Art.30 – EU-DSGVO – Verzeichnis von Verarbeitungstätigkeiten

> Art.30 - EU-DSGVO - Verzeichnis von Verarbeitungstätigkeiten

Art.30 - DSGVO - Verzeichnis von Verarbeitungstätigkeiten

 <<ZURÜCK   Übersicht   VOR >>

Stand: 25.1.2012

Stand: 12.03.2014

Stand: 15.06.2015 Stand: 27.04.2016

Sicherheit der Verarbeitung

Sicherheit der Verarbeitung

 Sicherheit der Verarbeitung

Verzeichnis von Verarbeitungstätigkeiten

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken unter Berücksichtigung der Ergebnisse der Datenschutz-Folgenabschätzung gemäß Artikel 33 angemessen ist. 

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung der verfügbaren Technologie, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Wahrscheinlichkeit und der Höhe des Risikos für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen, wie z.B. der Pseudonymisierung personenbezogener Daten, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

 

 

 

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

 

 

 

b) die Zwecke der Verarbeitung;

 

 

 

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

 

 

 

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

     

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

     

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

     

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

 

1a. Eine solche Sicherheitspolitik umfasst – unter Berücksichtigung des Stands der Technik und der Implementierungskosten – Folgendes: a) die Fähigkeit zu gewährleisten, dass die Vollständigkeit der personenbezogenen Daten bestätigt wird; b) die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls, der sich auf die Verfügbarkeit, Vollständigkeit und Vertraulichkeit der d) zusätzliche  Sicherheitsmaßnahmen im Falle der Verarbeitung sensibler personenbezogener Daten nach Artikel 8 und 9, um ein situationsbezogenes Risikobewusstsein sicherzustellen, sowie die Fähigkeit, Präventiv- und Abhilfemaßnahmen sowie abmildernde Maßnahmen zeitnah gegen festgestellte Schwachstellen oder Vorfälle zu ergreifen, die ein Risiko für die Daten darstellen könnten; e) ein Verfahren zur regelmäßigenÜberprüfung, Bewertung undEvaluierung der Wirksamkeit derSicherheitsmaßnahmen, -verfahren und -pläne, die aufgestellt werden, um die Wirksamkeit auf Dauer sicherzustellen;

1a. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Datenverarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Weitergabe von beziehungsweise unbefugten Zugang zu personen-bezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

 

2. Der für die Verarbeitung Verantwortliche und derAuftragsverarbeiter treffen im Anschluss an eine Risikobewertung die in Absatz 1 genannten Maßnahmen zum Schutz personenbezogener Daten vorunbeabsichtigter oder widerrechtlichen Zerstörung oder vor unbeabsichtigtem Verlust sowie zur Vermeidung jedweder unrechtmäßigen Verarbeitung, insbesondere jeder unbefugten Offenlegung, Verbreitung beziehungsweise Einsichtnahme oderVeränderung.

   2. (entfällt) 2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
 

a) sichergestellt wird, dass nur ermächtigte Personen für rechtlichzulässige Zwecke Zugang zupersonenbezogenen Daten erhalten, b) gespeicherte oder übermittelte personenbezogene Daten vorunbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder  unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe geschützt werden, und c) die Umsetzung eines Sicherheitskonzepts für die Verarbeitungpersonenbezogener Daten gewährleistet wird.

2a. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 38 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 39 kann als Faktor heran-gezogen werden, um die Erfüllung der in Absatz 1 genannten Anforderungen nachzuweisen.

2b. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht oder mitgliedstaatlichem Recht zur Verarbeitung verpflichtet.

 
      a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
      b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
      c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
     

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Bedingungen für die in den Absätzen 1 und 2 genannten technischen und organisatorischen Maßnahmen festzulegen und den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zubestimmen, wobei sie die technologische Entwicklung sowie Lösungen für einen Datenschutz durch Technik unddatenschutzfreundliche Voreinstellungen berücksichtigt, sofern nicht Artikel 4 gilt.

3. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die in den Absätzen 1 und 2 genannten technischen und organisatorischen Maßnahmen zu veröffentlichen und den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zubestimmen, wobei er insbesondere die technologische Entwicklung sowie Lösungen für einen Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen berücksichtigt.

 3. (entfällt)

3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

4. Die Kommission kann erforderlichenfalls Durchführungsbestimmungen zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen erlassen, um insbesondere

   (entfällt komplett) 4. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

a) jedweden unbefugten Zugriff auf personenbezogene Daten zu verhindern;

b) jedwede unbefugte Einsichtnahme in personenbezogene Daten sowie jedwede unbefugte Offenlegung, Kopie, Änderung, Löschung oder Entfernung von personenbezogenen Daten zu verhindern;

c) sicherzustellen, dass die Rechtmäßigkeit der Verarbeitungsvorgänge überprüft wird.

Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.(Absatz 2 im Text der Kommission wurde teilweise zu Buchstabe b im geänderten Text des Parlaments.)

     
     

5.Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

 <<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 82

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Empfehlenswert auch: GDD-Praxishilfe DS-GVO V - Verzeichnis von Verarbeitungstätigkeiten, Version 1.0, Stand April 2017

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) löst das bisherige Verfahrensverzeichnis (VVZ) ab. Nach Art. 30 müssen nun auch Auftragsverarbeiter ein Verzeichnis der gesamten Verarbeitungstätigkeiten, die personenbezogene Daten betreffen, führen. Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Merke: nicht mehr der Datenschutzbeauftragte ist für die Führung der Verzeichnisse verantwortlich, sondern der Verantwortliche!

