Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Verzeichnis von Verarbeitungstätigkeiten

Copyright,     Einleitung,     Übergangsregelung,     Verantwortlichkeiten,     Zielsetzung,     Unterschiede zum BDSG,     Begriffsbestimmungen,     Anforderungen,     Weitergehende Dokumentation,     TOMs: BDSG vs. DS-GVO,     Literatur,     Beispiel

Unterschiede zu den Regelungen im BDSG

Neben kleineren Abweichungen bzgl. des Inhaltes des Verzeichnisses gibt es im Vergleich zum BDSG in Art. 30 DS-GVO darüber hinaus einige Unterscheidungen bzgl. der Rahmenbedingungen. Die wesentlichen Unterschiede sollen im Nachfolgenden dargestellt werden:
  1. Hinsichtlich der Auftragsdatenverarbeitung fordert(e) das BDSG einen schriftlichen Auftrag bzw. eine entsprechende "Regelung" (vgl. § 11 Abs. 2 BDSG). Unabhängig vom Wortlaut wurden in der Praxis überwiegend ADV-Verträge abgeschlossen. Die europäische DS-GVO verlangt nunmehr explizit einen Vertrag. Die DS-GVO fordert in Art. 30, dass in dem Verzeichnis alle Verarbeitungstätigkeiten aufgeführt werden müssen, die im Verantwortlichkeits- bzw. dem Zuständigkeitsbereich des Verantwortlichen liegen. Das BDSG forderte hingegen in § 4 e, dass nur meldepflichtige, automatisierte Verfahren zu dokumentieren sind. D. h. die Dokumentationsanforderungen der DS-GVO sind nun deutlich weiter gefasst als die Anforderungen des BDSG.
  2. Das BDSG enthält in § 4d Abs. 5 S.2 Ausnahmetatbestände, wann ein Verfahrensverzeichnis nicht angelegt werden braucht. Diese Ausnahmetatbestände sind: Die DS-GVO kennt diese Ausnahmetatbestände nicht.
  3. Die Anforderungen des BDSG – und damit auch das Führen eines Verfahrensverzeichnisses - sind von allen Unternehmen, für die das BDSG gilt, zu erfüllen. Art. 30 Abs. 5 DS-GVO befreit Unternehmen von der Pflicht zum Führen eines Tätigkeitsverzeichnisses unter folgenden Umständen:
  4. Das BDSG sieht grundsätzlich ein fehlendes Verfahrensverzeichnis nicht als bußgeldbewährte Ordnungswidrigkeit an. Vielmehr konnte nur eine fehlende Meldung entsprechend § 4d Abs. 1 BDSG sanktioniert werden. Da jedoch diese Meldepflicht entfiel, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellte, war diese Sanktionsmöglichkeit für die meisten Unternehmen irrelevant, da die meisten Unternehmen einen Datenschutzbeauftragten bestellt haben.
    Im Gegensatz zum BDSG sieht jedoch Art. 83 Abs. 4 lit. a DS-GVO ein Bußgeld von bis zu 10.000.000 Euro bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher der Beträge höher ist) vor, wenn kein den Anforderungen der DS-GVO entsprechendes Verzeichnis existiert!