GDD Praxishilfen zur DSGVO Teil 5 – Verzeichis von Verarbeitungstätigkeiten

Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) veröffentlicht im Rahmen der Einführung der EU-Datenschutzgrundverordnung eine Reihe von Praxishilfen, die dabei helfen sollen, sich für 2018 zu wappnen. In Teil 5 wird das Verzeichnis von Verarbeitungstätigkeiten unter die Lupe genommen.

GESONDERT JETZT AUCH FÜR AUFTRAGSVERARBEITER

In der Regel müssen alle Verantwortlichen (Unternehmen/Legaleinheiten/Behörden etc.) ein VVT führen. Auftragsverarbeiter müssen gem. Art. 30 Abs. 2 DS- GVO explizit ein Verzeichnis im Hinblick auf ihre Dienstleistung führen (VVT-AV). Dies entbindet allerdings nicht von der Verpflichtung zu einem originären VVT nach Art. 30 Abs. 1 DS-GVO für die eigenen Geschäftsprozesse. In der Praxis erscheint es sinnvoll, gesonderte Vorlagen für die allgemeinen Verarbeitungen des Unternehmens sowie für den Bereich der Auftragsverarbeitung zu haben (jeweils mit eigenem Aufbau und als gesonderte Formulare).

FORMALIEN

Das VVT darf in einem elektronischen Format ge- führt werden. Wegen der Vorlagepflicht gegenüber der Aufsichtsbehörde in Art. 30 Abs. 4 DS-GVO muss es in elektronischer oder gedruckter Form exportierbar sein. Damit ist eine einfache Zusammenstellung von internen Hyperlinks nicht tauglich, wohl aber ein Dokument, das auf beigefügte Anlagen verweist.

IN HÄNDEN DES VERANTWORTLICHEN

Im Gegensatz zum Verfahrensverzeichnis nach BDSG ist das VVT nicht an den Datenschutzbeauftragten zu übergeben, sondern unmittelbar vom Verantwortlichen zu führen. Es mag naheliegen, das Verzeichnis zentral führen zu wollen. Auch die Art.-29-Datenschutzgruppe erachtet es für zulässig, den DSB mit der Erstellung/Führung/P ege zu betrauen,5 doch es muss stets klar sein, dass das Verzeichnis der Verantwortung des Unternehmens obliegt. Die Angaben zum Verzeichnis sind durch das Unternehmen bzw. – im Wege der Delegation – die Fachbereiche beizubringen.

INHALTE

Die Inhalte des VVT für Verantwortliche ergeben sich aus Art. 30 Abs. 1 DS-GVO und umfassen:

den Namen und die Kontaktdaten
- des Verantwortlichen;
- ggf. des gemeinsam mit ihm Verantwortlichen;
- ggf. des Vertreters in der EU;
- ggf. des Datenschutzbeauftragten beimVerantwortlichen;
die Zwecke der Verarbeitung;
die Kategorien betroffener Personen;
die Kategorien personenbezogener Daten;
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
gegebenenfalls Übermittlungen von personen- bezogenen Daten an ein Drittland oder an eine internationale Organisation
- einschließlich der Angabe des betreffendenDrittlands oder der betreffenden internationalen Organisation;
- bei den in Art. 49 Abs. 1 UAbs. 2 DS-GVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
eine allgemeine Beschreibung der technischen und organisatorischen Maß- nahmen gem. Art. 32 Abs. 1 DS-GVO.

Eine entsprechende Word-Vorlage, sowie die relevanten Inhalte für ein Verzeichnis speziell für Auftragsverarbeiter finden sich in der PDF sowie auf den Seiten der GDD.