Verzeichnis von Verarbeitungstätigkeiten
Die Geschäftsführung bzw. der Verantwortliche eines Unternehmens ist verpflichtet, die Einhaltung der datenschutzrechtlichen Grundsätze und Vorschriften bei der Verarbeitung personenbezogener Daten nachweisbar zu machen. Grundlage dieser Rechenschaftspflicht ist das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
Dieses Verzeichnis muss in schriftlicher oder elektronischer Form geführt werden und ist der Aufsichtsbehörde auf Anfrage vorzulegen. Zudem gilt: Es ist stets aktuell zu halten.
Inhalte des Verarbeitungsverzeichnisses (Art. 30 Abs. 1 DSGVO):
Das Verzeichnis muss alle Verarbeitungstätigkeiten enthalten, die in den Verantwortungsbereich des Unternehmens fallen, und insbesondere folgende Angaben:
- Name und Kontaktdaten des Verantwortlichen, ggf. gemeinsam Verantwortlicher, Vertreter und Datenschutzbeauftragter
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen sowie der Kategorien personenbezogener Daten
- Kategorien von Empfängern, an die personenbezogene Daten übermittelt wurden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen
- ggf. Angaben zu Datenübermittlungen an Drittländer oder internationale Organisationen inkl. Dokumentation geeigneter Garantien (Art. 49 Abs. 1 UAbs. 2 DSGVO)
- wenn möglich: Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich: allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO
Wer ist verpflichtet?
Nahezu alle Unternehmen und öffentlichen Stellen in Deutschland sind gesetzlich verpflichtet, ein solches Verarbeitungsverzeichnis zu führen.
