Datenschutz-Grundverordnung –Teil 4: Verarbeitungsverzeichnis: Wer es führen muss und was es enthält! 

Nach der neuen Gesetzeslage ist keine Meldung an das Datenverarbeitungsregister (DVR) zu erstatten. Stattdessen werden Verzeichnisse über die Datenverarbeitung geführt.

Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen. Wenn in einem Unter­nehmen schon Datenanwendungen im DVR registriert sind, können diese als Anhaltspunkt für die Dokumentation dienen. Jedes Unter­nehmen, das eine Lohnverrechnung und/oder Kundendateien führt, benötigt ein Verarbeitungsverzeichnis. Die Pflicht zur Führung des Verarbeitungsverzeichnisses gilt für Unter­nehmen mit weniger als 250 Mitarbeitern nur dann nicht, wenn

• die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
• die Verarbeitung nur gelegentlich erfolgt und
• die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet. Diese Ausnahme wird faktisch allerdings sehr selten zur Anwendung kommen.

Was Verantwortliche dokumentieren

Das Verarbeitungsverzeichnis, das ein Ver­antwortlicher führt, muss folgende Informati­onen enthalten:

• Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
• Zweck der Datenverarbeitung,
• Beschreibung der Kategorien betroffener Personen und der Kategorien personen­bezogener Daten (z.B. Kunden und Lieferanten; Rechnungsdaten, Adressdaten),
• Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater), einschließlich Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in den USA),
• ggf. Übermittlungen von personenbezo­genen Daten an ein Drittland (z.B. USA) oder an eine internationale Organisation, einschließlich der Angaben des betref­fenden Drittlands oder der betreffenden internationalen Organisation (u.U. ist auch die Dokumentierung geeigneter Garantien erforderlich),
• die vorgesehenen Fristen für die Lö­schung der verschiedenen Datenkategorien (nach Möglichkeit),
• allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit).

Auch Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis führen.

Was Auftragsverarbeiter dokumentieren

Sie müssen Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwort­lichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, enthalten und ggf. jene des Datenschutzbeauftragten. Weiters die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden. Gegebenenfalls auch Übermittlungen von per­sonenbezogenen Daten an ein Drittland und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.

Pflichten gegenüber der Aufsichtsbehörde 

Jeder Verantwortliche, jeder Auftragsverarbeiter sowie die jeweiligen Vertreter haben bei der Erfüllung ihrer Aufgaben mit der Aufsichtsbehörde zusammenzuarbeiten. Auf An­frage sind die Verzeichnisse der Behörde vorzulegen. Anhand dieser Verzeichnisse ist es für die Aufsichtsbehörde möglich, die betreffenden Verarbeitungsvorgänge zu kontrollieren.

Formen der Verzeichnisse 

Diese Verzeichnisse sind schriftlich zu führen, wobei dies auch in einem elektronischen Format erfolgen kann.