Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens – AP) hat gestern bekannt gegeben, dass mit einer Überprüfung im privaten Sektor begonnen wird. In zehn unterschiedlichen Branchen werden dreißig verschiedene Organisationen gebeten, ihre Verarbeitungsverzeichnisse vorzulegen.
Die Behörde betrachtet es als einen wichtigen Schritt in Richtung der Erfüllung der Vorschriften der DSGVO, wenn ein Verarbeitungsverzeichnis geführt wird. Im Verarbeitungsverzeichnis muss u.a. beschrieben werden, welche personenbezogenen Daten verarbeitet werden, in welcher Weise dies geschieht, wer Zugang zu diesen Daten hat und wie diese Daten gesichert sind.
In vielen Fällen ist es für Organisationen übrigens Pflicht, ein Verarbeitungsverzeichnis zu führen. Der Text der DSGVO ist in diesem Punkt etwas irreführend. Es hat nämlich den Anschein, als ob diese Verpflichtung nur für Organisationen mit mehr als 250 Mitarbeitern gelten würde. Viele Organisationen mit weniger als 250 Mitarbeitern müssen jedoch ebenfalls der Verzeichnispflicht entsprechen, da das Verarbeitungsverzeichnis auch in den folgenden Fällen vorgeschrieben ist:
- strukturelle Verarbeitung personenbezogener Daten; eine solche liegt vor, wenn Personalakten geführt werden, wenn eine Kundendatenbank angelegt wurde oder wenn es z.B. Kameraüberwachung gibt;
- die Verarbeitung personenbezogener Daten beinhaltet ein hohes Datenschutzrisiko; hierbei ist beispielsweise an die umfassende Verarbeitung finanzieller Daten zu denken;
- es werden besondere personenbezogene Daten verarbeitet, wie Gesundheitsdaten, biometrische Daten oder Daten über Herkunft oder Religion.Haben Sie Fragen zum Führen eines Verarbeitungsverzeichnisses? Die spezialisierten Anwälte vom Team Privacy helfen Ihnen gerne weiter!
- Das Verarbeitungsverzeichnis gilt also für nahezu die meisten Organisationen, sowohl im öffentlichen Sektor als auch für gewerbliche Unternehmen.
