≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 17.04.2023

Aktuelle Kurz-Information 47: Frühjahrsputz im Verarbeitungsverzeichnis

Stichwörter: Auskunftsrecht, Synergien - Datenschutzbeauftragter, Verarbeitungsverzeichnis - Datenschutzorganisation, Verarbeitungsverzeichnis - Frühjahrsputz, Verarbeitungsverzeichnis - Informationspflichten, Synergien - Verantwortlicher, Verarbeitungsverzeichnis - Verarbeitungsverzeichnis, Aktualisierung | Stand: 1. April 2023

Was sind die Kernaussagen dieser Aktuellen Kurz-Information?

  • Das Verarbeitungsverzeichnis muss nicht nur angelegt, sondern auch regelmäßig gepflegt werden.

  • Jeder Verantwortliche sollte den Geschäftsgang so einrichten, dass er dies gewährleisten kann.

  • Was zu tun ist, hängt von den einzelnen Verzeichniseinträgen ab.

  • Wer etwas Zeit investiert, trägt dazu bei, dass der Verantwortliche auch bei den Datenschutzhinweisen und im Fall einer Auskunfterteilung "up to date" ist.


1

Sie erinnern sich noch, was Sie Anfang 2018 gemacht haben? Sie haben als behördliche Datenschutzbeauftragte oder behördlicher Datenschutzbeauftragter bei einer bayerischen öffentlichen Stelle an der erstmaligen Erstellung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Datenschutz-Grundverordnung (DSGVO) mitgewirkt? Dann war Ihre öffentliche Stelle damals schneller als viele andere.

Allerdings ist die mühsam erarbeitete Dokumentation nun schon (fast) fünf Jahre alt. Da ist es allerhöchste Zeit, die Texte einmal hervorzuholen, um zu kontrollieren ob noch alles auf dem aktuellen Stand ist. Das sollte nämlich so sein. Das Verzeichnis der Verarbeitungstätigkeiten (im Folgenden kurz: Verarbeitungsverzeichnis) will regelmäßig gepflegt werden. Das vorliegende Papier zeigt auf, worauf dabei zu achten ist. Zur Beruhigung: Man muss meist nicht alles neu machen.

1. Organisation

2

Das Verarbeitungsverzeichnis zu führen ist nach Art. 30 Abs. 1 Satz 1 DSGVO Aufgabe des Verantwortlichen oder seines Vertreters (zu dieser Rolle vgl. Art. 27 DSGVO). Das Verarbeitungsverzeichnis zu führen ist also nicht Sache der oder des (behördlichen) Datenschutzbeauftragten; ihr oder ihm kommen insoweit Beratungs- und Überwachungsaufgaben zu (vgl. Art. 39 Abs. 1 Buchst. a und b DSGVO).

3

Verantwortliche können ihren Datenschutzbeauftragten zwar die zentrale Verwaltung des Verarbeitungsverzeichnisses zur Aufgabe machen, also das reine "Befüllen" der Felder eines - analog oder digital - vorgehaltenen Formulars (im Folgenden: das Verarbeitungsverzeichnis führende Datenschutzbeauftragte). Die Inhalte muss der Verantwortliche aber selbst erarbeiten (lassen). Die oder der behördliche Datenschutzbeauftragte im Nebenamt sollte übrigens auch im Hauptamt keine Verzeichniseinträge verfassen, weil es andernfalls leicht zu Interessenkonflikten kommen kann.

4

Vor diesem Hintergrund sollte die Führung des Verarbeitungsverzeichnisses mit Bedacht geregelt sein. Interne Vorgaben des Verantwortlichen - etwa in einer Datenschutz-Geschäftsordnung - sollten insbesondere die folgenden Regelungsfragen beantworten:

  • Welche Stelle verwaltet das Verarbeitungsverzeichnis (Verwalten: Dokumentieren, Sammeln, Vorhalten)?

  • Welche Stelle (zentral) oder welche Stellen (dezentral) erarbeiten die Verzeichniseinträge?

  • Wie ist gewährleistet, dass neue Verarbeitungstätigkeiten erkannt sowie entsprechende Einträge erstellt werden?

  • Wie ist gewährleistet, dass Änderungen bei Verarbeitungstätigkeiten erkannt sowie entsprechende Einträge angepasst werden?

  • Wie ist gewährleistet, dass auslaufende Verarbeitungstätigkeiten erkannt sowie entsprechende Einträge angepasst oder gelöscht werden?

  • Wie ist sichergestellt, dass die das Verzeichnis führende Stelle von solchen Änderungen erfährt?

  • Wie ist sichergestellt, dass nötige Änderungen auch tatsächlich umgesetzt werden?

5

Was zu tun ist: Prüfen Sie die internen Regelungen Ihrer öffentlichen Stelle. Finden Sie heraus, ob die vorstehenden Regelungsfragen beantwortet sind und in der Praxis auch gelebt werden.

Ist das nicht der Fall, können Sie als behördliche Datenschutzbeauftragte oder behördlicher Datenschutzbeauftragter

  • Ihre Ansprechperson beim Verantwortlichen auf festgestellte Defizite hinweisen,

  • Regelungsvorschläge machen,

  • insbesondere bei einem "Vollzugsdefizit": datenschutzverantwortliche Führungskräfte für ihre Aufgaben in Bezug auf das Verarbeitungsverzeichnis sensibilisieren (in Absprache mit der Leitung der öffentlichen Stelle).

Wenn Sie beim Verantwortlichen für die Gestaltung der Datenschutz-Geschäftsordnung zuständig sind, sollten Sie aktiv werden - möglichst, bevor die oder der behördliche Datenschutzbeauftragte Sie dazu auffordert.

6

Was behördliche Datenschutzbeauftragte nicht tun sollten: Wenn Sie behördliche Datenschutzbeauftragte oder behördlicher Datenschutzbeauftragter sind, sollten Sie sich vom Verantwortlichen nicht dazu überreden lassen, eine fällige Überarbeitung des Verarbeitungsverzeichnisses allein zu stemmen - und zwar auch dann nicht, wenn Sie sich das grundsätzlich zutrauen. Ausgenommen ist eine zentrale Berichtigung der Informationen nach Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO, die oftmals für alle Verarbeitungstätigkeiten identisch sind.

2. Einzelne Verzeichniseinträge

a) Neue, geänderte oder auslaufende Verarbeitungstätigkeiten (Art. 30 Abs. 1 Satz 1 DSGVO)

7

Der Bestand an Verarbeitungstätigkeiten ist bei vielen bayerischen öffentlichen Stellen Schwankungen unterworfen. Dabei kann es sich um quantitative Schwankungen handeln (neue und auslaufende Verarbeitungstätigkeiten).

8

Neue Verarbeitungstätigkeiten können sich insbesondere durch Änderungen Aufgaben zuweisender Rechtsnormen ergeben (Beispiel: Regelung in einem Gesetz oder einer Verordnung, dass bestimmte staatliche Behörden das Bewilligungsverfahren für eine neue Leistung durchführen sollen). Im Bereich der Gemeinden ist bei Übernahme einer zusätzlichen freiwilligen Aufgabe (vgl. Art. 6 Abs. 1 Satz 1, Art. 7 Abs. 1 Gemeindeordnung - GO) stets zu fragen, ob sich Auswirkungen auf das Verzeichnis der Verarbeitungstätigkeiten ergeben. Gleiches gilt bei Aufgabenübertragungen von einem anderen Rechtsträger (Beispiele: Übertragung durch Zweckvereinbarung, Art. 7 Abs. 2 Gesetz über die kommunale Zusammenarbeit - KommZG; Übertragung an einen Zweckverband, Art. 17 Abs. 1 KommZG; Übertragung an ein Kommunalunternehmen, Art. 89 Abs. 2 Satz 1 GO, oder an ein Beteiligungsunternehmen, vgl. Art. 87 Abs. 1 Satz 1 Nr. 3 GO, jeweils aus Sicht des Übertragungsempfängers).

