Nach Art. 30 DSGVO muss in jedem Unternehmen, jeder Organisation und Behörde ein Verzeichnis geführt werden, das auflistet, welche personenbezogenen Daten zu welchen Zwecken und wie verarbeitet werden. Dieses Verzeichnis müssen zwar auf den ersten Blick nur Unternehmen und Einrichtungen mit mehr als 250 Beschäftigten führen. Auf den zweiten Blick aber gelten laut Art. 30 Abs. 5 DSGVO auch die eingangs im "Überblick" genannten Ausnahmen in Bezug auf die Verarbeitung von "besonderen Datenkategorien" nach Art. 9 und Art. 20 DSGVO. Soweit es sich um Gesundheitsdaten handelt, ist diese Voraussetzung erfüllt, da es sich bei Angaben zu Krankheitstagen und z. B. Schwerbehinderung um Informationen handelt, die in der Personalabteilung verarbeitet werden.
Der Hauptzweck des Verzeichnisses liegt darin, dass es auf Nachfrage der Aufsichtsbehörde für den Datenschutz vorgelegt werden kann. Aber auch für Datenschutzbeauftragte und ihre Arbeit kann dieses Verzeichnis eine wichtige Grundlage und Informationsquelle darstellen.
Es ist daher denkbar, dass Beauftragte das Verzeichnis nach Art. 30 DSGVO selber führen – oder zumindest maßgeblich bei dessen Erstellung und Pflege eingebunden ist. Und falls nicht, ist es zumindest ihre gesetzlich zugewiesenen Aufgaben zu prüfen, ob das Verzeichnis der Verarbeitungstätigkeiten grundsätzlich geführt wird (aufgrund von Art. 39 Abs. 1 Buchst. b DSGVO).
Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen