Datenschutz, Verzeichnis der Verarbeitungen für Verantwortliche, Art. 30 Abs. 1 DSGVO

Kurzbeschreibung

Der Verantwortliche für die Verarbeitung personenbezogener Daten, muss gem. Art. 30 Abs. 1 DSGVO ein Verzeichnis über die Verarbeitung führen.

Vorbemerkung

Ab dem 25.5.2018 entfaltet die Europäische Datenschutz-Grundverordnung (kurz "DSGVO") unmittelbare Wirkung in allen Mitgliedsstaaten der Europäischen Union. Alle Verantwortlichen werden nach Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses über alle Verarbeitungstätigkeiten verpflichtet.

Unternehmen müssen alle Verarbeitungen dokumentieren, die als "Verantwortlicher" durchgeführt werden. Den Umfang des Verzeichnisses, das entweder schriftlich oder in elektronischer Form geführt werden muss, wird in Art. 30 Abs. 1 DSGVO bestimmt.

(Keine) Ausnahme von der Verpflichtung

Die Verpflichtung zur Führung eines Verzeichnisses nach Art. 30 Abs. 1 DSGVO besteht gem. Art. 30 Abs. 5 DSGVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn

• die Verarbeitungen bergen ein Risiko für die Rechte und Freiheiten von natürlichen Personen,
• die Verarbeitung erfolgt nicht nur gelegentlich oder
• es erfolgt eine Verarbeitung sog. besonderer Kategorien von personenbezogenen Daten (gem. Art. 9 Abs. 1 bzw. 10 DSGVO).

In der Praxis wird diese Ausnahme wohl kaum eine Rolle spielen. Erfolgt im Unternehmen eine Lohnbuchhaltung, so werden zwangsläufig die Zugehörigkeiten zu Konfessionen "verarbeitet". Die Zugehörigkeit zu einer Konfession ist eine in Art. 9 DSGVO genannte "besondere Kategorie von personenbezogenen Daten". Da ein Unternehmen zwangsläufig im Rahmen der Lohnbuchhaltung besondere Kategorien von personenbezogenen Daten verarbeitet, wird die Ausnahmeregelung in der Praxis (gar) keine Rolle spielen.

Verzeichnis der Verarbeitungen

• Dokument in Textverarbeitung übernehmen

1. Name und Kontaktdaten des Verantwortlichen ....................
2. Name und Kontaktdaten des Datenschutzbeauftragten ....................

3. Name und Beschreibung der Datenverarbeitung ....................

   [Beispiel Lohnbuchhaltung: "Die Lohnbuchhaltung wird durch ein externes Steuerbüro durchgeführt. Aus der Personalabteilung werden dem externen Steuerbüro mittels einer verschlüsselten E-Mail die relevanten Unterlagen bereitgestellt. Das Lohnbüro übersendet die Lohnabrechnungen auf demselben Wege an die Leitung der Personalabteilung. Die Lohnabrechnungen werden durch die Personalabteilung ausgedruckt und den Beschäftigten persönlich übergeben. Die Auszahlung der Gehälter erfolgt durch die Finanzabteilung."]

4. Zweck der Datenverarbeitung ....................

   [Beispiel Lohnbuchhaltung: "Abführen von Sozialausgaben und Steuern"]

5. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten ....................

   [Beispiel: Beschäftigte: Name, Anschrift, Gehalt, Konfession, …]

6. Kategorien der Empfänger der personenbezogenen Daten ....................

   [Beispiel: "extern: Steuerbüro …, intern: Finanzbuchhaltung"]

7. Übermittlungen in Drittländer ....................

   [Beispiel. "Eine Übermittlung der Daten in Drittländer findet nicht statt."]

8. Löschfrist ....................

   [Beispiel: 10 Jahre aufgrund gesetzlicher Aufbewahrungsverpflichtung gem. ....................]

9. Beschreibung der technischen und organisatorischen Maßnahmen ....................