Haben Sie schon ein Verarbeitungsverzeichnis?

Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Diese verlangt von fast allen Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten. Was das ist und wer betroffen ist, erfahren Sie hier.

Wer muss ein Verzeichnis der Verarbeitungstätigkeiten führen?
Grundsätzlich alle Unternehmen und Vereine, die personenbezogene Daten verarbeiten, brauchen ein Verarbeitungsverzeichnis. Kein Datenverarbeitungsverzeichnis brauchen Sie, wenn alle der folgenden Voraussetzungen gleichzeitig zutreffen:

  • Weniger als 250 Mitarbeiter
  • Die Datenverarbeitung stellt kein Risiko für die Rechte und Freiheiten der betroffenen Personen dar.
  • Die Verarbeitung erfolgt nur gelegentlich.
  • Es werden keine sensiblen Daten bzw. Daten über strafrechtliche Verurteilungen verarbeitet.

Diese Ausnahmebestimmung ist jedoch insgesamt nicht sehr praxisrelevant. Es ist daher zum jetzigen Zeitpunkt davon auszugehen, dass grundsätzlich alle Unternehmen und Vereine, die eine Kunden- oder Mitgliederdatenbank führen oder eine Mitarbeiterverwaltung betreiben, ein Verarbeitungsverzeichnis benötigen.

Verantwortliche müssen mehr dokumentieren
Die DSGVO unterscheidet zwischen Verantwortlichen und Auftragsverarbeitern. Ein Verantwortlicher entscheidet allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Ein Auftragsverarbeiter bearbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Tipp: Wenn Sie nicht sicher sind, in welche der beiden Kategorien Sie fallen, fragen Sie Ihre Berufsvertretung wie Kammer oder Fachgruppe.

Verarbeitungsverzeichnis Verantwortliche
Das Verarbeitungsverzeichnis eines Verantwortlichen muss folgende Informationen enthalten:

  • Namen und Kontaktdaten vom Verantwortlichen, Vertreter und falls vorhanden vom Datenschutzbeauftragten
  • Zweck der Datenverarbeitung
  • Welche personenbezogenen Daten werden verarbeitet und welche Personen sind betroffen? (nur allgemein, keine Namen)
  • Wer sind die Empfänger der personenbezogenen Daten?
  • Übermittlung ins Drittland oder internationale Organisation?
  • Löschfristen
  • Beschreibung der technischen und organisatorischen Datensicherungsmaßnahmen

Vorlagen und Muster Verantwortliche der Interessensvertretungen (Auswahl)

Wirtschaftskammer

Ziviltechnikerkammer

Ärztekammer Wien – Einzelpraxen

Ärztekammer Wien – Gruppenpraxen

Ärztekammer Salzburg – Unterlagen für Einzel- und Gruppenpraxen

Verarbeitungsverzeichnis Auftragsverarbeiter
Auftragsverarbeiter brauchen ein nicht ganz so umfangreiches Verarbeitungsverzeichnis.

  • Namen und Kontaktdaten vom Auftragsverarbeiter
  • Namen und Kontaktdaten vom Verantwortlichen
  • Welche Verarbeitungen werden im Auftrag des Verantwortlichen durchgeführt?
  • Übermittlung ins Drittland oder internationale Organisation?
  • Beschreibung der technischen und organisatorischen Datensicherungsmaßnahmen

Vorlagen und Muster Auftragsverarbeiter der Interessensvertretungen (Auswahl)

Wirtschaftskammer

Ziviltechnikerkammer

FAQs zum Verarbeitungsverzeichnis

Die Wirtschaftskammer hat FAQs zum Verarbeitungsverzeichnis zusammengestellt.