Chefredakteur

Kategorien

EU-Recht: Verfahrensverzeichnis 2.0 nach EU-DSGVO


Das Verfahrensverzeichnis wird abgelöst. | © arybickii/fotolia.com

Spätesten im Juni 2018 ist es soweit: Das EU-Datenschutzrecht namens EU-Datenschutz-Grundverordnung (EU-DSGVO) muss angewendet werden.

Wichtigste formale Anforderung an die Unternehmen: Die Datenverarbeitungen sind nach vorgegebenem Standard zu dokumentieren. Das Verfahrensverzeichnis des BDSG wird abgelöst durch das „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 EU-DSGVO).

Und was steht drin?

(1)   Name des Verantwortlichen

(2)   Name des Vertreter des Verantwortlichen sowie des Datenschutzbeauftragten

(3)   Kontaktdaten des Verantwortlichen

(4)   Datensicherheitsbeschreibung

(5)   Löschkonzept

Sodann im Einzelnen:

(6)   Name der Datenverarbeitung (des Prozesses)

(7)   Konkreter Zweck der Datenverarbeitung

(8)   Kategorien betroffener Personen, deren Daten verarbeitet werden

(9)   Kategorien personenbezogener Daten, die verarbeitet werden

(10)  Kategorien von Empfängern (tatsächliche, beabsichtigte), denen die personenbezogenen Daten mitgeteilt werden

(11)  Drittländer, an die Daten weitergegeben werden, unter Angabe des konkreten Drittlands und bei Ausnahmetransfer der Drittlandsgarantien

Welche(s) Einrichtung/Unternehmen muss dieses Verzeichnis von Verarbeitungstätigkeiten aufstellen?

Es gilt allgemein die 250er-Regel. Das Verzeichnis von Verarbeitungstätigkeiten muss nur aufgestellt werden, wenn das Unternehmen/die Einrichtung mindestens 250 Mitarbeiter hat.

Doch: Verarbeitet das Unternehmen/die Einrichtung a) Daten mit Risiken für die Rechte und Freiheiten der betroffenen Personen, b) insbesondere sensitive Daten oder c) personenbezogene Daten über strafrechtliche Verurteilungen oder d) erfolgt die Datenverarbeitung stetig, nicht nur gelegentlich, muss auch bei Unternehmen/Einrichtungen mit weniger als 250 Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden.

Näheres dazu in der Mai-Ausgabe des Datenschutz-Berater (DSB 05/2016).

(Philipp Kramer, Chefredakteur Datenschutz-Berater)


Top