Verzeichnis von Verarbeitungstätigkeiten
Ein Verzeichnis von Verarbeitungstätigkeiten ist eine durch das europäische Datenschutzrecht vorgeschriebene Auflistung aller Verarbeitungstätigkeiten personenbezogener Daten. Der Begriff wurde durch die Verordnung (EU) 2016/679, Datenschutz-Grundverordnung (DSGVO) eingeführt. Die frühere Bezeichnung im deutschen Datenschutzrecht lautete Verfahrensverzeichnis. Regelungen zum Verzeichnis über Verarbeitungstätigkeiten finden sich in Artikel 30 der DSGVO und ggf. ergänzende Regelungen in den nationalen Datenschutzgesetzen der EU-Mitgliedsstaaten.
Geschichte
Die Pflicht zur Führung eines Verzeichnisses über Verarbeitungstätigkeiten wurde mit Inkrafttreten der DSGVO am 25. Mai 2018 in der Europäischen Union eingeführt. Die DSGVO löste die bisherigen datenschutzrechtlichen Regelungen der EU-Mitgliedsstaaten ab, nach denen z. B. in Deutschland nach dem Bundesdatenschutzgesetz ein Verfahrensverzeichnis zu führen war. Art. 30 DSGVO verpflichtet Verantwortliche im Sinne des Datenschutzrechts (nach Art. 4 DSGVO ist dies jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“) und dessen Vertreter, ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen zu führen.
Form und Inhalt
Das Verzeichnis aller Verarbeitungstätigkeiten bedarf der Schriftform. Es kann auch digital geführt werden.
Mindestangaben sind
- Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- die Zwecke der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation unter Nennung des Landes oder der Organisation
sowie wenn möglich
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. DSGVO
In Deutschland werden diese Vorgaben in § 70 Bundesdatenschutzgesetz konkretisiert.
Neben den Verantwortlichen sind auch Auftragsverarbeiter, d. h. natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, zur Führung des Verzeichnisses über Verarbeitungstätigkeiten verpflichtet. Deren Verzeichnis muss zusätzlich den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter enthalten.
Rechtsfolgen
Die Verantwortlichen, deren Auftragsverarbeiter sowie deren Vertreter sind verpflichtet, ihr Verzeichnis von Verarbeitungstätigkeiten auf Verlangen der Aufsichtsbehörde zur Verfügung zu stellen.
Bei Verstößen gegen die DSGVO sieht Art. 83 DSGVO Bußgelder vor, so auch bei Verletzung der Verpflichtungen nach Art. 30. Der mögliche Bußgeldrahmen beläuft sich hierbei auf bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.[1]
Weblinks
Einzelnachweise
- Verzeichnis von Verarbeitungstätigkeiten, aufgerufen am 26. September 2019