Die Datenschutz-Grundverordnung der Europäischen Union (General Data Protection Regulation – GDPR) verpflichtet die Verantwortlichen, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis von Verarbeitungstätigkeiten ist ein Dokument, das von dem Verantwortlichen erstellt und auf dem neuesten Stand gehalten wird, welches – zum Nachweis der Einhaltung der DSGVO-Compliance (Grundsatz der Rechenschaftspflicht) – die seiner Zuständigkeit unterliegenden Verarbeitungstätigkeiten umfasst. In unserem aktuellen Artikel fassen wir die wichtigsten Fragen im Zusammenhang mit dem Führen des Verzeichnisses von Verarbeitungstätigkeiten zusammen.
Ausnahme von der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten – die Kleinstunternehmen sowie die kleinen und mittleren Unternehmen sind nur in engen Ausnahmefällen befreit
Von der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten sind nur die Verantwortlichen befreit, die weniger als 250 Mitarbeiter beschäftigen. Diese Ausnahmeregelung gilt nicht, wenn
- die durch den Verantwortlichen vorgenommene Verarbeitung vermutbar ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (z.B. Videoüberwachung),
- die Datenverarbeitung nicht gelegentlich erfolgt (z.B. Lohnabrechnung, regelmäßiges Senden von Newslettern),
- die Verarbeitung besonderer Kategorien der personenbezogenen Daten (z.B. personenbezogene Daten, aus denen religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten umfasst.
Wenn also eine der oben aufgeführten Ausnahmen vorliegt, muss auch der Verantwortliche, der weniger als 250 Mitarbeiter beschäftigt, ein Verzeichnis von Verarbeitungstätigkeiten führen.
Obligatorische Inhaltselemente für das Verzeichnis von Verarbeitungstätigkeiten
In der DSGVO ist genau festgelegt, welche obligatorischen Inhaltselemente das Verzeichnis von Verarbeitungstätigkeiten beinhalten muss. Das Verzeichnis von Verarbeitungstätigkeiten muss mindestens die folgenden Angaben enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei gemäß Artikel 49 Absatz 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Beschreibung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Formale Anforderungen für das Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten muss schriftlich, in Papierform oder elektronisch (z.B. XLS-Datei) geführt werden. DSGVO schreibt keine sprachlichen Anforderungen für das Verzeichnis von Verarbeitungstätigkeiten vor. Wenn die Verwaltung des Verzeichnisses in einer Fremdsprache durch besondere Umstände nicht gerechtfertigt ist, ist es zu empfehlen, das Verzeichnis in ungarischer Sprache zu führen. Es ist außerdem zu empfehlen, die für einzelnen Verarbeitungstätigkeiten verfügbaren Dokumente und den Ort ihrer Verfügbarkeit in das Verzeichnis aufzunehmen (z. B. Datenverarbeitungsverträge, Tests zur Interessenabwägung, Zertifikate).
Die Änderungen sollten nachvollziehbar sein
Das Führen vom Verzeichnis von Verarbeitungstätigkeiten erfolgt als Ergebnis der Überprüfung von Verarbeitungsprozessen des Verantwortlichen. Es ist jedoch wichtig, dass der Verantwortliche das Verzeichnis auf dem aktuellen Stand halten muss. Daher sollte der Verantwortliche sämtliche zwischenzeitlich eingetretenen Änderungen (z.B. das Erfassen einer neuen Verarbeitungstätigkeit, Löschen oder Ändern von vorhandenen Verarbeitungstätigkeiten – z. B. Erweiterung des Kreises der betroffenen Personen oder Änderung vom Zweck der Verarbeitung) auch im Verzeichnis von Verarbeitungstätigkeiten erfassen. Das Verzeichnis sollte in ausreichendem Maße anzeigen, welche Änderung (Löschung) wann übertragen wurde. Wenn der Verantwortliche seiner Verpflichtung, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, nicht nachkommt, das heißt, der Verantwortliche kein Verzeichnis oder es nicht ordnungsgemäß führt bzw. es auf Anfrage nicht der Aufsichtsbehörde zur Verfügung stellt – kann der Verantwortliche mit einer Verwaltungsstrafe belegt werden.
Wenn Sie wissen möchten, ob die Datenverarbeitungspraxis Ihres Unternehmens den Anforderungen der DSGVO entspricht, kontaktieren Sie uns und wir überprüfen gern mittels Datenschutzaudit Ihre derzeitige Praxis!
Die Datenschutz-Grundverordnung der Europäischen Union (General Data Protection Regulation – GDPR) verpflichtet die Verantwortlichen, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis von Verarbeitungstätigkeiten ist ein Dokument, das von dem Verantwortlichen erstellt und auf dem neuesten Stand gehalten wird, welches – zum Nachweis der Einhaltung der DSGVO-Compliance (Grundsatz der Rechenschaftspflicht) – die seiner Zuständigkeit unterliegenden Verarbeitungstätigkeiten umfasst. In unserem aktuellen Artikel fassen wir die wichtigsten Fragen im Zusammenhang mit dem Führen des Verzeichnisses von Verarbeitungstätigkeiten zusammen.
Ausnahme von der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten – die Kleinstunternehmen sowie die kleinen und mittleren Unternehmen sind nur in engen Ausnahmefällen befreit
Von der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten sind nur die Verantwortlichen befreit, die weniger als 250 Mitarbeiter beschäftigen. Diese Ausnahmeregelung gilt nicht, wenn
- die durch den Verantwortlichen vorgenommene Verarbeitung vermutbar ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (z.B. Videoüberwachung),
- die Datenverarbeitung nicht gelegentlich erfolgt (z.B. Lohnabrechnung, regelmäßiges Senden von Newslettern),
- die Verarbeitung besonderer Kategorien der personenbezogenen Daten (z.B. personenbezogene Daten, aus denen religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten umfasst.
Wenn also eine der oben aufgeführten Ausnahmen vorliegt, muss auch der Verantwortliche, der weniger als 250 Mitarbeiter beschäftigt, ein Verzeichnis von Verarbeitungstätigkeiten führen.
Obligatorische Inhaltselemente für das Verzeichnis von Verarbeitungstätigkeiten
In der DSGVO ist genau festgelegt, welche obligatorischen Inhaltselemente das Verzeichnis von Verarbeitungstätigkeiten beinhalten muss. Das Verzeichnis von Verarbeitungstätigkeiten muss mindestens die folgenden Angaben enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei gemäß Artikel 49 Absatz 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Beschreibung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Formale Anforderungen für das Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten muss schriftlich, in Papierform oder elektronisch (z.B. XLS-Datei) geführt werden. DSGVO schreibt keine sprachlichen Anforderungen für das Verzeichnis von Verarbeitungstätigkeiten vor. Wenn die Verwaltung des Verzeichnisses in einer Fremdsprache durch besondere Umstände nicht gerechtfertigt ist, ist es zu empfehlen, das Verzeichnis in ungarischer Sprache zu führen. Es ist außerdem zu empfehlen, die für einzelnen Verarbeitungstätigkeiten verfügbaren Dokumente und den Ort ihrer Verfügbarkeit in das Verzeichnis aufzunehmen (z. B. Datenverarbeitungsverträge, Tests zur Interessenabwägung, Zertifikate).
Die Änderungen sollten nachvollziehbar sein
Das Führen vom Verzeichnis von Verarbeitungstätigkeiten erfolgt als Ergebnis der Überprüfung von Verarbeitungsprozessen des Verantwortlichen. Es ist jedoch wichtig, dass der Verantwortliche das Verzeichnis auf dem aktuellen Stand halten muss. Daher sollte der Verantwortliche sämtliche zwischenzeitlich eingetretenen Änderungen (z.B. das Erfassen einer neuen Verarbeitungstätigkeit, Löschen oder Ändern von vorhandenen Verarbeitungstätigkeiten – z. B. Erweiterung des Kreises der betroffenen Personen oder Änderung vom Zweck der Verarbeitung) auch im Verzeichnis von Verarbeitungstätigkeiten erfassen. Das Verzeichnis sollte in ausreichendem Maße anzeigen, welche Änderung (Löschung) wann übertragen wurde. Wenn der Verantwortliche seiner Verpflichtung, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, nicht nachkommt, das heißt, der Verantwortliche kein Verzeichnis oder es nicht ordnungsgemäß führt bzw. es auf Anfrage nicht der Aufsichtsbehörde zur Verfügung stellt – kann der Verantwortliche mit einer Verwaltungsstrafe belegt werden.
Wenn Sie wissen möchten, ob die Datenverarbeitungspraxis Ihres Unternehmens den Anforderungen der DSGVO entspricht, kontaktieren Sie uns und wir überprüfen gern mittels Datenschutzaudit Ihre derzeitige Praxis!