Verzeichnis der Verarbeitungstätigkeiten

Hier finden Sie die wichtigsten Informationen zum Thema Verzeichnis der Verarbeitungstätigkeiten


Diese Sammlung dient der Information und stellt keine rechtliche Beratung dar!


Was ist das Verzeichnis der Verarbeitungstätigkeiten?

Artikel 30 DSGVO verpflichtet Unternehmen und Vereine zum Führen eines „Verzeichnisses von Verarbeitungstätigkeiten“. Dieses Verzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens.

Ein Verzeichnis von Verarbeitungstätigkeiten enthält mehrere Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Aus den Dokumenten muss hervorgehen, welche personenbezogenen Daten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche technische, organisatorische Maßnahmen zum Schutz dieser Daten dabei getroffen wurden.

Hierzu empfiehlt sich, eine Übersicht aller im Unternehmen bzw. Verein eingesetzten Anwendungen und Tools (IT-Verfahren und Dateien), in denen personenbezogene Daten verarbeitet werden, zu erstellen. Typische Beispiele sind Mitgliederverwaltung, E-Mailverarbeitungen, Personalverwaltung und Websitebesucheranalysen.

Muss ein Verein ein Verzeichnis der Verarbeitungstätigkeiten führen?

Im Falle eines Verarbeitungsverzeichnisses bzw. Verzeichnisses von Verarbeitungstätigkeiten ist die Formulierung in der DS-GVO sehr schwammig. Daher gibt es Vereine betreffend verschiedene Standpunkte, ob ein Verarbeitungsverzeichnis in einem Verein geführt werden muss.

Ja

Der Datenschutzbeauftragte des Landes Baden-Württemberg schreibt in seiner Broschüre „Datenschutz im Verein“ unter 7.2 folgendes:

„Gemäß Art. 30 DS-GVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Zwar besteht bei Verantwortlichen, bei denen weniger als 250 Mitglieder beschäftigt sind, zunächst eine Ausnahme von der Verzeichnisführungspflicht. Diese Ausnahme gilt jedoch nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, wenn die Verarbeitung nicht nur gelegentlich oder eine Verarbeitung sensibler Daten i.S. von Art.9 oder Art. 10 DS-GVO erfolgt (Art. 30 Abs.5 DS-GVO). Da jedoch in jedem Verein die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt, ist auch bei Vereinen mit weniger als 250 Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis muss zwingend folgende Angaben enthalten (Art. 30 Abs.1 DS-GVO) […]“

Der Datenschutzbeauftragte des Landes NRW hat noch keine aktuelle Broschüre und verweist auf die seines Kollegen aus Baden-Württemberg.

Nein

In der Broschüre des Landessportbundes NRW „Datenschutz im Sportverein“ wird unter 10.2 die Auffassung vertreten, dass die wenigsten Vereine davon betroffen sind. Auf unsere Anfrage beim LSB NWR schrieb uns der beratende Anwalt des Landes Sportbundes NRW Herr Elmar Lumer. Zitat aus der Email vom 07.04 an uns:

„Ob die Aussage des LDSB BW in dieser Allgemeinheit so haltbar ist, da habe ich meine Zweifel. Bei einem Verein, der im Jahr 5 bis 10 Ein- und Austritte zu verzeichnen hat und einmal im Jahr den Beitrag einzieht, halte ich es durchaus für vertretbar, nur von einer gelegentlichen Verarbeitung zu sprechen.“

Aber die in der DSGVO verwendeten unbestimmte Rechtsbegriffe „nicht nur gelegentlich“ und „in großem Umfang“ müssen sicherlich noch mit Leben gefüllt werden.

 

Fazit: Es bleibt abzuwarten welche Rechtsauffassung sich durchsetzen wird. Wir werden das weiter beobachten. Aktuell sehen wir persönlich hier aber keinen dringenden Handlungsbedarf, doch das muss jeder Verein für sich selbst entscheiden.

Sollten Sie allerdings Daten der besonderen Datenkategorien 9 Abs. 1 DSGVO speichern  (z. B. Gesundheitsdaten im Reha Sport), sind Sie zum Führen eines Verzeichnis der Verarbeitungstätigkeiten verpflichtet.

Der Berufsverband der Datenschutzbeauftragten Deutschlands stellt dazu 2 kostenlose Muster zur Verfügung.

Quellen:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf

„Datenschutz im Sportverein“ vom LSB NRW