Verzeichnis von Verarbeitungstätigkeiten
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Dokumentation der Verarbeitung personenbezogener Daten » Verzeichnis von Verarbeitungstätigkeiten

Ein Verzeichnis von Verarbeitungstätigkeiten kan in schriftlicher oder elektronischer Form geführt werden[1]. Sie müssen also entweder ein organisationsspezifisches Formular ausfüllen oder Ihre Informationen in ein (Datenschutz-)Verwaltungssystem eingeben.

Um einen ersten Eindruck zu vermitteln, umfasst ein Verzeichnis von Verarbeitungstätigkeiten mindestens die folgenden Punkte[2]:

  • den Namen und die Kontaktdaten des Verantwortlichen, des Vertreters des Verantwortlichen und des Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten;
  • die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden;
  • gegebenenfalls die Übermittlung personenbezogener Daten in ein Drittland (siehe „Übermittlung von Daten in Drittländer“ in Teil II, Abschnitt „Wichtigste Instrumente und Maßnahmen“ dieser Leitlinien) zusammen mit der Dokumentation geeigneter Garantien;
  • soweit anwendbar die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (siehe „Speicherbegrenzung“ in Teil II, Abschnitt „Grundsätze“ dieser Leitlinien”);
  • wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Garantien (siehe „Integrität und Vertraulichkeit“ in Teil II Abschnitt „Grundsätze“ dieser Leitlinien);.

Ihre Organisation kann einen anderen Satz von Elementen verwenden, da sie einerseits bereits im Besitz einiger dieser Informationen ist (z. B. der erste Punkt) und andererseits zusätzliche Informationen benötigt (z. B. den Kontakt der für die jeweilige Verarbeitungstätigkeit verantwortlichen Person). Es ist möglich, dass die gesetzlich vorgeschriebenen Aufzeichnungen mit den Verwaltungserfordernissen der Organisation kombiniert werden, wie z. B. ein internes Inventar der Datenverarbeitungs- und Computerressourcen.

Ihre Organisation kann auch mehrere Systeme verwenden, z. B. je nachdem, ob sie als Verantwortlicher oder als Auftragsverarbeiter agiert, oder zwischen dauerhaften Datenverarbeitungstätigkeiten (wie Kommunikationssysteme und Buchhaltung) und vorübergehenden (z. B. im Zusammenhang mit zeitlich begrenzten Projekten oder Aufträgen) unterscheiden. Die Erstellung und Pflege von Aufzeichnungen über mehrere Systeme hinweg ist nach der Datenschutz-Grundverordnung nicht verboten.

Sollten Sie Schwierigkeiten haben, die angeforderten Informationen bereitzustellen, kann Ihnen Ihr Datenschutzbeauftragter (falls es in Ihrer Organisation einen solchen gibt) weiterhelfen.

Checkliste (Verzeichnis von Verarbeitungstätigkeiten)

  • Wenden Sie sich an die Stelle/Person, die die Verzeichnisse von Verarbeitungstätigkeiten für Ihre Organisation führt.
    • Falls erforderlich, kann Ihr Datenschutzbeauftragter bei der Kontaktaufnahme behilflich sein.
  • Informieren Sie sie frühzeitig darüber, dass Sie beabsichtigen, personenbezogene Daten zu verarbeiten.
    • Ihre Verarbeitungstätigkeit muss vor Beginn der Verarbeitung in die Verzeichnisse eingetragen werden.
  • Befolgen Sie deren Anweisungen in Bezug auf:
    • welche Informationen Sie für das Verzeichnis von Verarbeitungstätigkeiten bereitstellen müssen,
    • wann Sie Aktualisierungen dieser Informationen übermitteln müssen.

 

Quellenangaben

1Siehe Art. 30 Absatz 3 DSGVO.

2Siehe Art. 30 Absatz 1 DSGVO für weitere Einzelheiten.

 

Skip to content