Dr. Stephan Pötters

Ein Erfordernis der Zusammenarbeit zwischen Arbeitgeber und Betriebsrat bzw. ein Regelungsbedürfnis für eine trennscharfe Abgrenzung der Verantwortungsbereiche besteht zunächst mit Blick auf das nach Art. 30 DSGVO zu erstellende sogenannte Verarbeitungsverzeichnis.

Nach Art. 30 Abs. 1 Satz 1 DSGVO ist grundsätzlich jeder Verantwortliche dazu verpflichtet (Ausnahme Abs. 5: weniger als 250 Mitarbeiter und risikoarme Verarbeitung), ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Dieses Verzeichnis enthält die in Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten Pflichtangaben, u. a. die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, etc. Erste aufsichtsbehördliche Muster verdeutlichen den Aufwand, der mit der Erstellung und fortlaufenden Pflege dieses Verzeichnisses verbunden ist.[1] Die in Umsetzungsprojekten zur Herstellung von Datenschutz-Compliance gesammelten Erfahrungen zeigen, dass hier eine entsprechend gestaltete Datenbank oder eine Legal-Tech-Anwendung eine praxisgerechte Lösung zur Erfüllung der rechtlichen Anforderungen an ein Verarbeitungsverzeichnis bieten können.

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DSGVO nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).[2] Wird das Verarbeitungsverzeichnis pflichtwidrig nicht oder nicht ordnungsgemäß geführt, drohen den Verantwortlichen nach Art. 83 Abs. 4 Buchst. a DSGVO erhebliche Bußgelder.[3]

Der Arbeitgeber hat daher ein hohes Interesse daran, ein vollständiges und korrekt geführtes Verarbeitungsverzeichnis zu erstellen und zu pflegen.

Ein Blick auf die Pflichtinhalte nach Art. 30 Abs. 1 Satz 2 DSGVO macht deutlich, dass er ohne Unterstützung seitens des Betriebsrats nicht die vom Betriebsrat durchgeführten Datenverarbeitungen wie vom Gesetz verlangt dokumentieren kann. Daher sollte hier der Betriebsrat in die Pflicht genommen werden, indem er entweder für seinen Bereich selbstständig ein entsprechendes Verzeichnis führt oder indem Prozesse vereinbart werden, inwiefern der Betriebsrat den für die Erstellung und Pflege des Verzeichnisses zuständigen Stellen des Arbeitgebers die notwendigen Informationen zuliefert.

[1] Ein hilfreiches Muster mit ausführlichen Erläuterungen bietet auch der Verband Bitkom, abrufbar unter https://www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf.
[2] Bayerisches Landesamt für Datenschutzaufsicht, Kurzpapier Nr. 1 Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO, abrufbar unter https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf.
[3] Klug, Gola/Heckmann, DSGVO, 3. Aufl., 2022, Art. 30 Rz. 16.

Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge