Nach Art. 30 DSGVO muss in jedem Unternehmen, Organisation und Behörde ein Verzeichnis geführt werden, das auflistet, welche personenbezogenen Daten zu welchen Zwecken und wie verarbeitet werden. Dieses Verzeichnis müssen zwar auf den ersten Blick nur Unternehmen und Einrichtungen mit mehr als 250 Beschäftigten führen. Auf den zweiten Blick aber wird fast immer die Ausnahme des Abs. 5 greifen: Demnach muss das Verzeichnis immer geführt werden, sobald "besondere Datenkategorien" bearbeitet werden (im Sinn des Art. 9 Abs. 1 DSGVO). Dazu zählen auch Gesundheitsdaten. Wenn es angestellte Mitarbeiter und damit eine Personalverwaltung gibt, ist diese Voraussetzung gegeben, da Angaben über Krankheitstage und beispielsweise Schwerbehinderungen anfallen.
Der Hauptzweck des Verzeichnisses liegt darin, dass es auf Nachfrage der Aufsichtsbehörde für den Datenschutz vorgelegt werden kann. Aber auch für den Datenschutzbeauftragten und seine Arbeit kann dieses Verzeichnis eine wichtige Grundlage und Informationsquelle darstellen.
Es ist daher denkbar, dass der Beauftragte das Verzeichnis nach Art. 30 DSGVO selber führt – oder zumindest maßgeblich bei dessen Erstellung und Pflege eingebunden ist. Und falls nicht, ist es zumindest seine gesetzlich zugewiesenen Aufgaben zu prüfen, ob das Verzeichnis der Verarbeitungstätigkeiten grundsätzlich geführt wird (aufgrund von Art. 39 Abs. 1 Buchst. b BDSG).
Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen