oder jeder Organisation zu führen, welches personenbezogene Daten verarbeitet. Das Verarbeitungsverzeichnis muss aber nicht mehr öffentlich geführt werden, sondern wird erst auf Anfrage herausgegeben. Ausnahmen bilden kleinere Unternehmen mit weniger als 250 Mitarbeiter:innen, bei denen die Datenverarbeitung kein Risiko für die Rechte der Betroffenen birgt oder die Datenverarbeitung nur gelegentlich stattfindet. Da dies allerdings schwer nachzuvollziehen ist, ist es sinnvoll, in jedem Fall ein Verarbeitungsverzeichnis zu führen, um auf der sicheren Seite zu sein.
Das Verarbeitungsverzeichnis kommt zum Einsatz, wenn die Aufsichtsbehörde eine Prüfung durchführt oder einer Beschwerde nachgeht. Es muss nicht zwingend von Datenschutzbeauftragten erstellt werden, würde sich aber auf Grund der Expertise dennoch anbieten. Verfügt ein Unternehmen nicht über interne Datenschutzbeauftragte, können diese auch extern zu Rate gezogen werden.
Unsere Datenschutzbeauftragte unterstützen Sie bei der Umsetzung datenschutzrechtlicher Vorschriften und sind Ihre kompetenten Ansprechpartner bei allen Fragen rund um Datenschutz & Datensicherheit.
Die DSGVO wurde am 14. April 2016 als Verordnung des Europäischen Parlaments und des Rates verabschiedet, trat daraufhin am 24. Mai 2016 in Kraft und soll der Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten dienen. Die DSGVO kommt seit dem 25. Mai 2018 zur Anwendung und soll so einerseits den Verbraucherschutz stärken und andererseits den innereuropäischen Verkehr personenbezogener Daten über die Landesgrenzen der Mitgliedsstaaten hinweg genauso ermöglich, wie der Verkehr solcher Daten innerhalb eines Mitgliedsstaats.
Da es sich bei der DSGVO um eine Europäische Verordnung handelt, gilt sie unmittelbar in allen Mitgliedsstaaten, d.h. die DSGVO muss nicht zuerst in nationales Recht umgesetzt werden. In der DSGVO sind aber Öffnungsklauseln enthalten, die den nationalen Gesetzgeber dazu ermächtigt, die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Der deutsche Gesetzgeber musste also, wie die anderen nationalen Gesetzgeber, neue nationale Gesetze erlassen, um die Vorschriften aus der DSGVO mit dem bestehenden deutschen Recht bestmöglich in Einklang bringen zu könenn. Das nationale Gesetz zum Datenschutz in Deutschland heißt Bundesdatenschutzgesetz-neu.