Cookies helfen uns bei der Bereitstellung von Datencockpit. Durch die Nutzung von Datencockpit erklärst du dich damit einverstanden, dass wir Cookies speichern. Weitere Informationen

DSGVO:Artikel 30. Verzeichnis von Verarbeitungstätigkeiten

Aus Datencockpit
Wechseln zu:Navigation, Suche
Inhaltsverzeichnis

(1)

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(2)

Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;

c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(3)

Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(4)

Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

(5)

Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.

Die deutsche Sprachfassung hat zwei fundamentale Mängel. Wegen eines fehlenden "nicht" sind sämtliche laufenden Datenverarbeitungen von der Verzeichnispflicht befreit. Außerdem genügt es wegen eines Fehlers in der logischen Struktur der Bestimmung bloß eines der drei Tatbestandselemente zu erfüllen, um der Verzeichnispflicht zu entgehen. Da man davon ausgehen kann, dass die deutsche Fassung offenkundig nicht dem Norkzweck entspricht [...], sollten Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern zur Prüfung ihrer Verzeichnispflicht bis auf weiteres die englische Sprachfassung heranziehen. [1]

Die Englische Fassung lautet: The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10. [2]

Fußnoten

  1. Krempelmeier, Sebastian, "Verzeichnispflicht mit Wenn und Aber. Und Nicht und Oder. Zur Reformbedürftigkeit von Art. 30 Abs. 5 DSGVO. Zugleich eine Anwendungshilfe für Klein- und Mittelbetriebe. jusIT 06/2016, S. 247-251
  2. EUR-Lex - 32016R0679 - EN

Erläuterung zu Artikel 30. Verzeichnis von Verarbeitungstätigkeiten

Das bisherige DVR-Meldeverfahren und das DVR selbst wird es nicht mehr geben (Entfall der DVR-Meldepflicht). Stattdessen verpflichtet Art. 30 Verantwortliche und Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten zu führen, das auf Anfrage der Aufsichtsbehörde vorzulegen ist. Diese Verpflichtung gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Bedienstete beschäftigen, sofern

  • die Verarbeitung nicht ein Risiko für die Rechte und Freiheiten betroffener Personen birgt,
  • nicht nur gelegentlich erfolgt oder
  • nicht die Verarbeitung von sensiblen Daten nach Art. 9 und Strafdaten nach Art. 10 einschließt.

Fragestellung.png
Fragestellungen: 2

Diskussionsbeiträge Diskussion

nopreview

SemanticComments Warnung

    Sie dürfen aktuell keine Kommentare eingeben. Bitte melden Sie sich an.
nopreview
26 Januar 2018 13:45:49
Ein Testkommentar zu Artikel 30
false

Metadaten
Metadaten

  • Nummer: 30
  • Bezeichnung: Verzeichnis von Verarbeitungstätigkeiten
  • Kapitel: KAPITEL IV. Verantwortlicher und Auftragsverarbeiter
  • Abschnitt: Abschnitt 1. Allgemeine Pflichten
  • Fragestellungen:
  • keine Änderungen
  • Letzte Änderung: 18. 1. 2018 durch Admin (ID: 167, Revision 1798)

die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (siehe Art. 4 DSGVO)

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (siehe Art. 4 DSGVO)

eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt (siehe Art. 4 DSGVO)

jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (siehe Art. 4 DSGVO).

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung (siehe Art. 4 DSGVO)

Ausnahmen für bestimmte Fälle

Sicherheit der Verarbeitung

eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle (siehe Art. 4 DSGVO)

eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen (siehe Art. 4 DSGVO)

Verarbeitung besonderer Kategorien personenbezogener Daten

Verzeichnis von Verarbeitungstätigkeiten

Verarbeitung besonderer Kategorien personenbezogener Daten

Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

EU Datenschutz-Grundverordnung

Verzeichnis von Verarbeitungstätigkeiten