Verfahrensverzeichnis – Warum ist es notwendig und wie kann es Dir helfen…?
Das Verfahrensverzeichnis heißt seit dem 25.Mai 2018 und mit der DSGVO Verzeichnis von Verarbeitungstätigkeiten und ist deshalb so wichtig, weil es Deine Fahrerlaubnis für die Datenautobahn ist. Wenn Du jetzt schmunzelst und denkst: „Wieso Fahrerlaubnis, brauche ich denn für die Datenverarbeitung eine Fahrerlaubnis, was soll denn der Quatsch, muss ich jetzt etwa noch eine Prüfung machen… das kann doch nicht Dein Ernst sein?“ Dann kann ich Dich erstmal beruhigen und Dir diese Angst nehmen, denn eine Prüfung wie bei einer Fahrerlaubnis für Deine Fahrzeugklasse brauchst Du nicht, also kannst Du Dir das Büffeln sparen.
Was aber für Dich wichtig ist, dass Du Dir darüber im Klaren bist und es Dir gut einprägst, dass Du es nicht mehr vergisst. Du musst Deine Berechtigung zur Verarbeitung personenbezogener Daten jederzeit nachweisen können. Immer wenn Du danach gefragt wirst. (Wer dazu berechtigt ist, dazu kommen wir später noch). Ja, denn grundsätzlich ist diese Datenverarbeitung erstmal verboten. Du siehst ein großes Schild mit fettgedruckter Schrift und darauf steht „STOP“, also „VERBOTEN“.
Das ist so, daran gibt es nichts zu rütteln und es wäre schlimm und der Untergang jeder digitalen Kommunikation und somit auch kein digitales Business mehr möglich, wenn das der Endstand wäre. Rechtlich heißt das genau „Verbot mit Erlaubnisvorbehalt“ Es gibt also eine Möglichkeit, einen Schlüssel, der genau passt, um diese Erlaubnis zu erhalten und das ist eben dieses Verzeichnis von Verarbeitungstätigkeiten, weil es wie bereits mitgeteilt, das Verfahrensverzeichnis abgelöst hat. Es gibt also jetzt kein Verfahrensverzeichnis mehr.
Das hat Vorteile aber natürlich auch Nachteile, so wie alles im Leben, so ist es auch hier. Wenn Du mit dem Thema Datenschutz bisher noch nicht so viel am Hut hattest, also damit nicht vertraut bist oder warst, dann weißt Du vermutlich gar nicht, was denn das Verfahrensverzeichnis genau war und was sich seit der DSGVO geändert hat. Ist es nur ein neuer Name und sonst nichts, oder gibt es tatsächlich Veränderungen, die diesen neuen Namen rechtfertigen, weil sich der Sinn genauso verändert hat? Wie Du Dir vielleicht denken kannst oder vielleicht auch nicht, je nach Deiner Vorkenntnis, gibt es schon treffende Unterschiede.
Zuerst einmal zum Verfahrensverzeichnis. Das Verfahrensverzeichnis war eine gesetzliche Anforderung des BDSG, die bis zum 25.Mai 2018 rechtsgültig und verbindlich war. Sie musste auch von Nicht-öffentlichen Stellen wie Unternehmen eingehalten werden. „Was“, wirst Du jetzt vermutlich denken, „schon vor der DSGVO gab es ein Verzeichnis, das eingehalten werden musste…
…Warum haben es dann so wenige Unternehmer oder Dienstleister gehabt?“ Interessant… Aber lass mich Dir weiter erklären, was das Verfahrensverzeichnis noch beinhaltete. Auch hier gab es schon die Verantwortliche Stelle, Datenschutzbeauftragter, wenn notwendig, Zweck für die Verarbeitung personenbezogener Daten, TOMs, also Technisch organisatorische Maßnahmen zur Datensicherheit, Regelfristen für die Löschung der Daten und sogar die (geplante) Datenübermittlung in Drittstaaten fehlte nicht.
Nicht zu vergessen, eine Liste welche Personen zugriffsberechtigt sind. Es gab sogar eine Meldepflicht. Jeder Betroffene (auch dieser Begriff ist nicht neu) hatte das Recht bei Bedarf Einblick in dieses Verfahrensverzeichnis zu erhalten. Das alles beruhte auf §9 BDSG, das seit dem 25.Mai 2018 durch die DSGVO ersetzt wurde. Es gibt jetzt zwar noch ein BDSG-neu, aber das ist auch der DSGVO untergeordnet. Ich könnte hier noch weitermachen, aber das Verfahrensverzeichnis ist Geschichte und deshalb kommen wir jetzt zum Verzeichnis von Verarbeitungstätigkeiten.
Der Name Verfahren ist nicht mehr enthalten, es ist also kein Verfahrensverzeichnis mehr, aber ähnlich aufgebaut und es gibt einige Besonderheiten, die neu sind. Bestimmt erinnerst Du dich, dass ich Dir gerade dargelegt habe, dass viele Unternehmer oder Dienstleister… ich wage zu behaupten, (weil es auch bewiesene Tatsache ist) fast alle Nicht-öffentlichen Stellen wie Unternehmer oder Dienstleister, die eigentlich dazu verpflichtet waren, haben kein Verfahrensverzeichnis geführt, denn es wurde ja kaum verlangt und es gab keine teuren Bußgelder, es tat somit auch nicht weh.
