DSGVO – Verarbeitungsverzeichnis FAQ

Fragen und Antworten zum Verarbeitungsverzeichnis gemäß DSGVO

Wer muss ein Verarbeitungsverzeichnis führen? Was muss es beinhalten? Ist spezielle Software notwendig? Gibt es Vorlagen und Beispiele?

1: Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Kurz zusammen gefasst: Jede Organisation und jedes Unternehmen hat ein Verarbeitungsverzeichnis zu führen. Auftragsverarbeiter müssen ein (abgespecktes) Verzeichnis für jede/n ihrer Kunden führen.

Verantwortliche (= die für die Verarbeitung verantwortliche Person) müssen schriftlich ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. Dazu formuliert die DSGVO eine Ausnahme: Für Organisationen unter 250 Mitarbeitern ist ein Verzeichnis nur für folgende Verarbeitungstätigkeiten zu führen: * es besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen,

  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es werden sensible oder strafrechtlich relevante Daten verarbeitet.

Der erste und zweite Punkt trifft defacto jede Organsiation und jedes Unternehmen.

2: Was muss ein Verzeichnis für Verarbeitungstätigkeiten beinhalten?

  • Namen und Kontaktdaten der Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • Zweck der Datenverarbeitung
  • Rechtsgrundlage (nicht Pflicht, aber aufgrund der Nachweisbarkeit empfohlen)
  • Beschreibung der Kategorien der betroffenen Personen
  • Beschreibung der Kategorien personenbezogener Daten
  • Kategorien von Empfängern, denen gegenüber personenbezogene Daten offengelegt werden (einschließlich Empfänger außerhalb der EU oder in internationalen Organisationen)
  • Vorgesehene Fristen für die Löschung der Datenkategorien
  • Allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

3: Was muss ein Verarbeitungsverzeichnis für Auftragsverarbeiter beinhalten?

  • Name und Kontaktdaten der AuftragsverarbeiterIn
  • Name und Kontaktdaten jedes Verantwortlichen, in dessen Auftrag sie/er tätig ist. (Ggf. VertreterIn des/der Verantwortlichen, Datenschutzbeauftragte/r)
  • Kategorie der Verarbeitungen, die im Auftrag durchgeführt werden.
  • Ggf. Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation, Dokumentierung geeigneter Garantien.
  • allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.

4: Ist zur Führung des Verzeichnisses eine spezielle Software notwendig?

Nein. Grundsätzlich gibt es Software in allen Preisklassen. Vorgeschrieben ist davon keine. Die einzige Vorgabe ist, das Verzeichnis schriftlich zu führen. D.h. eine Tabelle ist genauso geeignet, wie ein Textdokument. Die Form ist frei, die Inhalte müssen passen (siehe 1 und 2). Je nach Komplexität und Große der Datenverarbeitungen kann die Verwendung einer speziellen Software Sinn machen. Für kleinere Organisationen ist das nicht notwendig.

5: Gibt es Vorlagen oder Beispiele für ein Datenverarbeitungsverzeichnis?

Ja, z.B. stellt die Wiener Wirtschaftskammer (seitlich im Bereich Downloads) Muster und Beispiele zur Verfügung.

In unseren Beratungen verwenden wir eine Verzeichnisvorlage basierend auf jener der WKO. Die Vorlage der WKO geht von Verarbeitungszwecken personenbezogener Daten aus. Unsere, nach eigener Beratungserfahrung adaptierte Vorlage, geht von Personen und erst in weiterer Folge von Verarbeitungszwecken aus. Diese Vorgehensweise hat sich bei unseren Kunden als anschlussfähiger und zielführender herausgestellt.


Quellen:

Disclaimer: siehe Impressum