Verzeichnis der Verarbeitungstätigkeiten

Bereits der Name, „Verzeichnis der Verarbeitungstätigkeiten“, ist abschreckend. Der Begriff klingt nach Compliance, lästigen Pflichten und letztendlich nur Kosten. Artikel 30 der Datenschutz-Grundverordnung (DSGVO) schreibt tatsächlich vor, dass der Verantwortliche ein umfassendes Verzeichnis aller personenbezogener Datenverarbeitungstätigkeiten führt. Dieses Verzeichnis ist eines der zentralen Instrumente zur Umsetzung der Dokumentationspflichten und ermöglicht es den Aufsichtsbehörden, effektiv zu kontrollieren, ob Unternehmen ihren Pflichten nach der DSGVO nachkommen. Es ist davon auszugehen, dass die ungarische Aufsicht (NAIH) künftig bei Beschwerden von betroffenen Personen oder bei Kontrollmaßnahmen grundsätzlich die Vorlage des Verarbeitungsverzeichnisses fordern wird. Fehler bei der Erstellung dieses Verzeichnisses werden mit Geldbußen von bis zu zwei Prozent des Jahresumsatzes geahndet.


Endlich: eine Erleichterung für kleine und mittlere Unternehmen

Das – sagen viele – fehle nun wirklich wie ein Kropf, und sie sind ungehalten über so viel „bürokratische Schikane“. Der europäische Gesetzgeber muss diese Empfindlichkeiten geahnt haben: Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, müssen grundsätzlich nicht alle Verarbeitungstätigkeiten in einem Verzeichnis aufführen. Kleine und mittlere Unternehmen sind also von der Verpflichtung, ein Verzeichnis zu erstellen, ausgenommen.

Unternehmen meint im übrigen juristische und natürliche Personen, einschließlich Personalgesellschaften und Vereinigungen, die eine wirtschaftliche Tätigkeit ausüben. Das solle ihren besonderen Bedürfnissen und ihrer Bedeutung als (insbesondere beschäftigungspolitisches) Rückgrat der EU-Volkswirtschaft Rechnung tragen. Profaner drücken das vor allem kleine Unternehmen aus: Verzeichnisse dieser Art seien überzogen und bänden Personal, das man ohnehin nicht habe, …man müsse schließlich Geld verdienen. Die Befreiung von der Dokumentationspflicht war also mehr als willkommen.


Kein Genuss ohne Reue

Der EU-Gesetzgeber hebelt diese Privilegierung jedoch gleich wieder aus. Er befreit nicht alle Unternehmen und Einrichtungen mit einer Beschäftigungszahl unter 250 Mitarbeitern vorbehaltlos von der Verpflichtung, ein Verzeichnis zu erstellen. Die Unternehmen müssen weitere Anforderungen erfüllen: die Verarbeitung darf weder ein Risiko für die Rechte der betroffenen Personen bergen, noch regelmäßig erfolgen oder besonders sensible Datenkategorien (wie etwa Gesundheitsdaten oder biometrische Daten) betreffen.

Der Einsatz neuer Technologien erhöht in der Regel jedoch die Voraussetzungen für ein Risiko, und auch die Videoüberwachung ist ein klassisches Beispiel für eine risikogeneigte Tätigkeit. Wirklich leer läuft das Privileg für kleine und mittlere Unternehmen aber dann, weil bereits eine gewisse Regelmäßigkeit der Verarbeitungstätigkeit ein Verzeichnis auch „für die Kleinen“ zwingend macht. Ganz typische dauerhafte Standardverfahren in Unternehmen (wie beispielsweise Personalakten, Finanzbuchhaltung oder Kundendatenbank) erfolgen nämlich nicht nur gelegentlich.


Man sieht nur, was man weiß

Aber Hand aufs Herz, etwaige Risiken einer Verarbeitung lassen sich nur erkennen, wenn man sich wirklich einmal die Mühe macht, alle Datenströme im eigenen Unternehmen zu untersuchen. Die Datenschutz-Grundverordnung und mit ihr das ungarische Recht im sogennten Infotörvény schreiben unter anderem vor, in dem Verzeichnis von Verarbeitungstätigkeiten festzuhalten, welche konkreten Zwecke mit der jeweiligen Verarbeitung verfolgt werden, welche Daten und Personen betroffen sind, wer der Datenempfänger ist (eventuell im Ausland), wie lange die Daten gespeichert werden und welche technischen Schutzmaßnahmen getroffen wurden.

Wer sich diese Mühe macht oder besser machen muss, ist erstaunt, wie viele relevante Vorgänge es im eigenen Haus gibt. Allein im internen Bereich HR/Personal eines konventionellen Unternehmens finden sich leicht zwanzig, dreißig Vorgänge, im Zweifel eher mehr. Bei der Betrachtung auch der Kunden und Zulieferer werden es schnell hunderte verschiedener Datenströme, Listen, Sammlungen und dergleichen. …und wir sprechen hier nicht über einen Webshop oder gar eine Internetbank.


Der Zweck heiligt die Mittel

Um die Umsetzung der Datenschutz-Grundverordnung ist bereits eine ganze Industrie entstanden. Viele unterstützende Softwarepakete, die mittlerweile im Monatsrhythmus auf den Markt kommen, scheinen überzogen. Wirklich hilfreich sind allerdings Programme, welche die Erstellung des Verarbeitungsverzeichnisses erleichtern (GDPRoofed). Diese Instrumente haben unter anderem Analysetools, mit deren Hilfe sich beispielsweise Löschfristen besser überwachen oder Einwilligungen der Betroffenen verwalten lassen. Ist erst die gebotene Transparenz erzeugt und die Prozesse unter Kontrolle, hat die Erstellung des Verzeichnisses zumeist die heilsame Wirkung, dass auf unnötige Verarbeitungen zukünftig verzichtet wird.

Eine Auflistung der Speicherdauer führt schnell zu der Frage, ob man gewisse Daten wirklich solange braucht. Oft sind Daten so schnell veraltet, dass sie auch früher gelöscht werden könnten. Datenminimierung war letztlich auch eines der Anliegen der DSGVO. Das ungarische Recht schreibt außerdem vor, bei jeder einzelnen Verarbeitung den Rechtsgrund, das heisst ihre rechtliche Ermächtigung, zu bestimmen. Die Datenschutz-Grundverordnung ordnet das zwar nicht zwingend an, aber eine solche Analyse ist mehr als sinnvoll: Nur so versteht der Verarbeiter, welche Vorgänge überhaupt zulässig sind und holt im Zweifel Einwilligungen ein. Das deutsche Bundesdatenschutzgesetz sieht das im Übrigen auch vor.


Der kreative Ungar – oder wie man sich das Leben schwermacht

Das Verarbeitungsverzeichnis ist nach Anforderung der ungarischen Datenschutzbehörde zu übermitteln. Das ist ein Fortschritt, denn vor gar nicht langer Zeit, waren alle (!) Verarbeitungsvorgänge noch vorab bei der Behörde anzumelden. Dieser Pflicht sind die Unternehmen allerdings fast nie nachgekommen, was wenig überrascht. Stellte die Einführung der DSGVO im Mai 2018 hier also eine reale Erleichterung dar, entwickelte das ungarische Recht im Sommer umgehend eine neue bittere Pille für die Verarbeiter: Parallel zum Verarbeitungsverzeichnis – so ordnet das Infotörvény an – ist auch noch ein sogenanntes „elektronisches Tagebuch“ zu führen.

Ein solches Tagebuch scheint nun wirklich mehr als überflüssig, und bisher ist nicht klar, was dieses Erfordernis bezwecken soll und vor allem, wie es sich wirtschaftlich umsetzen lässt. Hier hat der kreative ungarische Gesetzgeber den Bogen wohl etwas überspannt. Ein schwacher Trost: es bleibt zu hoffen, dass die Datenschutzbehörde das elektronische Tagebuch nicht nur rechtlich, sondern auch wirtschaftlich vernünftig verortet und die Rechtsprechung diese ungarische Innovation verfassungskonform „korrigiert“. Noch besser wäre es jedoch, der ungarische Gesetzgeber schaffte dieses Tagebuch gleich wieder ab.


Der Autor ist deutscher und ungarischer Rechtsanwalt

marc-tell.madl@mpk-partners.com

Konversation

WEITERE AKTUELLE BEITRÄGE
Blue Fox The Bar präsentiert neues Cocktailmenü

Sommerlich frisch und ökologisch grün

Geschrieben von Katrin Holtz

Klimagipfel, Klimaproteste und Klimakiller – in diesem Sommer, so scheint es, geht am Thema Klima…

Lucky Chops live in Budapest

Blasmusik, die mitreißt

Geschrieben von Katrin Holtz

Obwohl Blasmusik ja allgemein als eher altbacken gilt, schafft es die US-amerikanische Musikgruppe…

VR Tours Budapest

Virtuelle Zeitreise durch die Geschichte der ungarischen Hauptstadt

Geschrieben von Michelle Dörner

Majestätisch prangt er über der ungarischen Hauptstadt: Der Palast auf dem Budaer Burgberg zählt…