Verarbeiten Unternehmen personenbezogene Daten für eigene Zwecke, ist diese Verarbeitung derzeit vorab für jeden Zweck gesondert (das Datenschutzgesetz spricht von Datenanwendungen) bei der Datenschutzbehörde zu melden. Manche Datenanwendungen dürfen sogar erst nach Genehmigung der Datenschutzbehörde betrieben werden, beispielsweise dann, wenn in ihnen Informationen über die Gesundheit, religiöse Überzeugung, allfällige strafrechtliche Handlungen oder die Kreditwürdigkeit natürlicher Personen verarbeitet werden.

Diese Vorabkontrollen führten in der Praxis bei Auftraggebern oftmals zu mehrmonatigen Verzögerungen bei der Einführung neuer Softwareprodukte.

Diese bürokratischen Hürden sind mit der Europäischen Datenschutzgrundverordnung (DSGVO), die am 25. 5. 2018 in Kraft tritt, Geschichte: Die Melde- und Genehmigungspflicht für Datenanwendungen und das öffentliche Verzeichnis der Datenanwendungen, das Datenverarbeitungsregister, werden abgeschafft.

Einfacher wird die Sache für Unternehmer dadurch aber nicht. An die Stelle der Melde- und Genehmigungspflichten tritt nämlich die Pflicht, ein "Verzeichnis von Verarbeitungstätigkeiten" zu führen. Der Inhalt des Verzeichnisses deckt sich im Wesentlichen mit dem Inhalt der bisherigen Meldungen. So müssen wie bisher Name und Kontaktdaten des Verantwortlichen (bisher "Auftraggeber") – jener Person, die über die Zwecke und Mittel der Datenverarbeitung entscheidet -, Zweck der Verarbeitung, die Kategorien der Betroffenen und der personenbezogenen Daten, etwaige Kategorien von Empfängern, Übermittlungen personenbezogener Daten an ein Drittland und die ergriffenen technischen und organisatorischen Maßnahmen schriftlich dokumentiert werden.

Hinzu kommt die Pflicht, zu dokumentieren, wann die verschiedenen Datenkategorien wieder gelöscht werden sollen. Das Verzeichnis ist der Datenschutzbehörde über Aufforderung zu übermitteln.

Während bisher nur Auftraggeber ihre Datenanwendung melden oder genehmigen lassen mussten, trifft die Pflicht zur Führung des neuen Verzeichnisses nun auch Dienstleister (nun "Auftragsverarbeiter"), also Personen, die Daten ausschließlich im Auftrag eines Auftraggebers verwenden.

Alles dokumentieren

Auch bisherige Ausnahmen der Melde- und Genehmigungspflicht finden sich in der DSGVO nicht mehr. Während bisher Datenanwendungen, die in praktisch jedem Unternehmen vorkommen wie Personal-, Lieferanten- oder Kundenverwaltungen als sogenannte Standardanwendung in der Regel melde- und genehmigungsfrei waren, sind in der DSGVO keine Standardanwendungen mehr vorgesehen. Unternehmer müssen daher zukünftig jede Datenverarbeitung, sei sie auch banal und üblich, dokumentieren.

Die DSGVO schafft allerdings eine – auf den ersten Blick wesentlich erscheinende – Ausnahme bei der Dokumentationspflicht: Unternehmen mit weniger als 250 Beschäftigten müssen grundsätzlich kein "Verzeichnis von Verarbeitungstätigkeiten" führen. In der Praxis wird diese Einschränkung den Aufwand für typische Klein- und Mittelbetriebe aber dennoch kaum reduzieren.

Auch kleinere Unternehmen müssen nämlich von ihnen durchgeführte Verarbeitungen dokumentieren, wenn sie beispielsweise personenbezogene Daten "nicht nur gelegentlich" oder über die Gesundheit und die religiöse Überzeugung natürlicher Personen verarbeiten. Da aber bereits eine Lieferanten- und Kundenverwaltung eine nicht nur gelegentliche Datenverarbeitung darstellen wird und in Personalverwaltungen regelmäßig Daten über die Gesundheit der Mitarbeiter verarbeitet werden, wird diese Ausnahme bei der Dokumentation von Verarbeitungsvorgängen nur in den wenigsten Fällen greifen.

Die wohl wesentlichste Änderung ergibt sich bei den Strafdrohungen: War die fehlende oder unrichtige Meldung einer Datenanwendung bisher mit einer Verwaltungsstrafe von bis zu 10.000 Euro bedroht, können Verstöße gegen die Pflicht zur Führung des "Verzeichnisses von Verarbeitungstätigkeiten" mit bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres bestraft werden.

Erst bei der Prüfung

Mit dem Entfall der behördlichen Prüfung von Datenanwendungen erhöht sich für Auftraggeber und Dienstleister aber auch das rechtliche Risiko. Wurden nämlich bisher (zumindest grobe) Fehler der vorabkontrollpflichtigen Meldungen (und damit meist auch der der Meldung zugrunde liegenden Datenverwendungen) von der Datenschutzbehörde meist erkannt und in Verbesserungsverfahren moniert, wodurch die Fehler vom Auftraggeber – straffrei – vor Inbetriebnahme der Datenanwendung behoben werden konnten, werden etwaige Fehler bei der Führung des Verfahrensverzeichnisses in Zukunft wohl erst nach Inbetriebnahme der Datenanwendung bei einer behördlichen Prüfung aufgedeckt werden.

Zu diesem Zeitpunkt hat der Auftraggeber bzw. Dienstleister aber bereits gegen seine Pflicht zur ordnungsgemäßen Führung des Verzeichnisses verstoßen, wodurch er dem Risiko einer erheblichen Verwaltungsstrafe ausgesetzt ist.

Was ist also bis zum 25. 5. 2018 zu tun? Unternehmen, die ihre Melde- und Genehmigungspflichten bereits erfüllt haben, haben dadurch bereits wertvolle Vorarbeit zur Erstellung eines "Verzeichnisses von Verarbeitungstätigkeiten" geleistet. Sie müssen im Wesentlichen lediglich die Datenanwendungen aus dem über das Internet zugänglichen Datenverarbeitungsregister (DVR-Online) in ein lokales Dokument kopieren und etwaig verwendete Standardanwendungen sowie die geplanten Löschungsfristen ergänzen.

Andere Unternehmen sollten möglichst rasch beginnen, ihre Datenverwendungen zu analysieren und zu dokumentieren. Insbesondere bei großen Unternehmen ist dieser Prozess in der Regel aufwändig, weshalb für diejenigen, die sich bisher mit ihren Datenverwendungen nicht auseinandergesetzt haben, die Zeit drängt. (Gerold Pawelka-Schmidt, Wirtschaft & Recht Journal, 14.10.2016)