th share video content contact download event event-wifi cross checkmark close xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht Twitter search print pdf mail linkedin google-plus Facebook arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram pinterest skype vimeo snapchat
news.wko.at
Mein WKO
  1. Home
  2. Fakten
  3. Datenschutz-Grundverordnung –Teil 4: Verarbeitungsverzeichnis: Wer es führen muss und was es enthält! –Teil 4: Verarbeitungsverzeichnis: Wer es führen muss und was es enthält!

Datenschutz-Grundverordnung –Teil 4: Verarbeitungsverzeichnis: Wer es führen muss und was es enthält! 

Nach der neuen Gesetzeslage ist keine Meldung an das Datenverarbeitungsregister (DVR) zu erstatten. Stattdessen werden Verzeichnisse über die Datenverarbeitung geführt.

DSGVO
© Alexander Limbach_Shutterstock

Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen. Wenn in einem Unter­nehmen schon Datenanwendungen im DVR registriert sind, können diese als Anhaltspunkt für die Dokumentation dienen. Jedes Unter­nehmen, das eine Lohnverrechnung und/oder Kundendateien führt, benötigt ein Verarbeitungsverzeichnis. Die Pflicht zur Führung des Verarbeitungsverzeichnisses gilt für Unter­nehmen mit weniger als 250 Mitarbeitern nur dann nicht, wenn

  • die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
  • die Verarbeitung nur gelegentlich erfolgt und
  • die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet. Diese Ausnahme wird faktisch allerdings sehr selten zur Anwendung kommen.

Was Verantwortliche dokumentieren

Das Verarbeitungsverzeichnis, das ein Ver­antwortlicher führt, muss folgende Informati­onen enthalten:

  • Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • Zweck der Datenverarbeitung,
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personen­bezogener Daten (z.B. Kunden und Lieferanten; Rechnungsdaten, Adressdaten),
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater), einschließlich Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in den USA),
  • ggf. Übermittlungen von personenbezo­genen Daten an ein Drittland (z.B. USA) oder an eine internationale Organisation, einschließlich der Angaben des betref­fenden Drittlands oder der betreffenden internationalen Organisation (u.U. ist auch die Dokumentierung geeigneter Garantien erforderlich),
  • die vorgesehenen Fristen für die Lö­schung der verschiedenen Datenkategorien (nach Möglichkeit),
  • allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit).

Auch Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis führen.

Was Auftragsverarbeiter dokumentieren

Sie müssen Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwort­lichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, enthalten und ggf. jene des Datenschutzbeauftragten. Weiters die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden. Gegebenenfalls auch Übermittlungen von per­sonenbezogenen Daten an ein Drittland und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.

Pflichten gegenüber der Aufsichtsbehörde 

Jeder Verantwortliche, jeder Auftragsverarbeiter sowie die jeweiligen Vertreter haben bei der Erfüllung ihrer Aufgaben mit der Aufsichtsbehörde zusammenzuarbeiten. Auf An­frage sind die Verzeichnisse der Behörde vorzulegen. Anhand dieser Verzeichnisse ist es für die Aufsichtsbehörde möglich, die betreffenden Verarbeitungsvorgänge zu kontrollieren.

Formen der Verzeichnisse 

Diese Verzeichnisse sind schriftlich zu führen, wobei dies auch in einem elektronischen Format erfolgen kann.

Muster

So könnte ein Datenverarbeitungsver­zeichnis für Verantwortliche aussehen:

  • Stammdatenblatt Allgemeine Angaben: Name und Anschrift E-Mail-Adressen Name und Kontaktdaten des Datenschutzbeauftragten Name und Kontaktdaten der Vertreter

  • Datenverarbeitungen/ Datenverarbeitungszwecke

  • Detailangaben zu den einzelnen Datenverarbeitungszwecken Kategorien der betroffenen Personen Rechtsgrundlagen Verträge, Zustimmungserklärungen, sonstige Unterlagen Kategorien der verarbeiteten Daten und Löschungs/Aufbewahrungsfristen Kategorien von Empfängern

  • Allgemeine Beschreibung organisa­torisch-technischer Maßnahmen Vertraulichkeit Integrität Verfügbarkeit/Belastbarkeit Pseudonymisierung/Verschlüsselung Evaluierungsmaßnahmen

wko.at/service > Verarbeitungsverzeichnis


Tipp!
3 Vertiefungs-Webinar zur Datenschutz-Grundverordnung



  • Datenschutz-Grundverordnung – Anwendungsbereich (Teil 1 der Serie)

  • Datenschutz-Grundverordnung - Wofür ein Verantwortlicher haftet (Teil 2 der Serie)

  • Datenschutz-Grundverordnung – Worüber betroffene Personen bei der Erhebung der Daten informiert werden müssen (Teil 3 der Serie)


    • Tipp!
    TEIL 5 der Serie zur Datenschutz-Grundverordnung: Was zur DSGVO-Analyse noch dazugehört!...ab 12.04. 2018