Verantwortliche haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu führen.
Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein solches Verzeichnis zu führen, sofern die Verarbeitung personenbezogener Daten gelegentlich erfolgt und keine besonders schutzwürdigen personenbezogenen Daten (z. B. Daten zur Religion) verarbeitet werden.
Im Rahmen der Lohn- und Gehaltsabrechnung oder bei Gewinnausschüttungen von Genossenschaften an natürliche Personen werden wegen der Verpflichtung zum Kirchensteuerabzug Religionsdaten verarbeitet, sodass diese Vereinfachungsregelung in Deutschland nur in seltenen Fällen greifen wird, zumal bei 250 Beschäftigten die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgen kann. Betroffene haben keinen Anspruch darauf, dass ihnen die Verarbeitungsübersicht ausgehändigt wird, wohl aber die Aufsichtsbehörde.
Selbst wenn im Einzelfall keine Verpflichtung zur Führung eines Verarbeitungsverzeichnisses bestehen sollte, wird es sinnvoll sein, ein solches Verzeichnis zu führen, da es jederzeit möglich sein muss, die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) und die getroffenen technischen und organisatorischen Maßnahmen gegenüber der Aufsichtsbehörde nachzuweisen (Rechenschaftspflicht).
Zu Einzelheiten zu den Verfahrensverzeichnissen siehe Dokumentationspflichten, Kap. 2 Verzeichnis der Verarbeitungstätigkeiten.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Finance Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen