Was ist ein Verzeichnis von Verarbeitungstätigkeiten

Es handelt sich hier um eine Beschreibung und Übersicht der Verfahren, bei denen personenbezogene Daten verarbeitet werden. Inhaltlich sind u.a. folgende Angaben zu nennen (Art. 30 DSGVO)

1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
2. die Zwecke der Verarbeitung
3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Ein Beispiel für ein Verfahren können und weitere Informationen erhalten Sie hier beim https://www.baden-wuerttemberg.datenschutz.de/ds-gvo/ 

Eine Pflicht für jeden Auftragsverarbeiter und nahezu jedem Unternehmen besteht!

Hier einige Auszüge aus dem Art. 30 DSGVO, welche das Führen eines Verzeichnisses von Verarbeitungstätigkeiten regelt

1 Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen...

2 Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung...

3 Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

4 Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

5 Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikel 10.

Pflicht auch für kleine Unternehmen

Durch die Ausnahme "die Verarbeitung erfolgt nicht nur gelegentlich" dürfte es für nahezu jedes Kleinstunternehmen die Pflicht bestehen ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

Sprechen Sie uns an, wir unterstützen Sie gerne hierbei