Das hat sich allerdings jetzt beim Verzeichnis von Verarbeitungstätigkeiten gravierend geändert. Es gibt seit dem 25. Mai 2018 mit der DSGVO jetzt das bereits genannte Verbot mit Erlaubnisvorbehalt und diese Erlaubnis muss erst erreicht und auch sauber dokumentiert werden. Wie…?, richtig, die Fahrerlaubnis. Weil die Fahrerlaubnis auch nur für die passende Fahrzeugklasse rechtsgültig ist, so auch die Verarbeitung personenbezogener Daten nur für den jeweiligen Zweck. Du darfst also nicht für jeden Zweck, zu dem Du gerade Lust hast die Daten natürlicher Personen verarbeiten. Dazu gehört das Erheben und das Weiterverarbeiten, auch dynamische IP-Adressen, die Du beim Besuch deiner Webseite erhebst, ob bewusst oder unbewusst. Das Verzeichnis von Verarbeitungstätigkeiten musst Du nach Art. 30 DSGVO also führen, ob Du willst oder nicht, da gibt es keine Ausrede, denn auch hier gilt „Unwissenheit schützt vor Strafe nicht“ Die Bußgelder sind sehr teuer und es wird leider auch Kleinunternehmer treffen.
Wiege Dich nicht in falscher Sicherheit, denn dass es jetzt noch scheinbar ruhig ist, hat dabei nichts zu sagen, es ist vielmehr die Ruhe vor dem Sturm. Das Verzeichnis von Verarbeitungstätigkeiten musst Du aber nicht mehr jedem Betroffenen zeigen, dafür aber der Aufsichtsbehörde, wenn sie es sehen will, beispielsweise im Fall einer Abmahnung.
Auch bei einer unberechtigten Abmahnung kannst Du somit ganz schnell in ein Problem laufen, wenn Du dieses Verzeichnis von Verarbeitungstätigkeiten nicht hast, oder es nicht auf dem aktuellen Stand ist. Neu ist jetzt auch, dass sogar jeder Auftragsverarbeiter, der mit dem Verantwortlichen einen Auftragsverarbeitungsauftrag hat, ein Verzeichnis von Verarbeitungstätigkeiten führen muss. Dieses ist etwas eingeschränkt und nicht so umfangreich wie das Verzeichnis des Verantwortlichen, aber es muss trotzdem genau geführt werden. Das war beim Verfahrensverzeichnis bisher nicht so, denn ein Auftragsdatenverarbeiter musste das Verfahrensverzeichnis nicht führen, aber jetzt ist jeder dazu verpflichtet. Egal ob Du Verantwortlicher oder Auftragsverarbeiter bist. Allerdings ist das Erstellen des Verzeichnisses nicht so einfach und sehr komplex. Viele Unternehmer oder Dienstleister haben es vielleicht auch deshalb noch nicht gemacht. Das ist aber sehr riskant und sie fahren somit ohne Fahrerlaubnis auf der Datenautobahn. Es gibt aber auch einen Vorteil dabei. Sieh es nicht nur als lästige Pflicht, sondern auch als Chance, um Dir einen Marktvorteil zu verschaffen. Deine Kunden achten immer mehr darauf, dass Du mit ihren personenbezogenen Daten auch verantwortlich umgehst. Das schafft Vertrauen, und verbessert die Geschäftsbeziehung.
Ein weiterer Vorteil ist, dass Du Dir einen genauen Überblick, eine Transparenz durch die Dokumentation verschaffst. Das Thema Datenschutz ist sehr komplex, denn sogar Rechtsanwälte und Techniker sind hier schnell überfordert. Doch deshalb nichts zu tun, damit kann sich niemand mehr herausreden.
Auch wenn Du keinen Datenschutzbeauftragten brauchst, bist Du verpflichtet alle Datenschutz Themen richtig umzusetzen, sodass jederzeit eine Aufsichtsbehörde bei Dir anklopfen kann, ohne dass Du dann weiche Knie bekommst, weil Du Deine Fahrerlaubnis nicht vorzeigen kannst.
Als Datenschutz-Consultant und Datenschutzberater biete ich Dir meine Datenschutzberatung mit Herz, die individuell ist und helfe Dir, sodass Du Dir selbst helfen kannst. Dabei profitierst Du von meinem Netzwerk aus Rechtsanwälten und Spezialisten aus dem Datenschutz und IT-Sicherheitsumfeld. Ich habe die Fachkunde als Datenschutzbeauftragter (IHK) und bilde mich regelmäßig weiter, damit ich als Experte up to date bleibe und Dir den besten Datenschutzberatung-Service anbieten kann.
Ich freue mich bald mit Dir persönlich zu sprechen, damit wir gemeinsam die notwendigen Schritte gehen können.
Deshalb handle jetzt und buche hier Deinen Termin😉