AKTUELLE NEWS

"DSGVO Dokumentationspflicht"

06. September 2017

 

Ab 25.05.2018 sind Unternehmen dazu verpflichtet ein „Verzeichnis der Verarbeitungstätigkeiten“ zu führen. In diesen Verzeichnissen sind alle Verarbeitungen von personenbezogenen Daten abzubilden. Bisher wurden solche Datenverarbeitungen an das Datenverarbeitungsregister (DVR) gemeldet, welches jedoch mit Wirksamwerden der DSGVO im Mai 2018 von jedem Unternehmen selbstständig zu führen ist.

 

Der Aufbau eines Verzeichnisses der Verarbeitungstätigkeiten gem. Art. 30 DSGVO stellt Unternehmen vor eine große Herausforderung, daher wird im folgenden Artikel beschreiben, wie ein solches Verzeichnis gestaltet werden kann und wer dazu verpflichtet ist, dieses zu führen.

 

 

 

Wann muss ich ein „Verzeichnis der Verarbeitungstätigkeiten gem. Art 30 DSGVO“ führen?

 

Grundsätzlich trifft die Dokumentationspflicht alle Unternehmen und Einrichtungen, die mindestens 250 Mitarbeiter beschäftigen. Unternehmen, in denen weniger als 250 Mitarbeiter beschäftigt sind, sind nur dann zur Führung eines Verzeichnisses verpflichtet, wenn die Verarbeitung:

 

  • ein Risiko für Rechte und Freiheiten der betroffenen Person birgt

  • nicht nur gelegentlich erfolgt

  • besonderer Datenkategorien (sensible Daten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten erfolgt

 

Trifft keine diese Ausnahmen zu, sind Unternehmen mit weniger als 250 Mitarbeitern von der Dokumentationspflicht befreit.

 

 

 

Was muss dieses Verzeichnis beinhalten und wie sieht die Vorgehensweise zur Abbildung eines solchen aus?

 

Um ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO zu führen, muss in erster Linie eine Analyse des eigenen Unternehmens stattfinden. Diese Analyse erfolgt im besten Fall in Form eines Prozesses, der wie folgt gestaltet werden kann.

 

  1. Identifikation aller Verarbeitungstätigkeiten im Unternehmen

  2. Zuordnung, welche Kategorien personenbezogener Daten im Zuge dieser Verarbeitungstätigkeit verarbeitet werden

  3. Zuordnung, welche Kategorien von Personen von der Datenverarbeitung betroffen sind

  4. Zuordnung aller IT-Systeme und digitalen/physischen Dateiablagen, die im Zuge der jeweiligen Verarbeitungstätigkeit verwendet/durchgeführt werden

  5. Definition der Zwecke der Verarbeitung

  6. Definition der Rechtsgrundlage der Verarbeitung

  7. Identifikation von Empfängern denen im Zuge der jeweiligen Tätigkeit personenbezogene Daten offengelegt werden inkl. Empfänger in Drittländern

 

Auch Auftragsverarbeiter sind von der Dokumentationspflicht betroffen. Werden Verarbeitungstätigkeiten im Auftrag des Verantwortlichen durchgeführt muss über diese ebenfalls ein Verzeichnis geführt werden – jedoch mit erleichterten Formvorschriften.

 

Sowohl die Verzeichnisse von Verantwortlichen als auch die von Auftragsverarbeitern sind schriftlich zu führen (auch in elektronischem Format) und müssen bei einer Anfrage durch die Aufsichtsbehörde dieser vorgelegt werden. Durch diese Regelung ist es der Aufsichtsbehörde möglich, die betreffenden Verarbeitungsvorgänge zu kontrollieren.

Mit einem Anruf sind Sie besser beraten: +43 (0)463 276376

by secriso Consulting GmbH

Österreich | Austria

All rights reserved.

Social Web: