Das Verzeichnis der Verarbeitungstätigkeiten (im Folgenden kurz: Verarbeitungsverzeichnis) sollte regelmäßig gepflegt werden. In seinem unten vermerkten 33. Tätigkeitsbericht 2023 vom 17.9.2024 zeigt der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) auf, worauf dabei zu achten ist und führt u.a. Folgendes aus:
„2. Einzelne Verzeichniseinträge
2.1 Neue, geänderte oder auslaufende Verarbeitungstätigkeiten (Art. 30 Abs. 1 Satz 1 DSGVO)
„Der Bestand an Verarbeitungstätigkeiten ist bei vielen bayerischen öffentlichen Stellen Schwankungen unterworfen. Dabei kann es sich um quantitative Schwankungen handeln (neue und auslaufende Verarbeitungstätigkeiten).
Neue Verarbeitungstätigkeiten können sich insbesondere durch Änderungen an Aufgaben zuweisender Rechtsnormen ergeben (Beispiel: Regelung in einem Gesetz oder einer Verordnung, dass bestimmte staatliche Behörden das Bewilligungsverfahren für eine neue Leistung durchführen sollen). Im Bereich der Gemeinden ist bei Übernahme einer zusätzlichen freiwilligen Aufgabe (vgl. Art. 6 Abs. 1 Satz 1, Art. 7 Abs. 1 Gemeindeordnung – GO) stets zu fragen, ob sich Auswirkungen auf das Verzeichnis der Verarbeitungstätigkeiten ergeben. Gleiches gilt bei Aufgabenübertragungen von einem anderen Rechtsträger (Beispiele: Übertragung durch Zweckvereinbarung, Art. 7 Abs. 2 Gesetz über die kommunale Zusammenarbeit – KommZG; Übertragung an einen Zweckverband, Art. 17 Abs. 1 KommZG; Übertragung an ein Kommunalunternehmen, Art. 89 Abs. 2 Satz 1 GO, oder an ein Beteiligungsunternehmen, vgl. Art. 87 Abs. 1 Satz 1 Nr. 3 GO, jeweils aus Sicht des Übertragungsempfängers).
Auslaufende Verarbeitungstätigkeiten kommen insbesondere dann vor, wenn eine öffentliche Stelle eine Aufgabe überträgt (siehe die oben aus Sicht des Übertragungsempfängers gebildeten Beispiele), eine freiwillige Aufgabe nicht mehr wahrnimmt oder der Gesetzgeber eine Aufgabe abschafft. In diesen Fällen ist der Eintrag im Verarbeitungsverzeichnis nicht sofort zu löschen, sondern den geänderten Verhältnissen anzupassen. Aus ihm muss zumindest ersichtlich werden, dass der Verantwortliche die auslaufende Aufgabe ab einem bestimmten Zeitpunkt nicht mehr wahrnimmt. Zudem kann es insbesondere erforderlich sein, eine vorgeschriebene oder zumindest erlaubte Speicherung von personenbezogenen Daten abzubilden, die bisher bei der Verarbeitungstätigkeit angefallen sind (Beispiel: Eine Gemeinde hat die bisher selbst wahrgenommene Aufgabe, Ordnungswidrigkeiten im ruhenden Verkehr zu verfolgen, auf einen Zweckverband übertragen; aus dem Eintrag im Verarbeitungsverzeichnis sollte hervorgehen, ab welchem Zeitpunkt die Gemeinde diese Aufgabe nicht mehr wahrnimmt und unter welchen Bedingungen alte ,Knöllchen-Vorgänge‘ bei der Gemeinde gespeichert bleiben).
Sie sollten jedoch auch an qualitative Schwankungen denken, die mitunter gar nicht so leicht zu erkennen sind. Gerade wenn ein Verantwortlicher bei der Beschreibung von Verarbeitungstätigkeiten eine eher globale Betrachtung gewählt hat (Beispiel: Bildung einer Verarbeitungstätigkeit ,Führung des Melderegisters‘ anstelle gesonderter Verarbeitungstätigkeiten für einzelne Verwaltungsprodukte der Meldebehörde), sollten Änderungen im rechtlichen Rahmen für die Verarbeitungstätigkeit routinemäßig darauf überprüft werden, ob sie für das Verarbeitungsverzeichnis relevant werden (Beispiel: Einführung eines neuen Übermittlungstatbestandes in der Meldedatenverordnung, der sich im Verarbeitungsverzeichnis bei den nach Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO zu dokumentierenden Kategorien von Empfängern auswirkt).
Was zu tun ist:
Wenn die nötigen organisatorischen Vorkehrungen getroffen sind …, Ihr Verarbeitungsverzeichnis aber dennoch seit der erstmaligen Erstellung eingestaubt (Akte) oder ungeöffnet ist (Datei), können Sie in der Rolle einer oder eines das Verarbeitungsverzeichnis führenden behördlichen Datenschutzbeauftragten
– die datenschutzverantwortlichen Führungskräfte um die selbstständige Überprüfung der jeweils ,eigenen‘ Einträge bitten; zu diesem Zweck stellen Sie jeweils einen (vermeintlich) aktuellen Auszug aus dem Verarbeitungsverzeichnis zur Verfügung (in Absprache mit der Leitung der öffentlichen Stelle);
– Ihre Ansprechperson beim Verantwortlichen bitten, bei der Behördenleitung verfügbare Informationen über Änderungen im Aufgabenbestand zur Verfügung zu stellen;
– im kommunalen Bereich proaktiv die Tätigkeit des Selbstverwaltungsgremiums beobachten, die solche Änderungen oftmals erkennen lässt (Beispiel: Übernahme neuer freiwilliger Aufgaben);
– einzelne (insbesondere ,änderungsverdächtige‘) Einträge initiativ prüfen und bei Feststellung von Defiziten nachdrücklich auf eine Verbesserung der Zuarbeit durch die datenschutzverantwortlichen Führungskräfte hinwirken;
– in einem Tätigkeitsbericht (soweit nach den internen Regelungen vorgesehen) auf (wiederholt festgestellte) Defizite aufmerksam machen.
In der Rolle einer datenschutzverantwortlichen Führungskraft sollten Sie der oder dem behördlichen Datenschutzbeauftragten unaufgefordert zuarbeiten.“
2.2 Namen und Kontaktdaten (Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO)
„Namen von Verantwortlichen können sich ebenso ändern wie Namen von behördlichen Datenschutzbeauftragten – die Gründe dafür sind vielfältig. Im Verarbeitungsverzeichnis muss die Änderung des Namens einer Gemeinde ebenso umgesetzt werden wie der Umzug einer Staatsbehörde an einen anderen Standort oder ein Wechsel im Amt der oder des behördlichen Datenschutzbeauftragten.
Was zu tun ist:
Viele Änderungen bei Namen und Kontaktdaten wird eine behördliche Datenschutzbeauftragte oder ein behördlicher Datenschutzbeauftragter auch ohne die Unterstützung des Verantwortlichen mitbekommen. Wenn sie oder er das Verarbeitungsverzeichnis verwalten, kann sie oder er solche Änderungen gleich umsetzen. Datenschutzverantwortliche Führungskräfte sollten sich gleichwohl nicht auf einen solchen ,Automatismus‘ verlassen, sondern die nötigen Informationen zeitnah weitergeben.“
2.3 Verarbeitungszwecke (Art. 30 Abs. 1 Satz 2 Buchst. b DSGVO) sowie Kategorien betroffener Personen und personenbezogener Daten (Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO)
„Personenbezogene Daten dürfen bekanntlich nur für einen bestimmten Zweck oder mehrere davon verarbeitet werden. Diese Zwecke müssen im Verarbeitungsverzeichnis abgebildet sein. Nun können sich Zwecke im Lauf der Zeit ändern.
Das ist bei der zweckändernden Weiterverarbeitung der Fall, bei der das personenbezogene Datum allerdings (meist) in eine andere Verarbeitungstätigkeit ,übergeht‘, im Verarbeitungsverzeichnis also ,den Eintrag wechselt‘. Gerade im öffentlichen Sektor sind die Verarbeitungszwecke allerdings recht weitgehend durch Gesetz oder sonstige normative Vorgaben festgelegt. Dieser Rahmen kann sich verändern, insbesondere kann der zuständige Normgeber für bereits vorhandene wie auch für neu hinzukommende Datensätze bisherige Zwecke aufgeben (seltener) oder zusätzliche festlegen (häufiger). Im Melderecht beispielsweise ist jede Einführung weiterer regelmäßiger Datenübermittlungen grundsätzlich geeignet, die Zweckbestimmung des Meldedatensatzes zu erweitern.
Auch die von einer Verarbeitungstätigkeit betroffenen Personen sowie erfassten personenbezogenen Daten können Änderungen unterworfen sein. Im öffentlichen Sektor folgt auch dies meist aus einer Fortentwicklung des normativen Rahmens. Im Melderecht beispielsweise würden weitere Kategorien betroffener Personen in eine Verarbeitungstätigkeit einbezogen, wenn eine Meldepflicht für einen Personenkreis neu begründet wird, der bislang nicht von einer solchen Pflicht erfasst war; bei Einführung eines einzigen neuen Merkmals im gesetzlich festgelegten Meldedatensatz wäre die Verarbeitungstätigkeit um eine weitere Kategorie personenbezogener Daten erweitert.
Was zu tun ist:
Die für eine zeitgerechte Abbildung neuer, geänderter oder auslaufender Verarbeitungstätigkeiten empfohlenen Maßnahmen (Nr. 2.1) sollten mögliche Änderungen durch zuständige Normgeber bei den Zwecken, den Kategorien betroffener Personen oder den erfassten personenbezogenen Daten einschließen.
In der Rolle einer oder eines das Verarbeitungsverzeichnis führenden behördlichen Datenschutzbeauftragten sollten Sie datenschutzverantwortliche Führungskräfte auch dafür sensibilisieren, insofern für das Verarbeitungsverzeichnis relevante Änderungen frühzeitig zu erkennen und mitzuteilen. In der Rolle einer datenschutzverantwortlichen Führungskraft sollten Sie die oder den behördlichen Datenschutzbeauftragten gegebenenfalls vorausschauend unterstützen.“
2.4 Kategorien von Empfängern (Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO)
„Im Verarbeitungsverzeichnis sind Kategorien von Empfängern zu dokumentieren; dabei gelten die Hinweise unter Nr. 2.3 entsprechend. Zu bedenken ist, dass der Rechtsprechung zufolge bei einer Auskunft nach Art. 15 Abs. 1 DSGVO auf Wunsch der betroffenen Person anstelle der Empfängerkategorie grundsätzlich die (bereits) bekannten konkreten Empfänger anzugeben sind. Da eine Funktion des Verarbeitungsverzeichnisses darin besteht, Auskünfte nach Art. 15 Abs. 1 DSGVO vorzubereiten, kann es sinnvoll sein, konkrete Empfänger mit ihrem Bekanntwerden auch an dieser Stelle festzuhalten. Der Verpflichtung nach Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO kann auch auf diese Weise genügt werden.“
Den vollständigen Beitrag lesen Sie in Die Fundstelle Bayern 13/2025, Rn. 136.
