Ich hatte in meinem letzten Artikel zum Thema DSGVO in der Anwaltskanzlei angekündigt, auf die Notwendigkeit der Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis oder kurz auch VVT genannt) näher einzugehen.
Wer sich bisher mit dem BDSG beschäftigt hat, kennt noch die sogenannten „Verfahrensverzeichnisse „. Soweit Sie diese geführt haben, können Sie diese gerne als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten nehmen und letzteres nur anpassen.
Lassen Sie mich bitte zuerst darauf eingehen, ob in einer Anwaltskanzlei ein Verzeichnis von Verarbeitungstätigkeiten geführt werden muss.
Maßgeblich ist Art. 30 Abs. 1 DSGVO. Abs. 2 können wir erst einmal außer Betracht lassen, da dieser die Vorschriften für den Auftragsverarbeiter enthält.
1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Wie das Verzeichnis zu führen ist, ergibt sich aus Abs. 3
3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
Die Pflicht zur Vorlage auf Anforderung der Aufsichtsbehörde ergibt sich aus Abs. 4 in Verbindung mit Artikel 5 Abs. 2 DSGVO (Rechenschaftspflicht)
Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
Ausnahmen von der Führungspflicht
Art. 30 Abs. 5 DSGVO enthält die entsprechenden Ausnahmen
Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Kleinstunternehmen und KMU
Nun könnte man auf den Gedanken kommen, dass in Kanzleien mit weniger als 250 Mitarbeitern ein solches Verzeichnis nicht geführt werden müsste.
Wie immer, sollte man bei der Bearbeitung die Erwägungsgründe heranziehen. Maßgeblich für die Frage der Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen ist Erwägungsgrund 13. Bezüglich Kleinstunternehmen und KMU wird auf die Definition von „Kleinstunternehmen sowie kleine und mittlere Unternehmen „ in Art. 2 des Anhangs zur Empfehlung 2003/361/EG verwiesen.
Diese lautet:
“Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen
(1) Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.
(2) Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt.
(3) Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet.”
Sie werden mir zustimmen, dass danach eine Vielzahl von Anwaltskanzleien zur Führung des Verzeichnisses nach Art. 30 DS GVO nicht verpflichtet wären.
Diese Ausschliesungsgründe gelten jedoch nicht bei
Risiko für Rechte und Freiheit
Risiko für die Rechte und Freiheiten der betroffenen Person ist ein weites Thema.
Aber auch dieser Punkt wird für Anwaltskanzleien nicht maßgeblich sein.
Nur gelegentliche Verarbeitung
Hier kommen wir der Sache schon näher. Soweit Mandatsakten geführt werden, werden Daten des Mandanten und Daten Dritter verarbeitet
insoweit kann nicht von einer gelegentlichen Verarbeitung gesprochen werden, sodass bereits aus diesem Grunde das Verzeichnis in einer Anwaltskanzlei zu führen ist.
Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO
1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschafts”zugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.”.
Zeigen Sie mir eine Kanzlei, in der keine Gesundheitsdaten oder Daten religiöser Überzeugungen verarbeitet werden. Bereits aus der Kennzeichnung zur Abführung der Kirchensteuer lässt sich eine religiöse Überzeugung herleiten.
Fazit: in einer Anwaltskanzlei ist grundsätzlich das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 die DSGVO zu führen.
Das Verarbeitungsverzeichnis
Nach dem dieses geklärt ist, können wir zum praktischen Teil übergehen.
Art. 30 Abs. 1 Satz 2 lit. a) bis g) DSGVO enthält die eindeutigen Vorgaben, wie das Verzeichnis zu führen ist.
Der Gesetzgeber hat sie mit diesen Anforderungen nicht alleine gelassen.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder DSK (ein Gremium das sich mit aktuellen Fragen des Datenschutzes in Deutschland befasst und zu diesen Stellung nimmt) gibt grundsätzlich entsprechende Hinweise. Diese Konferenz besteht aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht.
Die Informationen der DSK finden Sie immer auf der Seite des bayerischen Landesamts für Datenschutzaufsicht (BayLDS)
Zurzeit finden Sie dort Hinweise der DSK zum
- Verzeichnis von Verarbeitungstätigkeiten, welches zwar sehr umfangreich ist aber keine Fragen offen lässt und natürlich
- ein Muster zum Verarbeitungsverzeichnis für verantwortliche Stellen.
Kommen wir kurz zu dem Muster des Verzeichnisses von Verarbeitungstätigkeiten.
Aus praktischer Sicht würde ich die Angaben
- zum Verantwortlichen,
- zum Vertreter des Verantwortlichen und
- zum Datenschutzbeauftragten
als Vorblatt für alle Verarbeitungstätigkeiten einmal ausfüllen.
Als dann würde ich mit Blatt 2 des Musters (Verarbeitungstätigkeit) beginnen, da die Angaben zum Verantwortlichen, zum Vertreter des Verantwortlichen zum Datenschutzbeauftragten jeweils gleich bleiben sollten. Letzteres sollte zu jeder Verarbeitungstätigkeit ausgefüllt werden.
Wenn Sie sich einmal die DSK-Hinweise zu Ziffer 6.2 ansehen, werden Sie feststellen, dass die DSK eine Vielzahl von Beispielen für Verarbeitungstätigkeiten in einem Unternehmen aufgeführt hat. Davon wird es auch in ihrer Kanzlei einige geben wie zum Beispiel Personalaktenführung, Arbeitszeiterfassung, Urlaubsdatei. etc. Hinzu kommen natürlich die in einer Kanzlei spezifisch anfallenden Verarbeitungstätigkeiten.
Der einfachste Weg, diese festzustellen ist es, ein Organigramm der Kanzlei zu erstellen und hieraus die Verarbeitungstätigkeiten zu ermitteln.
Vielleicht hilft Ihnen auch die Prozessbeschreibung aus einem meiner Artikel.
Die TOM
Probleme bereiten zuweilen die Angaben zu Art. 30 Abs. 1 Satz 2 lit. g DSGVO, also Angaben zu technischen und organisatorischen Maßnahmen (sogenannte TOM)
Diese werden Gegenstand eines weiteren Artikels sein.
Wie immer, wenn Sie Probleme zu diesem Thema haben, können Sie mich gerne ansprechen. Hierfür steht Ihnen auch mein Kontaktformular zur Verfügung.
Der Beitrag DSGVO in der Anwaltskanzlei (Verzeichnis von Verarbeitungstätigkeiten) erschien zuerst auf Organisationsberatung Treysse.