9

Auslaufende Verarbeitungstätigkeiten kommen insbesondere dann vor, wenn eine öffentliche Stelle eine Aufgabe überträgt (siehe die in Rn. 8 aus Sicht des Übertragungsempfängers gebildeten Beispiele), eine freiwillige Aufgabe nicht mehr wahrnimmt oder der Gesetzgeber eine Aufgabe abschafft. In diesen Fällen ist der Eintrag im Verarbeitungsverzeichnis nicht sofort zu löschen, sondern den geänderten Verhältnissen anzupassen. Aus ihm muss zumindest ersichtlich werden, dass der Verantwortliche die auslaufende Aufgabe ab einem bestimmten Zeitpunkt nicht mehr wahrnimmt. Zudem kann es insbesondere erforderlich sein, eine vorgeschriebene oder zumindest erlaubte Speicherung von personenbezogenen Daten abzubilden, die bisher bei der Verarbeitungstätigkeit angefallen sind (Beispiel: Eine Gemeinde hat die bisher selbst wahrgenommene Aufgabe, Ordnungswidrigkeiten im ruhenden Verkehr zu verfolgen, auf einen Zweckverband übertragen; aus dem Eintrag im Verarbeitungsverzeichnis sollte hervorgehen, ab welchem Zeitpunkt die Gemeinde diese Aufgabe nicht mehr wahrnimmt und unter welchen Bedingungen alte "Knöllchen-Vorgänge" bei der Gemeinde gespeichert bleiben.)

10

Sie sollten jedoch auch an qualitative Schwankungen denken, die mitunter gar nicht so leicht zu erkennen sind. Gerade wenn ein Verantwortlicher bei der Beschreibung von Verarbeitungstätigkeiten eine eher globale Betrachtung gewählt hat (Beispiel: Bildung einer Verarbeitungstätigkeit "Führung des Melderegisters" anstelle gesonderter Verarbeitungstätigkeiten für einzelne Verwaltungsprodukte der Meldebehörde), sollten Änderungen im rechtlichen Rahmen für die Verarbeitungstätigkeit routinemäßig darauf überprüft werden, ob sie für das Verarbeitungsverzeichnis relevant werden (Beispiel: Einführung eines neuen Übermittlungstatbestandes in der Meldedatenverordnung, der sich im Verarbeitungsverzeichnis bei den nach Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO zu dokumentierenden Kategorien von Empfängern auswirkt).

11

Was zu tun ist: Wenn die nötigen organisatorischen Vorkehrungen getroffen sind (siehe Rn 2 ff.), Ihr Verarbeitungsverzeichnis aber dennoch seit der erstmaligen Erstellung eingestaubt (Akte) oder ungeöffnet ist (Datei), können Sie in der Rolle einer oder eines das Verarbeitungsverzeichnis führenden behördlichen Datenschutzbeauftragten

  • die datenschutzverantwortlichen Führungskräfte um die selbstständige Überprüfung der jeweils "eigenen" Einträge bitten; zu diesem Zweck stellen Sie jeweils einen (vermeintlich) aktuellen Auszug aus dem Verarbeitungsverzeichnis zur Verfügung (in Absprache mit der Leitung der öffentlichen Stelle);

  • Ihre Ansprechperson beim Verantwortlichen bitten, bei der Behördenleitung verfügbare Informationen über Änderungen im Aufgabenbestand zur Verfügung zu stellen;

  • im kommunalen Bereich proaktiv die Tätigkeit des Selbstverwaltungsgremiums beobachten, die solche Änderungen oftmals erkennen lässt (Beispiel: Übernahme neuer freiwilliger Aufgaben);

  • einzelne (insbesondere "änderungsverdächtige") Einträge initiativ prüfen und bei Feststellung von Defiziten nachdrücklich auf eine Verbesserung der Zuarbeit durch die datenschutzverantwortlichen Führungskräfte hinwirken;

  • in einem Tätigkeitsbericht (soweit nach den internen Regelungen vorgesehen) auf (wiederholt festgestellte) Defizite aufmerksam machen.

In der Rolle einer datenschutzverantwortlichen Führungskraft sollten Sie der oder dem behördlichen Datenschutzbeauftragten unaufgefordert zuarbeiten.

b) Namen und Kontaktdaten (Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO)

12

Namen von Verantwortlichen können sich ebenso ändern wie Namen von behördlichen Datenschutzbeauftragten - die Gründe dafür sind vielfältig. Im Verarbeitungsverzeichnis muss die Änderung des Namens einer Gemeinde ebenso umgesetzt werden wie der Umzug einer Staatsbehörde an einen anderen Standort oder ein Wechsel im Amt der oder des behördlichen Datenschutzbeauftragten.

13

Was zu tun ist: Viele Änderungen bei Namen und Kontaktdaten wird eine behördliche Datenschutzbeauftragte oder ein behördlicher Datenschutzbeauftragter auch ohne die Unterstützung des Verantwortlichen mitbekommen. Wenn sie oder er das Verarbeitungsverzeichnis verwalten, kann sie oder er solche Änderungen gleich umsetzen. Datenschutzverantwortliche Führungskräfte sollten sich gleichwohl nicht auf einen solchen "Automatismus" verlassen, sondern die nötigen Informationen zeitnah weitergeben.

c) Verarbeitungszwecke (Art. 30 Abs. 1 Satz 2 Buchst. b DSGVO) sowie Kategorien betroffener Personen und personenbezogener Daten (Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO)

14

Personenbezogene Daten dürfen bekanntlich nur für einen bestimmten Zweck oder mehrere davon verarbeitet werden. Diese Zwecke müssen im Verarbeitungsverzeichnis abgebildet sein. Nun können sich Zwecke im Lauf der Zeit ändern. Das ist bei der zweckändernden Weiterverarbeitung der Fall, bei der das personenbezogene Datum allerdings (meist) in eine andere Verarbeitungstätigkeit "übergeht", im Verarbeitungsverzeichnis also "den Eintrag wechselt". Gerade im öffentlichen Sektor sind die Verarbeitungszwecke allerdings recht weitgehend durch Gesetz oder sonstige normative Vorgaben festgelegt. Dieser Rahmen kann sich verändern, insbesondere kann der zuständige Normgeber für bereits vorhandene wie auch für neu hinzukommende Datensätze bisherige Zwecke aufgeben (seltener) oder zusätzliche festlegen (häufiger). Im Melderecht beispielsweise ist jede Einführung weiterer regelmäßiger Datenübermittlungen grundsätzlich geeignet, die Zweckbestimmung des Meldedatensatzes zu erweitern.

15

Auch die von einer Verarbeitungstätigkeit betroffenen Personen sowie erfassten personenbezogenen Daten können Änderungen unterworfen sein. Im öffentlichen Sektor folgt auch dies meist aus einer Fortentwicklung des normativen Rahmens. Im Melderecht beispielsweise würden weitere Kategorien betroffener Personen in eine Verarbeitungstätigkeit einbezogen, wenn eine Meldepflicht für einen Personenkreis neu begründet wird, der bislang nicht von einer solchen Pflicht erfasst war; bei Einführung eines einzigen neuen Merkmals im gesetzlich festgelegten Meldedatensatz wäre die Verarbeitungstätigkeit um eine weitere Kategorie personenbezogener Daten erweitert.

16

Was zu tun ist: Die für eine zeitgerechte Abbildung neuer, geänderter oder auslaufender Verarbeitungstätigkeiten empfohlenen Maßnahmen (Rn. 11) sollten mögliche Änderungen durch zuständige Normgeber bei den Zwecken, den Kategorien betroffener Personen oder den erfassten personenbezogenen Daten einschließen.

In der Rolle einer oder eines das Verarbeitungsverzeichnis führenden behördlichen Datenschutzbeauftragten sollten Sie datenschutzverantwortliche Führungskräfte auch dafür sensibilisieren, insofern für das Verarbeitungsverzeichnis relevante Änderungen frühzeitig zu erkennen und mitzuteilen.

In der Rolle einer datenschutzverantwortlichen Führungskraft sollten Sie die oder den behördlichen Datenschutzbeauftragten gegebenenfalls vorausschauend unterstützen.

d) Kategorien von Empfängern (Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO)

17

Im Verarbeitungsverzeichnis sind Kategorien von Empfängern zu dokumentieren; dabei gelten die Hinweise unter Rn. 14 ff. entsprechend. Zu bedenken ist, dass der Rechtsprechung zufolge bei einer Auskunft nach Art. 15 Abs. 1 DSGVO auf Wunsch der betroffenen Person anstelle der Empfängerkategorie grundsätzlich die (bereits) bekannten konkreten Empfänger anzugeben sind. Da eine Funktion des Verarbeitungsverzeichnisses darin besteht, Auskünfte nach Art. 15 Abs. 1 DSGVO vorzubereiten, kann es sinnvoll sein, konkrete Empfänger mit ihrem Bekanntwerden auch an dieser Stelle festzuhalten. Der Verpflichtung nach Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO kann auch auf diese Weise genügt werden.

f) Übermittlungen an ein Drittland (Art. 30 Abs. 1 Satz 2 Buchst. e DSGVO)

18

Ist das Verarbeitungsverzeichnis unter dem Gesichtspunkt von Art. 30 Abs. 1 Satz 2 Buchst. e DSGVO gut gepflegt, wird nicht nur erkennbar, in welchem Umfang der Verantwortliche Drittlandtransfers veranlasst oder (insbesondere durch Auftragsverarbeiter) zugelassen hat. Möglich werden auch Rückschlüsse, in welchen Drittländern sich bei welchen Verarbeitern Datenbestände aufbauen, die jedenfalls im Geltungsbereich der Datenschutz-Grundverordnung nicht ohne weiteres verknüpft werden dürfen. Für betroffene Personen, denen unter Zuhilfenahme des Verarbeitungsverzeichnisses Auskunft erteilt wird, sind solche Angaben bedeutsam, weil Drittlandtransfers "von außen" nicht ohne weiteres zu erkennen sind und oftmals mit Risiken einhergehen, denen der Verantwortliche mit kompensatorischen Maßnahmen begegnen muss.

19

Bei Verarbeitungstätigkeiten "im Bestand" können Drittlandtransfers nicht nur in dem einfach erkennbaren Fall erstmals auftreten, dass der Verantwortliche ein "transferfreies" Betriebsmittel gegen ein "transferbelastetes" austauscht. Leichter zu übersehen sind Konstellationen, in welchen Auftragsverarbeiter eine ihnen rechtlich nicht verschlossene Option nutzen, Unterauftragsverarbeiter in einem Drittland zu beauftragen. Auch in solchen Fällen ergeben sich Konsequenzen für die Angaben zu der betreffenden Verarbeitungstätigkeit im Verarbeitungsverzeichnis.

20

Was zu tun ist: Drittlandtransfers fordern die volle Aufmerksamkeit behördlicher Datenschutzbeauftragter wie auch des Verantwortlichen. Eine Einbindung der oder des behördlichen Datenschutzbeauftragten frühzeitig vor der Beschaffung eines Betriebsmittels, das mit einem solchen Transfer verbunden sein kann, und vor Begründung eines Auftragsverarbeitungsverhältnisses, das Drittlandtransfers vorsieht oder zulässt, sollte für bayerische öffentliche Stellen eine Selbstverständlichkeit sein. Dann kann die oder der behördliche Datenschutzbeauftragte den Punkt "Fortschreibung des Verarbeitungsverzeichnisses" auch insofern gleich bei der Beratung berücksichtigen.

Im Übrigen sollten Beschwerden betroffener Personen, Kontakte mit der Datenschutz-Aufsichtsbehörde und sonstige Erkenntnisse zu Drittlandtransfers für behördliche Datenschutzbeauftragte stets Anlass sein, den Eintrag im Verarbeitungsverzeichnis für die betroffene Verarbeitungstätigkeit kritisch zu überprüfen und - soweit erforderlich - bei dem Verantwortlichen auf eine Anpassung hinzuwirken.

Hilfreich kann es für behördliche Datenschutzbeauftragte auch sein, einen aktuellen Stand zum Umfang von Drittlandtransfers in einen nach der örtlichen Datenschutz-Geschäftsordnung etwa zu erstattenden eigenen Tätigkeitsbericht aufzunehmen und insofern - gegebenenfalls auch für die Öffentlichkeit - Transparenz zu schaffen.

g) Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 Satz 2 Buchst. f DSGVO)

21

Die im Verarbeitungsverzeichnis "wenn möglich" anzugebenden Fristen für die Löschung der verschiedenen Datenkategorien lassen sich beim Ersteintrag manchmal nach gesetzlichen Vorgaben, mitunter nach fachlichen Standards wie dem Einheitsaktenplan, manchmal aber auch gar nicht angeben - einfach, weil bei Aufnahme einer Verarbeitungstätigkeit noch nicht klar ist, wie lange eine Verarbeitung erforderlich sein wird (vgl. Art. 5 Abs. 1 Buchst. e DSGVO), oder noch auf ausstehende Vorgaben der zuständigen Normgeber gewartet werden muss. In solchen Fällen darf das "wenn möglich" des Gesetzes durchaus als "sobald möglich" verstanden werden.

22

Was zu tun ist: Das Verarbeitungsverzeichnis führende behördliche Datenschutzbeauftragte sowie datenschutzverantwortliche Führungskräfte sollten zunächst die Hinweise aus Rn. 10 entsprechend berücksichtigen. Behördlichen Datenschutzbeauftragten sei zudem empfohlen:

  • Identifizieren Sie Einträge im Verarbeitungsverzeichnis, die bei diesem Punkt von vornherein defizitär sind. Legen Sie für sich eine Frist für wiederkehrende Kontrollen fest und fragen Sie dann jeweils bei den datenschutzverantwortlichen Führungskräften, ob fehlende normative Vorgaben "nachgeliefert" wurden und/oder die Verwaltungspraxis mittlerweile gezeigt hat, wie lange die betreffenden Kategorien personenbezogener Daten typischerweise benötigt werden. Beraten Sie im Bedarfsfall zu einer internen Festlegung von Löschungsfristen, wenn Vorgaben von außen weiterhin fehlen.

  • Halten Sie sich außerdem über die Fortschreibung des Einheitsaktenplans auf dem Laufenden, soweit dieser in Ihrer öffentlichen Stelle anzuwenden ist. Nutzen Sie auch Ihre Beteiligung bei der Erstellung von Löschkonzepten, Anpassungen des Verarbeitungsverzeichnisses anzuregen, und wirken Sie auf die Erstellung solcher Konzepte hin, wenn Ihr Verantwortlicher diese Aufgabe vernachlässigt.

h) Allgemeine Beschreibung der gemäß Art. 32 Abs. 1 DSGVO zu treffenden technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO)

23

Auch die allgemeine Beschreibung der gemäß Art. 32 Abs. 1 DSGVO zu treffenden technischen und organisatorischen Maßnahmen ist bei einschlägigen Änderungen nachzuführen. Können die von Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO geforderten Angaben oftmals durch einen Verweis auf ein nach Art. 43 Abs. 1 Bayerisches Digitalgesetz zu erstellendes Informationssicherheitskonzept in das Verarbeitungsverzeichnis eingeführt werden, ist die Aktualität des Verarbeitungsverzeichnisses sichergestellt, wenn der Verweis dynamisch gestaltet ist und das Informationssicherheitskonzept durch die zuständige Organisationseinheit sukzessive dem Stand der Technik angepasst wird.

3. Synergien

24

Bedenken Sie immer: das Aktuell-Halten des Verarbeitungsverzeichnisses ist weder für das Verarbeitungsverzeichnis führende behördliche Datenschutzbeauftragte noch für datenschutzverantwortliche Führungskräfte eine sinnbefreite Arbeitsbeschaffungsmaßnahme. Entsteht ein anderer Eindruck, ist die Datenschutzorganisation bei dem betreffenden Verantwortlichen noch nicht ausreichend optimiert. Das Verarbeitungsverzeichnis nimmt für die Erfüllung der Informationspflichten (Art. 13 und 14 DSGVO) wie auch für die Erteilung von Auskünften über die Metainformationen zu einer Datenverarbeitung (Art. 15 Abs. 1 Halbsatz 2 Buchst. a bis h DSGVO) eine Schlüsselfunktion ein: Wer das Verarbeitungsverzeichnis aktuell hält, hat einige dazu nötige Vorarbeiten bereits geleistet. Dann muss nur noch organisatorisch sichergestellt sein, dass diese Vorarbeiten bei der Erfüllung der Informationspflichten und der Erteilung von Auskünften über die Metainformationen auch genutzt werden können. Die Orientierungshilfe zum Recht auf Auskunft enthält eine tabellarische Übersicht, welche Informationen aus dem Verarbeitungsverzeichnis in den Kontexten "Datenschutzhinweise/Informationspflichten" und "Auskunftsrecht" relevant werden.

25

Was zu tun ist: Prüfen Sie als behördliche Datenschutzbeauftragte, behördlicher Datenschutzbeauftragter oder datenschutzverantwortliche Führungskraft in Ihrer öffentlichen Stelle einmal nach, wie die Informationen im Verarbeitungsverzeichnis, in den Datenschutzhinweisen und bei der Auskunfterteilung untereinander vernetzt sind. Sind alle Synergien genutzt? Wird "Doppelarbeit" vermieden? Sind gar Widersprüche durch eine getrennte "Bewirtschaftung" von Informationsbeständen begünstigt? Wie könnte eine für Ihre öffentliche Stelle effiziente Organisation der Angaben in Verarbeitungsverzeichnis, Datenschutzhinweisen und erteilten Auskünften erreicht werden? Die Fragen verlangen örtliche Antworten - da sind Sie gefordert!

4. Folgen fehlender Aktualität

26

Eine öffentliche Stelle, die ihr Verarbeitungsverzeichnis nicht aktuell hält, missachtet zunächst einmal ihre Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Wird der Informationsbestand genutzt, können auch Datenschutzhinweise mit der Zeit veralten oder Informationen nach Art. 15 Abs. 1 Halbsatz 2 Buchst. a bis h DSGVO nicht mehr stimmen. Mögliche Folgen sind nicht nur datenschutzaufsichtliche Maßnahmen, sondern auch Rechtsbehelfe betroffener Personen.

27

Abschließender Hinweis: Auch wenn im Titel dieser Aktuellen Kurz-Information von einem Frühjahrsputz die Rede ist - eine Pflege des Verarbeitungsverzeichnisses ist natürlich auch zu anderen Jahreszeiten angezeigt: Hauptsache, sie findet statt, und zwar regelmäßig.

  1. Muster in Bayerisches Staatsministerium des Innern, für Sport und Integration, Arbeitshilfen zur praktischen Umsetzung der Datenschutz-Grundverordnung ,der Richtlinie (EU) 2016/680 (Richtlinie zum Datenschutz bei Polizei und Justiz) und des Bayerischen Datenschutzgesetzes für bayerische öffentliche Stellen, Stand 3/2022, S. 21 ff. [Zurück]
  2. Europäischer Gerichtshof, Urteil vom 12. Januar 2023, C-154/21, Rn. 28 ff. [Zurück]
  3. Ausführlich mit tabellarischer Übersicht der Synergien Bayerischer Landesbeauftragter für den Datenschutz, Das Recht auf Auskunft nach der Datenschutz-Grundverordnung, Orientierungshilfe, Stand 12/2019, Rn. 97, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018“. [Zurück]
  4. Dazu näher Bayerischer Landesbeauftragter für den Datenschutz, Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen, Aktuelle Kurz-Information 39, Stand 12/2021, Rn. 16 ff., Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018“. [Zurück]
  5. Bayerischer Gemeindetag/Bayerischer Städtetag/Bayerischer Landkreistag/Generaldirektion der Staatlichen Archive Bayerns, Einheitsaktenplan für die bayerischen Gemeinden und Landratsämter mit Verzeichnis der Aufbewahrungsfristen, Stand 4/2011, Internet: https://www.gda.bayern.de/publikationen/einheitsaktenplan. [Zurück]
  6. Arbeitshilfen (Endnote 1), S. 56, Internet: https://www.stmi.bayern.de/sus/datensicherheit/datenschutz/reform_arbeitshilfen/index.php. [Zurück]
  7. Bayerischer Landesbeauftragter für den Datenschutz, Das Recht auf Auskunft nach der Datenschutz-Grundverordnung, Orientierungshilfe, Stand 12/2019, Rn. 97, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018“. [Zurück]