Verzeichnis von Verarbeitungstätigkeiten – Datenschutz

Die Pflicht zur Erstattung von DVR-Meldungen (Meldungen an das Datenverarbeitungsregister der Datenschutzbehörde) ist entfallen. Registrierungen im DVR wurden gegenstandslos.

Stattdessen müssen Verantwortliche sowie Auftragsverarbeiter ein Verzeichnis all ihrer Datenverarbeitungstätigkeiten führen (Datenverarbeitungsverzeichnis). Das Verzeichnis muss schriftlich (einschließlich elektronisch) geführt werden. Es muss laufend aktualisiert werden. Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen.

Verantwortliche

Das Datenverarbeitungsverzeichnis eines Verantwortlichen betrifft sämtliche Verarbeitungstätigkeiten, die in seiner Zuständigkeit liegen. Das Verzeichnis muss Folgendes enthalten:

  • Namen und Kontaktdaten
    • Des Verantwortlichen
    • Des etwaigen Vertreters des Verantwortlichen
    • Eines etwaigen Datenschutzbeauftragten
  • Zwecke jeder einzelnen Datenverarbeitung
  • Kategorien betroffener Personen (z.B. Kunden)
  • Kategorien verarbeiteter Daten (z.B. Adressdaten)
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden (z.B. Sozialversicherung oder Finanzamt), einschließlich Empfängerinnen/Empfänger in Drittstaaten (z.B. USA) oder internationalen Organisationen
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an einen Drittstaat oder an eine internationale Organisation, einschließlich der Angabe des Drittstaates oder der internationalen Organisation
  • Nach Möglichkeit: Aufbewahrungsdauer der verschiedenen Datenkategorien
  • Nach Möglichkeit: Allgemeine Beschreibung der Maßnahmen zum Schutz personenbezogener Daten (z.B. Verschlüsselung der Daten)

Ausführliche Muster und ausgefüllte Beispiele von Datenverarbeitungsverzeichnissen sind am Ende dieser Seite abrufbar.

Auftragsverarbeiter

Das Datenverarbeitungsverzeichnis eines Auftragsverarbeiters betrifft sämtliche Verarbeitungstätigkeiten, die im Auftrag eines Verantwortlichen durchgeführt werden. Das Verzeichnis muss Folgendes enthalten:

  • Namen und Kontaktdaten
    • Des Auftragsverarbeiters
    • Der Verantwortlichen, in deren Auftrag der Auftragsverarbeiter tätig ist
    • Des etwaigen Vertreters des Verantwortlichen oder des Auftragsverarbeiters
    • Eines etwaigen Datenschutzbeauftragten
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an einen Drittstaat (z.B. USA) oder an eine internationale Organisation, einschließlich der Angabe des Drittstaates oder der internationalen Organisation
  • Nach Möglichkeit: Allgemeine Beschreibung der Maßnahmen zum Schutz personenbezogener Daten (z.B. Verschlüsselung der Daten)

Ausführliche Muster und ausgefüllte Beispiele von Datenverarbeitungsverzeichnissen sind am Ende dieser Seite abrufbar.

Zusammenarbeit mit der Aufsichtsbehörde

Verantwortliche und Auftragsverarbeiter sind verpflichtet, bei der Erfüllung ihrer Aufgaben mit der Aufsichtsbehörde (das ist die Datenschutzbehörde) zusammenzuarbeiten. Auf Anfrage müssen sie der Behörde die Datenverarbeitungsverzeichnisse vorlegen.

Online-Ratgeber und -Rechner

Rechtsgrundlagen

Zum besseren Verständnis und zur leichteren Lesbarkeit gilt in diesem Text bei allen personenbezogenen Bezeichnungen die gewählte Form für beide Geschlechter.

Stand: 12.04.2019

Abgenommen durch:
  • USP-Redaktion

Bewertung

War diese Information hilfreich? erforderliches Feld
Transparente Grafik zwecks Webanalyse