skip to Main Content
Mainz +49 6131 144 560 Berlin +49 30 285 058 56 kanzlei@res-media.net

Muster für das Verarbeitungsverzeichnis nach Art. 30 DSGVO zum kostenfreien Download

Nach der Datenschutz-Grundverordnung (DSGVO) sind die Dokumentationspflichten mit dem Führen eines Verarbeitungsverzeichnisses für Unternehmen erheblich erweitert worden (Art. 30 DSGVO). RESMEDIA bietet ein Muster zum kostenfreien Download an.

Was enthält das Muster des Verarbeitungsverzeichnisses von RESMEDIA?

Das Muster zum Verarbeitungsverzeichnis von RESMEDIA geht über die inhaltlichen Anforderungen, die Art. 30 DSGVO an Unternehmen stellt, hinaus. Das hat den Vorteil, dass datenschutzrechtlich alle wichtigen Informationen in einem Dokument zentral und übersichtlich aufgelistet sind, die auch sonst im Unternehmen benötigt werden. Es können daher umfangreich alle Berührungspunkte der datenschutzrechtlichen Prozesse mit der DSGVO erfasst werden, so dass das Dokument nicht nur der Erfüllung der gesetzlichen Vorschriften dient, sondern gleichzeitig eine umfassende, datenschutzrechtliche Analyse sowie eine übersichtliche Datenschutzdokumentation im Unternehmen ermöglicht.

Wen trifft die Verpflichtung zum Führen des Verarbeitungsverzeichnisses?

Es gab zwar nach „altem“ Recht bereits ein sog. „Verfahrensverzeichnis“, doch die Pflicht zum Führen eines solchen Dokuments trifft jetzt praktisch jedes Unternehmen und der Umfang wurde erheblich erweitert. Zwar sollen nach Art. 30 Abs. 5 DSGVO Unternehmen mit weniger als 250 Mitarbeitern von dieser Verpflichtung ausgenommen sein, es sei denn,

  • die Datenverarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • oder die Verarbeitung erfolgt nicht nur gelegentlich
  • oder die Datenverarbeitung betrifft besondere Datenkategorien wie etwa Gesundheitsdaten oder strafrechtliche Verurteilungen und Straftaten.

Im Zeitalter der Digitalisierung wird es allerdings kam ein Unternehmen geben, das personenbezogene Daten nur gelegentlich verarbeitet, so dass die Ausnahme für kleine Unternehmen praktisch kaum relevant sein wird. Auch kleine Unternehmen werden in der Praxis daher grundsätzlich das Verarbeitungsverzeichnis führen müssen.

Was muss das Verarbeitungsverzeichnis mindestens beinhalten?

Im Verarbeitungsverzeichnis müssen sämtliche „Verarbeitungstätigkeiten“ aufgeführt werden. Art. 30 DSGVO fordert dazu folgende Angaben:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1.

Was passiert, wenn wir kein Verarbeitungsverzeichnis haben?

Das Verarbeitungsverzeichnis muss von Unternehmen jederzeit vorgelegt werden können. Das bedeutet: Sollte die Aufsichtsbehörde die Vorlage – etwa im Rahmen eines Audits – verlangen, muss das Verzeichnis aktuell sein. Anderenfalls drohen Bußgelder nach bis zu 10 Millionen EUR oder bis zu 2 % des weltweiten Jahresumsatzes, wenn dieser höher ist (Art. 83 Abs. 4 a DSGVO).

Muster Verarbeitungsverzeichnis

nach Art. 30 DSGVO
April 2018, Excel-Datei, 18 KB

Verarbeitungsverzeichnis

 

 

geschrieben von: Florian Decker

Florian Decker

Florian Decker
Fachanwalt für Informationstechnologierecht (IT-Recht)

 

 

 

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top