Bestimmungen für Verzeichnisse der Verarbeitungstätigkeiten nach EU-DSGVO

AR-ITcon hilft Ihnen bei der Erstellung Ihrer Datenverarbeitungs-Verzeichnisse.

  • Erheben der Datenverarbeitungsprozesse
  • Risikobewertung
  • Ausarbeiten von Maßnahmen
  • Erarbeiten von Löschkonzepten
  • Regelmäßige Aktualisierung und Überprüfung
Kontakt AR-ITcon

Kontaktieren Sie AR-ITcon.

Datenschutzverzeichnis // AR-ITcon
Datenverarbeitungsverzeichnis ©AT_ITcon

Ein Verarbeitungsverzeichnis wird Unternehmen von der EU-DSGVO vorgeschrieben, wenn eines der folgenden Merkmale zutrifft:

  • Unternehmen hat 250 oder mehr Mitarbeiter
  • Die vorgenommenen Verarbeitungen bergen ein Risiko für die Rechte und Freiheiten der betroffenen Personen
  • Die Verarbeitung von personenbezogenen Daten erfolgt nicht nur gelegentlich
  • Die verarbeiteten personenbezogenen Daten gehören besonderen Datenkategorien (Art 9 Abs. 1) an oder es handelt sich um Daten über strafrechtliche Verurteilung und Straftaten (Art. 10)

Es empfiehlt sich, auch für Unternehmen, die nicht in diese Kategorien fallen, ein Verarbeitungsverzeichnis anzulegen, um einen besseren Überblick über die im Unternehmen verarbeiteten persönlichen Daten zu erhalten. Speziell die Frage, ob die Verarbeitung Risiken für die betroffenen Personen bezüglich deren Rechte ergibt, kann nicht immer eindeutig beantwortet werden. Im Zweifel empfiehlt es sich, eine entsprechendes Verzeichnis der Daten-Verarbeitungstätigkeiten zu führen.

Je nach Auslegung des Gesetzestextes könnte man auch annehmen, dass nur dann ein Verarbeitungsverzeichnis zu führen ist, wenn ein mit der Datenverarbeitung verbundenes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht und diese Verarbeitung regelmäßig erfolgt. Solange es diesbezüglich keine eindeutige Rechtsprechung gibt, sollte die strengere Formulierung als richtig angenommen werden. Da es für eine umfangreiche Beurteilung der Datensicherheit durchaus Sinn macht, alle Verarbeitungsprozesse bezüglich personenbezogener Daten im Unternehmen zu erfassen, ist die Ausfertigung eines entsprechenden Verzeichnisses nicht weiter aufwendig.

Die Verwaltungsbehörde ist berechtigt, die Verzeichnisse jederzeit zu prüfen oder sich diese aushändigen zu lassen, jedoch ist es nicht nötig, das Verzeichnis öffentlich zu machen oder eine Meldung abzugeben. Soweit es keine Verschärfung im Österreichischen Recht gibt, sollte damit die bisherige DVR-Nummer obsolet werden.

Vom Gesetzgeber werden 2 Arten von Verzeichnissen verlangt:

  • Verzeichnis für Verantwortliche (Art. 30 Abs. 1)
  • Verzeichnis für Auftragsdatenverarbeiter (Art. 30 Abs. 2)

Inhalt des Verzeichnisses für Verantwortliche:

  • Kontaktdaten des oder der Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Zweck der Verarbeitung
  • Kategorien der betroffenen Personen (Kunden, Personal, Lieferanten, usw.)
  • Kategorien der personenbezogenen Daten
  • Empfänger, denen die Daten offengelegt werden
  • Drittländer, falls eine Übermittlung stattfindet, und die entsprechenden Garantien
  • vorgesehene Fristen für die Löschung
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Inhalt des Verzeichnisses für Auftragsdatenverarbeiter (Art. 30 Abs. 2)

  • Kontaktdaten des Auftragsverarbeiters
  • Kontaktdaten des Auftraggebers
  • Datenschutzbeauftragter des Auftraggebers (falls vorhanden)
  • Kategorie von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
  • Drittländer, falls eine Übermittlung stattfindet, und die entsprechenden Garantien
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

In welchem Detaillierungsgrad die Maßnahmen erfasst werden müssen, ist aktuell noch nicht bekannt; bis Mitte 2017 ist jedoch mit entsprechenden Vorlagen zu rechnen. In dieser Hinsicht sind die deutschen Behörden den österreichischen voraus, da im Bundesdatenschutzgesetz (BDSG) bereits seit langem ein ähnliches Verzeichnis vorgeschrieben ist.

Die Verzeichnisse sind schriftlich zu führen, wobei auch elektronisch geführte Verzeichnisse dezidiert zugelassen sind; allerdings ist bezüglich der Weitergabe Sorge zu tragen.

Es empfiehlt sich, die Verzeichnisse an zentraler Stelle zu führen und aktuell zu halten, um eine Kontrolle oder Aushändigung so unkompliziert wie möglich zu gestalten. Jedenfalls sollten der Datenschutzbeauftragte und die Geschäftsleitung jederzeit Zugriff auf diese haben.