Verarbeitungsverzeichnisse
Der Verantwortliche, also die Geschäftsführung eines Unternehmens, muss die Einhaltung der Grundsätze und Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten nachweisen. Die Basis für diese Rechenschaftspflicht bietet das Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DSGVO. Dieses Verzeichnis ist schriftlich oder elektronisch zu führen und auf Verlangen der Aufsichtsbehörde vorzulegen.
Das Verarbeitungsverzeichnis ist ständig aktuell zu halten.
Art. 30 DSGVO Abs. 1 regelt die Inhalte des Verarbeitungsverzeichnisses:
Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Nahezu alle Unternehmen und öffentliche Stellen in Deutschland sind zur Führung des sogenannten Verarbeitungsverzeichnisses verpflichtet.