Verantwortung durchgeführten Verarbeitungstätigkeiten führen. Ebenso muss jeder Ihrer Auftragsverarbeiter ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führen, die in Ihrem Auftrag durchgeführt werden.
Diese Pflicht gilt jedoch nicht, wenn die folgenden kumulativen Bedingungen erfüllt sind:
- das betreffende Unternehmen oder die betreffende Organisation hat weniger als 250 Beschäftigte,
- die von ihr durchgeführte Verarbeitung ist wahrscheinlich nicht mit einem Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden,
- die von ihr durchgeführte Verarbeitung erfolgt nur gelegentlich,
- die von ihr durchgeführte Verarbeitung betrifft keine sogenannten "sensiblen" Daten gemäß Art. 9 Abs. 1 der DSGVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 der DSGVO.
Die Führung eines Verzeichnisses der Verarbeitungen ermöglicht es Ihnen, die Auswirkungen der EU-Datenschutzverordnung auf Ihre Tätigkeit konkret zu messen. Sie ist daher in jedem Fall empfehlenswert in Ihrem Bemühen, die Rechenschaftspflicht gegenüber der DSGVO zu erfüllen.
Was muss das Verzeichnis von Verarbeitungstätigkeiten eines für die Verarbeitung Verantwortlichen beinhalten?
- Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und ggf. des Gemeinsam für die Verarbeitung Verantwortlichen, des Vertreters des für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, denen die personenbezogenen Daten übermittelt wurden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung des Drittlandes oder der internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 der DSGVO, der Unterlagen, die das Vorhandensein geeigneter Garantien belegen;
- Soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- soweit möglich, eine allgemeine Beschreibung der in Artikel 32 Absatz 1 der DSGVO genannten technischen und organisatorischen Sicherheitsmaßnahmen.
Was muss das Verzeichnis von Verarbeitungstätigkeiten eines Auftragsverarbeiters beinhalten?
- Name und Kontaktdaten des oder der Auftragsverarbeiter und jedes für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter handelt, sowie gegebenenfalls Name und Kontaktdaten des Vertreters des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und des Datenschutzbeauftragten;
- die Kategorien von Verarbeitungen, die im Auftrag jedes für die Verarbeitung Verantwortlichen durchgeführt werden;
- Gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung des Drittlandes oder der internationalen Organisation, und im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 der DSGVO die Unterlagen, die das Vorhandensein geeigneter Garantien belegen;
- soweit möglich, eine allgemeine Beschreibung der in Artikel 32 Absatz 1 der DSGVO genannten technischen und organisatorischen Sicherheitsmaßnahmen.
Unter welcher Form muss das Verzeichnis der Verarbeitungstätigkeiten vorliegen?
Die DSGVO legt kein einheitliches Muster oder Format für das Verzeichnis der Verarbeitungstätigkeiten fest. Jeder für die Verarbeitung Verantwortliche oder Auftragsverarbeiter kann daher das Format verwenden, das er für richtig hält, solange die in Artikel 30 der DSGVO genannten Informationen enthalten sind.
Darüber hinaus stellen auch die französische Datenschutzbehörde sowie die belgische und die bayerische Datenschutzbehörde ein Muster für das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung.
Die CNPD möchte Sie jedoch darauf aufmerksam machen, dass keines dieser Modelle alle denkbaren Situationen abdeckt. Daher ist es möglich und sogar empfehlenswert, eine dieser Vorlagen zu ändern oder eine neue Vorlage zu erstellen, um den spezifischen Kontext und die Besonderheiten Ihrer Organisation zu berücksichtigen.