th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter

Datenverarbeitungsverzeichnis mit Word-Download und Anwendungsbeispiel

Die Experten der Wirtschaftskammern Österreichs haben für ihre Mitgliedsbetriebe nachstehendes Muster eines Datenverarbeitungsverzeichnisses nach Art 30 Abs. 2 EU-Datenschutz-Grundverordnung (DSGVO) für Auftragsverarbeiter erstellt.

Als Ausfüllhilfe ist ein bereits ausgefülltes fiktives Beispiel unter Anwendungsbeispiel für Verantwortliche“ (PDF-Version) im Download-Bereich verfügbar.

Das hinterlegte Wasserzeichen „Muster“ kann einfach aus dem Word-Dokument entfernt werden.


Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz-Grundverordnung (DSGVO) -(Auftragsverarbeiter)

Inhalt

  1. Stammblatt des Auftragsverarbeiters
  2. Stammblatt des/der Verantwortlichen und Angaben zur Auftragsdatenverarbeitung
  3. Allgemeine Beschreibung der organisatorisch-technischen Maßnahmen

Stammblatt des Auftragsverarbeiters 

  1. Name und Kontaktdaten des Auftragsverarbeiters/der Auftragsverarbeiter 

    1. Name und Anschrift: 

    2. E-Mail-Adresse (und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.): 

    3. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.) des Datenschutzbeauftragten des Auftragsverarbeiters [1]:

Stammblatt zum Verantwortlichen, in dessen Namen Daten verarbeitet werden, und Angaben zur Auftragsdatenverarbeitung 

  1. Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen (=Auftraggeber) 

    1. Name(n) und Anschrift(en): 

    2. E-Mail-Adresse(n) (und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.): 

    3. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.) des Datenschutzbeauftragten:[2]

    4. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.) des Vertreters des (der) Verantwortlichen:[3]

  2. Kategorien von Verarbeitungen, die im Auftrag des konkreten Verantwortlichen durchgeführt werden (Angabe der angebotenen Leistung, die im Zusammenhang mit der Verarbeitung personenbezogener Daten steht)

  3. Übermittlung von personenbezogenen Daten in Drittländer, inkl. internationale Organisationen

    1. Ja / Nein
      Wenn ja, Angabe des betreffenden Drittlandes bzw. der internationalen Organisation: 

    2. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Binding Corporate Rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt):[4]

Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen 

  1. Vertraulichkeit:[5]
  2. Integrität:[6]
  3. Verfügbarkeit und Belastbarkeit: 
  4. Pseudonymisierung und Verschlüsselung: 
  5. Evaluierungsmaßnahmen: 

[1] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. Ob die Angabe des Datenschutzbeauftragten des Verantwortlichen im Verarbeitungsverzeichnis des Auftragsverarbeiters (unter Pkt. B) verpflichtend ist, kann aufgrund der Formulierung der Bestimmung des Art 30 Abs 2 lit a DSGVO derzeit noch nicht abschließend geklärt werden; die Anführung kann aber bei der Zusammenarbeit mit dem Verantwortlichen im Einzelfall Erleichterungen bringen. 

Hinweis: Wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, der Verantwortliche aber freiwillig einen bestellen möchte, müssen trotzdem alle den Datenschutzbeauftragten betreffenden Bestimmungen der DSGVO eingehalten werden; möchte man das nicht, darf die bestellte Person nicht „Datenschutzbeauftragter“ genannt werden, sondern sollte eine andere Bezeichnung gewählt werden (z.B. „Datenschutzkoordinator“). Dieser kann, muss aber nicht ins Verarbeitungsverzeichnis aufgenommen werden. Siehe dazu das WKO-Merkblatt „Datenschutzbeauftragter“.

[2] Ob auch die Daten eines beim Verantwortlichen bestellten Daten­schutzbeauftragten im Verarbeitungsverzeichnis des Auftrags­verar­beiters zu dokumentieren sind, ist aus dem Verordnungstext nicht eindeutig ablesbar. Es erscheint jedoch aus pragmatischen Gründen durchaus sinnvoll zu sein, diese Daten (sofern vorhanden) ins Verzeichnis aufzunehmen, erleichtert es doch die datenschutz­rechtliche Zusammenarbeit zwischen Verantwortlichen und Auf­tragsverarbeiter.

[3] Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen.

[4] Siehe das Merkblatt der WKO „Internationalen Datenverkehr“.

[5] Verhinderung von (unbeabsichtigter) Offenlegung oder unbefugten Zugang zu personenbezogenen Daten.

[6] Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.