th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten

Pflicht und Umfang von Verzeichnissen von Verarbeitungstätigkeiten

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Allgemeines

Aufgrund der DSGVO ist keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer gehört der Vergangenheit an. Stattdessen sind ua Verzeichnisse über die Verarbeitung von Daten zu führen (siehe dazu auch „Verantwortlicher und Auftragsverarbeiter“). Diese Pflicht trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter. Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen. 

Tipp:
Wenn schon Datenanwendungen im DVR registriert sind, können diese als Anhaltspunkt für die Dokumentation dienen.

Was muss das Verzeichnis enthalten? 

Der Verantwortliche hat ein Verzeichnis sämtlicher Verarbeitungstätigkeiten, die in seiner Zuständigkeit liegen, zu führen. Dieses Verzeichnis hat Folgendes zu enthalten: 

  • Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • Zweck der Datenverarbeitung, 
    Tipp: 
    Auch wenn es nicht zwingend vorgesehen ist, empfiehlt sich aus Beweisgründen auch die Angabe der Rechtsgrundlage (z.B. Einwilligungserklärung) für den Datenverarbeitungszweck.
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Kunden und Lieferanten; Rechnungsdaten, Adressdaten),
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater), einschließlich Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in USA),
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland (z.B. USA) oder an eine internationale Organisation, einschließlich der Angaben des betreffenden Drittlands oder der betreffenden internationalen Organisation (uU ist auch die Dokumentierung geeigneter Garantien erforderlich),
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit),
  • allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit).  

Über alle im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten hat der Auftragsverarbeiter ein Verzeichnis zu führen. Dieses Verzeichnis hat Folgendes zu enthalten: 

  • Name und Kontaktdaten des Auftragverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragverarbeiters und eines etwaigen Datenschutzbeauftragten,
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationalen Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation (uU ist auch die Dokumentierung geeigneter Garantien erforderlich).
  • allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit).

Form der Verzeichnisse

Diese Verzeichnisse sind schriftlich zu führen, wobei dies auch in einem elektronischen Format erfolgen kann.  Musterverzeichnisse mit Anwendungsbeispielen finden Sie im Downloadbereich.

Pflichten gegenüber der Aufsichtsbehörde

Jeder Verantwortliche, jeder Auftragsverarbeiter sowie die jeweiligen Vertreter haben bei der Erfüllung ihrer Aufgaben mit der Aufsichtsbehörde zusammenzuarbeiten. Auf Anfrage sind die Verzeichnisse der Behörde vorzulegen. Anhand dieser Verzeichnisse ist es für die Aufsichtsbehörde möglich, die betreffenden Verarbeitungsvorgänge zu kontrollieren.

Wen trifft die Pflicht zur Führung dieser Verzeichnisse?

Die Pflicht zur Führung dieser Verzeichnisse trifft Unternehmen mit weniger als 250 Mitarbeiter nur dann nicht, wenn

  • die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt (z.B. besonders riskante Datenverarbeitung, Videoüberwachung, Kreditscoring), oder
  • die Verarbeitung nur gelegentlich erfolgt (z.B. Lohnverrechnung, Kundenbetreuung), oder 
  • wenn die Verarbeitung keine sensiblen Daten bzw. Daten über strafrechtliche Verurteilungen beinhaltet.  

Geldstrafen

Die Verletzung der Dokumentationspflicht ist mit bis zu Euro 10 Mio oder 2% des letztjährigen weltweiten Jahresumsatzes sanktioniert.

Relevante Artikel der DSGVO: Art 30-31
Relevante Erwägungsgründe: 13, 75, 76, 82, 89

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.