Eine Person sitzt bei einem Schreibtisch und blickt dabei auf einen Monitor, eine zweite Person mit Brille und Bart steht dahinter und blickt ebenfalls freudig auf den Monitor
© NDABCREATIVITY | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter

Datenverarbeitungsverzeichnis mit Word-Download und Anwendungsbeispiel

Lesedauer: 2 Minuten

Die Experten der Wirtschaftskammern Österreichs haben für ihre Mitgliedsbetriebe nachstehendes Muster eines Datenverarbeitungsverzeichnisses nach Art 30 Abs. 2
EU-Datenschutz-Grundverordnung (DSGVO) für Auftragsverarbeiter erstellt.  

Als Ausfüllhilfe ist ein bereits ausgefülltes fiktives Beispiel unter Anwendungsbeispiel für Verantwortliche“ (PDF-Version) im Download-Bereich verfügbar. 

Das hinterlegte Wasserzeichen „Muster“ kann einfach aus dem Word-Dokument entfernt werden. 


Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz-Grundverordnung (DSGVO) -(Auftragsverarbeiter)

Inhalt

  1. Stammblatt des Auftragsverarbeiters
  2. Stammblatt des/der Verantwortlichen und Angaben zur Auftragsdatenverarbeitung
  3. Allgemeine Beschreibung der organisatorisch-technischen Maßnahmen

Stammblatt des Auftragsverarbeiters 

  1. Name und Kontaktdaten des Auftragsverarbeiters/der Auftragsverarbeiter 

    1. Name und Anschrift: 

    2. E-Mail-Adresse (und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.): 

    3. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.) des Datenschutzbeauftragten des Auftragsverarbeiters [1]:

Stammblatt zum Verantwortlichen, in dessen Namen Daten verarbeitet werden, und Angaben zur Auftragsdatenverarbeitung 

  1. Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen (=Auftraggeber) 

    1. Name(n) und Anschrift(en): 

    2. E-Mail-Adresse(n) (und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.): 

    3. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.) des Datenschutzbeauftragten:[2]

    4. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.) des Vertreters des (der) Verantwortlichen:[3]

  2. Kategorien von Verarbeitungen, die im Auftrag des konkreten Verantwortlichen durchgeführt werden (Angabe der angebotenen Leistung, die im Zusammenhang mit der Verarbeitung personenbezogener Daten steht)

  3. Empfänger in Drittländern[4]

     

    Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen Angabe des Drittstaats Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt[2]
         
         
         
         
         



    [1] Damit sind Empfänger gemeint, die ihren Sitz außerhalb der EU bzw. des EWR haben. Siehe dazu das Merkblatt „Internationaler Datenverkehr“.

    [2] Gemäß den Art. 45 bis 49 DSGVO. Siehe „Internationaler Datenverkehr“.

Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen 

  1. Vertraulichkeit:[5]
  2. Integrität:[6]
  3. Verfügbarkeit und Belastbarkeit: 
  4. Pseudonymisierung und Verschlüsselung: 
  5. Evaluierungsmaßnahmen: 

[1] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. Siehe dazu „Datenschutzbeauftragter“. Ein Datenschutzkoordinator kann, muss aber nicht ins Verarbeitungsverzeichnis aufgenommen werden

[2] Ob auch die Daten eines beim Verantwortlichen bestellten Daten­schutzbeauftragten im Verarbeitungsverzeichnis des Auftrags­verar­beiters zu dokumentieren sind, ist aus dem Verordnungstext nicht eindeutig ablesbar. Es erscheint jedoch aus pragmatischen Gründen durchaus sinnvoll zu sein, diese Daten (sofern vorhanden) ins Verzeichnis aufzunehmen, erleichtert es doch die datenschutz­rechtliche Zusammenarbeit zwischen Verantwortlichen und Auf­tragsverarbeiter.

[3] Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen.

[4] Damit sind Empfänger gemeint, die ihren Sitz außerhalb der EU bzw. des EWR haben. Siehe dazu das Merkblatt „Internationaler Datenverkehr“.

[5] Gemäß den Art. 45 bis 49 DSGVO. Siehe „Internationaler Datenverkehr“.

[6] Eine Liste mit konkreten Maßnahmen findet sich als Anhang zum Mustervertrag für die Auftragsverarbeitung.

[7] Verhinderung von (unbeabsichtigter) Offenlegung oder unbefugten Zugang zu personenbezogenen Daten.

[8]Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.

Stand: 16.06.2023

Weitere interessante Artikel
  • Person blickt konzentriert in einen Laptop an einem Schreibtisch, Bürosituation im Hintergrund
    EU-Datenschutz-Grundverordnung (DSGVO): Pflicht zur Berichtigung, Löschung ("Recht auf Vergessenwerden") und zur Einschränkung der Verarbeitung
    Weiterlesen
  • Zwei Personen stehen vor Servern und blicken auf aufgeklapptes Notebook, das eine Person in Händen hält
    EU-Daten­schutz-Grund­ver­ordnung (DSGVO): Meldung von Daten­­schutz­verletzungen (Data Breach Notification)
    Weiterlesen
  • Lachende Person mit Brillen hält Notebook in Armen, im Hintergrund verschwommen Besprechungszimmer mit sitzenden Personen
    EU-Datenschutz-Grundverordnung (DSGVO): Der Datenschutzbeauftragte
    Weiterlesen