“Verzeichnis” – das hört sich nach Bürokratie und Arbeit an. Und was bitte bedeutet der seltsame Begriff “Verarbeitungstätigkeiten”? In jedem Fall sollten Sie wissen: Unternehmen droht Ärger, wenn sie kein solches Verzeichnis haben. Also helfen Sie mit, es zu erstellen, wenn man Sie darum bittet.
Neue Regeln ab 25. Mai 2018
Unternehmen müssen ab 25. Mai 2018 die Europäische Datenschutz-Grundverordnung (DSGVO) beachten. Sie ist ein EU-Gesetz. Das hat sich herumgesprochen. Weniger bekannt ist den meisten, dass die DSGVO neue Formalien mit sich bringt. Kernstück ist dabei das “Verzeichnis von Verarbeitungstätigkeiten”.
Das Ziel: Überblick
Dieses Verzeichnis muss in jedem Unternehmen vorhanden sein. Es soll einen Überblick schaffen, mit welchen personenbezogenen Daten das Unternehmen umgeht und was es mit den Daten tut. Dabei wird es oft um Daten von Kunden gehen. Aber auch Daten von Arbeitnehmern sind erfasst. Ebenso Daten von Lieferanten, wenn dabei Namen von Personen auftauchen.
Pflicht zur Vorlage des Verzeichnisses
Die Datenschutzaufsicht kann jederzeit verlangen, dass ihr ein Unternehmen das Verzeichnis vorlegt. Ansonsten droht ein
Bußgeld. Und wenn ein Betroffener Auskunft über seine Daten verlangt, hilft das Verzeichnis dabei, diese Daten zu finden. Es ist also sinnvoll, dieses Verzeichnis sorgfältig zu erstellen. Ab und zu muss es auch aktualisiert werden.
Formular mit oft banalen Antworten
Nehmen Sie es deshalb ernst, wenn Sie mithelfen sollen, für eine gute Qualität des Verzeichnisses zu sorgen! Normalerweise bedeutet das, dass Sie ein Formular ausfüllen müssen, sei es elektronisch oder auf Papier. Dort wird zum Beispiel gefragt
– welche personenbezogenen Daten Sie am Arbeitsplatz verarbeiten,
– zu welchem Zweck Sie das tun und
– wie lange die Daten aufbewahrt werden.
Die Antworten darauf wirken manchmal recht banal. Beispielsweise ist jedem klar, dass eine Versandabteilung Kundendaten verwendet, um Bestellungen zu bearbeiten.
Aber das muss eben festgehalten werden. Im Übrigen zeigt das Beispiel, dass das Formular oft schnell ausgefüllt ist. Der Aufwand hält sich also meistens in Grenzen.
Zögern Sie nicht lange!
Lassen Sie entsprechende Anfragen nicht lange liegen! Denn alle Meldungen aus dem Unternehmen zu einem Verzeichnis zusammenzuführen, das braucht durchaus etwas Zeit. Und bis 25. Mai 2018 muss das Verzeichnis fix und fertig vorliegen. Sonst kann es für das Unternehmen Ärger geben. “Verarbeitungen auf Papier” Eines wundert viele: In das Verzeichnis müssen auch “Verarbeitungen” aufgenommen werden, bei denen keine EDV zum Einsatz kommt. Klar: Diese Fälle werden seltener. Aber da und dort gibt es immer noch Hängeregistraturen, die alphabetisch nach den Namen geordnet sind, um nur ein typisches Beispiel zu nennen. Auch das ist dann eine “Verarbeitung”, die in das Verzeichnis muss. Dasselbe würde natürlich für Karteikarten gelten, die nach Namen geordnet sind. Überflüssige Datenträger entsorgen! Eine solche Kartei steht zwar noch herum, wird aber gar nicht mehr benutzt? Das hilft nichts sie muss trotzdem in das Verzeichnis. Vielleicht ein guter Anlass, die Kartei endlich einmal zu entsorgen. Doch fragen Sie bitte vorher genau nach, ob sie wirklich weg kann oder aus irgendwelchen Gründen doch noch aufgehoben werden muss. Das kann durchaus vorkommen, etwa weil die Steuergesetze das vorschreiben.
Kein Einsichtsrecht für Betroffene
Dürfen eigentlich Betroffene Einsicht in das Verzeichnis nehmen? Dürfte also beispielsweise ein Kunde verlangen, dass er hineinschauen darf? Nein. So etwas gab es früher einmal. Jetzt ist das nicht mehr vorgesehen.
Das Verzeichnis ist eine rein interne Angelegenheit.
Aufbewahrung des Verzeichnisses
Wo das Verzeichnis geführt wird, kann das Unternehmen selbst festlegen. Oft liegt es beim Datenschutzbeauftragten. Eine Aufbewahrung
durch eine andere Stelle ist aber auch möglich. Für den Datenschutzbeauftragten ist das Verzeichnis wichtig, weil er einen Überblick haben muss, wo personenbezogene Daten liegen.
Zulässige Sprachen: Deutsch und Englisch
Normalerweise ist das Verzeichnis in deutscher Sprache zu führen. Die Aufsichtsbehörden für den Datenschutz akzeptieren es aber auch,
wenn Englisch verwendet wird. Hier hat das Unternehmen also die Wahl. Manche Unternehmen legen dabei einen Katalog der englischen Begriffe fest, die verwendet werden dürfen. Das hat dann gute Gründe. Denn wenn eine Aufsichtsbehörde den Inhalt des Verzeichnisses sprachlich nicht versteht, kann sie eine Übersetzung fordern. Sprachliche Originalität ist deshalb hier fehl am Platz.