Verzeichnis der Verarbeitungstätigkeiten

von

Muss ich ein solches Verzeichnis überhaupt führen?

Kein Verzeichnis von Verarbeitungstätigkeiten müssen Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern führen, es sei denn, es handelt sich um die Verarbeitungen personenbezogener Daten durch, die

    1. ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z. B. Betrugspräventionsverfahren) oder
    2. besondere Datenkategorien wie Religionsdaten, Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung etc. oder über strafrechtliche Verurteilungen und Straftaten oder
    3. nicht nur gelegentlich erfolgen
      (alle sonstigen Verarbeitungen, z. B. Lohnabrechnungen, Kundendatenverwaltung, IT- /Internet-/E-Mail-Protokollierung, Schulnoten).

    Einschätzung der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW:

    "Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist."

Was muss drin stehen?

Es gibt dieses Verzeichnis wie geschrieben für Auftragsverarbeiter (Provider, Steuerberater etc.) und für Verantwortliche.
Ich zeige hier eine Übersicht der Inhalte für das Verzeichnis von Verantwortlichen (Unternehmern, Freiberuflern, Lehrern etc.)

    1. Namen und Kontaktdaten
    2. Zwecke der Verarbeitung (z.B. Stammdaten, Abrechnungen, Arbeitszeiterfassung, Telefondatenerfassung..)
    3. Kategorien betroffener Personen (z.B. Beschäftigte, Kunden)
    4. Kategorien der Empfänger (z.B. Banken, Sozialversicherungsträger, Finanzamt, interne Abteilung)
    5. Übermittlung in Drittländer
    6. Speicherdauer (wann wird gelöscht)
    7. Technische und organisatorische Maßnahmen
    8. Maßnahmenbereiche (Pseudonymisierung oder Verschlüsselung personenbezogener Daten, aber auch Maßnahmen nach einem physischen oder technischen Notfall, zur Verfügbarkeit derDaten etc.)

Wie sieht das konkret aus?

Die Website der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW bietet Muster für diese Verzeichnisse

Muster für Verantwortliche (VA)
Muster für Auftragsverarbeiter (AV)

Und hier gibts weitere Erläuterungen:

Hinweise für das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DS-GVO (Hinweise)

Zurück

© 2000-2020 Lisa Blum • ImpressumDatenschutzNewsletter abonnieren