Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) veröffentlicht im Rahmen der Einführung der EU-Datenschutzgrundverordnung eine Reihe von Praxishilfen, die dabei helfen sollen, sich für 2018 zu wappnen. In Teil 5 wird das Verzeichnis von Verarbeitungstätigkeiten unter die Lupe genommen.

GESONDERT JETZT AUCH FÜR AUFTRAGSVERARBEITER

In der Regel müssen alle Verantwortlichen (Unternehmen/Legaleinheiten/Behörden etc.) ein VVT führen. Auftragsverarbeiter müssen gem. Art. 30 Abs. 2 DS- GVO explizit ein Verzeichnis im Hinblick auf ihre Dienstleistung führen (VVT-AV). Dies entbindet allerdings nicht von der Verpflichtung zu einem originären VVT nach Art. 30 Abs. 1 DS-GVO für die eigenen Geschäftsprozesse. In der Praxis erscheint es sinnvoll, gesonderte Vorlagen für die allgemeinen Verarbeitungen des Unternehmens sowie für den Bereich der Auftragsverarbeitung zu haben (jeweils mit eigenem Aufbau und als gesonderte Formulare).

FORMALIEN

Das VVT darf in einem elektronischen Format ge- führt werden. Wegen der Vorlagepflicht gegenüber der Aufsichtsbehörde in Art. 30 Abs. 4 DS-GVO muss es in elektronischer oder gedruckter Form exportierbar sein. Damit ist eine einfache Zusammenstellung von internen Hyperlinks nicht tauglich, wohl aber ein Dokument, das auf beigefügte Anlagen verweist.

IN HÄNDEN DES VERANTWORTLICHEN

Im Gegensatz zum Verfahrensverzeichnis nach BDSG ist das VVT nicht an den Datenschutzbeauftragten zu übergeben, sondern unmittelbar vom Verantwortlichen zu führen. Es mag naheliegen, das Verzeichnis zentral führen zu wollen. Auch die Art.-29-Datenschutzgruppe erachtet es für zulässig, den DSB mit der Erstellung/Führung/P ege zu betrauen,5 doch es muss stets klar sein, dass das Verzeichnis der Verantwortung des Unternehmens obliegt. Die Angaben zum Verzeichnis sind durch das Unternehmen bzw. – im Wege der Delegation – die Fachbereiche beizubringen.

INHALTE

Die Inhalte des VVT für Verantwortliche ergeben sich aus Art. 30 Abs. 1 DS-GVO und umfassen:

  •  den Namen und die Kontaktdaten
    • des Verantwortlichen;
    • ggf. des gemeinsam mit ihm Verantwortlichen;
    • ggf. des Vertreters in der EU;
    • ggf. des Datenschutzbeauftragten beimVerantwortlichen;
  • die Zwecke der Verarbeitung;
  • die Kategorien betroffener Personen;
  • die Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
  • gegebenenfalls Übermittlungen von personen- bezogenen Daten an ein Drittland oder an eine internationale Organisation
    • einschließlich der Angabe des betreffendenDrittlands oder der betreffenden internationalen Organisation;
    • bei den in Art. 49 Abs. 1 UAbs. 2 DS-GVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • eine allgemeine Beschreibung der technischen und organisatorischen Maß- nahmen gem. Art. 32 Abs. 1 DS-GVO.

Eine entsprechende Word-Vorlage, sowie die relevanten Inhalte für ein Verzeichnis speziell für Auftragsverarbeiter finden sich in der PDF sowie auf den Seiten der GDD.