Die Datenschutz-Grundverordnung (DSGVO) setzt die Tradition des Verfahrensverzeichnisses in abgeänderter Form fort. Bei diesem Verzeichnis handelt es sich - vereinfacht gesagt - um eine Beschreibung sämtlicher Verfahren im Unternehmen, mit denen personenbezogene Daten verarbeitet werden. Das Bundesdatenschutzgesetz (BDSG) spricht in § 4g Abs. 2 BDSG von einer „Übersicht“, die dem betrieblichen Datenschutzbeauftragten zur Verfügung gestellt wird. Im Detail gibt es zwei Arten von solchen Übersichten - allgemein Verfahrensverzeichnisse genannt - das interne und das öffentliche Verfahrensverzeichnis.

Erstellt und gepflegt werden müssen diese Verzeichnisse, wenn bei „Verfahren automatisierter Verarbeitungen“ zum Einsatz kommen - also beispielsweise das Arbeiten mit der Praxisverwaltungssoftware. Verantwortlich hierfür ist der Unternehmensinhaber - und zwar unabhängig davon, ob ein Datenschutzbeauftragter bestellt sein muss oder nicht.

Lange Rede - kurzer Sinn: Die Erstellung und Pflege dieser Verzeichnisse war und ist aufwändig. Leicht kommen in einer Tierarztpraxis 30 - 40 solcher Verfahrenstätigkeiten zusammen. Und im Endeffekt wird der Aufwand vordergründig nur dafür betrieben, dass diese Verzeichnisse auf Anfrage durch die Aufsichtsbehörde oder durch eine interessierte Person vorgelegt werden können. Und diese Anfragen erfolgten in der Vergangenheit: nie.

Entsprechend häufig sind die Verzeichnisse in der Realität vorzufinden…

DSGVO Verzeichnis von Verarbeitungstätigkeiten mit Ausnahme - und Ausnahmen von der Ausnahme

Auch die DSGVO fordert in Art. 30 die Erstellung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten. Allerdings hat der Verordnungsgeber den übermäßigen Aufwand gerade für KMU berücksichtigt und Unternehmen mit bis zu 250 Mitarbeitern von der Pflicht zu Erstellung befreit (Art. 30 Abs. 5 DSGVO)…
… um über drei Rückausnahmen so ziemlich alle dieser Unternehmen mit weniger als 250 Mitarbeitern gleich wieder in die Pflicht zur Erstellung zu nehmen. Ursächlich hierfür sind in erster Linie die beiden ersten Rückausnahmen „…die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen…“ bzw. „….die Verarbeitung erfolgt nicht nur gelegentlich…“.

Schon wenn eine der Rückausnahmen greift, entsteht die Pflicht der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten - und das wird fast immer der Fall sein, je nachdem, wie man „ein Risiko“ und „gelegentlich“ definiert.

Der Sieg der Interpretation oder: Schweigen ist Silber - Reden wäre Gold

Es ist schwer vorstellbar, dass der Verordnungsgeber dieses Szenario herbeiführen wollte, zumal er im Erwägungsgrund 13 „Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen“ noch einmal auf die abweichende Regelung der Mitarbeiterzahl als Berücksichtigung der Belange von KMU hinweist und in einem Leitfaden für die Einführung der DSGVO im Januar 2018 die KMU noch einmal ermutigt, wegen des Aufwands der DSGVO-Einführung nicht in Panik zu verfallen.

Dennoch haben bei dieser Rechtsauslegung aktuell die „Buchstabeninterpreten“ die Deutungshoheit übernommen. Selbst die Datenschutzkonferenz, die sich aus den Datenschutzbehörden des Bundes und der Länder zusammensetzt, interpretiert die Regelung in der Form, dass im Prinzip fast jedes Unternehmen ein Verzeichnis der Verfahrenstätigkeiten aufbauen und pflegen muss.

Die Interpretation der Datenschutzkonferenz finden Sie unter Punkt 5 in diesem Dokument .

Es wäre der Sache sehr dienlich, wenn die EU-Behörden hier bald klärende Worte finden würden. Für Unternehmen mit der Größe einer (durchschnittlichen) Tierklinik bzw. Tierarztpraxis wäre dies bei der Umsetzung der DSGVO sehr hilfreich, weil die zeitlichen (und damit auch die finanziellen) Ressourcen für den Aufbau eines Verzeichnisses der Verfahrenstätigkeiten nicht unerheblich sind - und für Berater wäre es ebenfalls hilfreich, weil in den Angebote zur Umsetzungsbegleitung eine große Position eliminiert werden könnte.