Inhalte des Verzeichnisses der Verarbeitungstätigkeiten:

  • Namen und die Kontaktdaten des Verantwortlichen
    und gegebenenfalls des gemeinsam mit ihm Verantwortlichen,
    ggf. des Vertreters des Verantwortlichen (wenn keine Niederlassung in der EU)

    • Empfehlung hier aus Kompatibilität zum alten Verfahrensverzeichnis:
      • Übergreifend: Leiter der Verantwortlichen Stelle (Geschäftsführung) und Leiter der Datenverarbeitung
      • Je Prozess: zuständiges Mitglied der Geschäftsführung sowie Bereichs-/ Abteilungsleitung
  • ggf. Namen und die Kontaktdaten des Datenschutzbeauftragten
    Empfehlung: nur übergreifend;
  • Zwecke der Verarbeitung;
  • Kategorien betroffener Personen /Betroffene Personengruppen
  • Kategorien personenbezogener Daten / Datenkategorien;
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
    Empfehlung: hier alle gem. Berechtigungskonzept oder faktisch zugriffsberechtigten oder faktisch zugriffsfähigen Empfängerkategorien; auch: öffentliche Stellen,
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder internationale Organisationen
    • Angabe des betreffenden Drittlands
    • Arten / Kategorien von Daten
    • Empfänger in Drittland oder bei internationaler Organisation,
    • bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die die geeigneten Garantien
  • wenn möglich, die vorgesehenen Fristen für die Löschung je Datenkategorie
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  • Empfehlung: Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen / Risikoanalyse
  • Empfehlung: Vorabkontroll- bzw. Meldepflicht
  • Empfehlung: Vermerke des DSB

Inhalte des von Auftragsverarbeitern für die im Auftrags verarbeiteten Tätigkeiten zu führenden Verzeichnisses

  • Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter
    und des bzw (wenn mehrere) jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist,
  • Ggf. Vertreter wenn keine Niederlassung in der EU
  • Namen und die Kontaktdaten des Datenschutzbeauftragten;
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • Ggf. Übermittlungen an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

 

Absatz 5 klingt so, als würden Stellen, die weniger als 250 Mitarbeiter beschäftigen, nicht dieser Pflicht unterliegen, es sei denn sie verarbeiten personenbezogene Daten, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, die Verarbeitung erfolgt nicht nur gelegentlich oder die Verarbeitung betrifft besondere Datenkategorien nach Art. 9 oder strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO.

Was zunächst nach einer Erleichterung für Unternehmen mit weniger als 250 Mitarbeitern aussieht, könnte aber beim wiederholten Lesen anders gedeutet werden, denn 1. gibt es immer eine irgendwie geartete Art von Risiko und 2. werden Daten bei einem auf Dauer ausgerichteten Geschäftsbetrieb immer „nicht nur gelegentlich“, sondern regelmäßig verarbeitet, und 3. werden immer auch zumindest einige besondere Datenkategorien nach Art. 9 DSGVO – nämlich Gesundheitsdaten in Form von Krankheitstagen oder Einschränkungen – verarbeitet. Insofern wären dann doch alle Unternehmen zur Führung eines Verzeichnisses verpflichtet. Dann würde jedoch der ganze Absatz, insbesondere die Einschränkung auf 250 Mitarbeiter keinen Sinn ergeben.

 

Hinichtlich des Verarbeitungsrisikos fehlt also vor dem Wort Risiko nur ein quantifizierendes Adjektiv wie z.B. „erhebliches“. So auch in der Kommtarliteratur: „Gemeint ist wohl eine Verarbeitung mit geringem Risiko, von der also kein hohes bzw. erhebliches Risiko oder ein mittleres Risiko ausgeht. “ (Paal/Pauly, Datenschutz-Grundverordnung, DS-GVO Art. 30 Rn. 32, beck-online)
Hinsichtlich der Regelmäßigkeit geht die Kommentarliteratur dahegen davon aus, dass es kein alternativer Tatbestand ist, sondern trotz des „oder“ weiter hinten im Satz hier eine weitere Tatbestandsvoraussetzung ist. Somit soll nur bei regelmäßiger Verarbeitung mit erheblichem Risiko die Pflicht zur Führung eines Verzeichnisses trotz einer Mitarbeiterzahl von weniger als 250 erforderlich sein.
Bei der Verarbeitung besonderer Kategorien personenbezogener Daten ist fraglich, ob schon beispielsweise geringfüge Gesundheitsdaten ausreichen würden, eine Pflicht zur Führung eines Verzeichnisses zu begründen.

Eine konsensfähige Kompromiß-Interpretation könnte (nach Härting, Datenschutzgrundverordnung, S. 9), sein, dass zwar alle Unternehmen weiterhin ein Verfahrensverzeichnis erstellen müssen, kleine unternehmen aber nur für die Verarbeitungen, die regelmäßig stattfinden. Dabei ist natürlich nicht gesagt, ab wann etwas regelmäßig ist.

Diese Interpretationen sind alle noch wenig im Diskurs geprüft und werden erst nach entsprechenden Stellungnahmen der Aufsichtsbehörden oder Gerichtsurteilen, vermutlich also nicht vor 2019 entschieden sein.
Auf der Basis dieser handwerklich unklaren Regelungen wird bis auf Weiteres zu empfehlen sein, die bisherige Praxis der Führung von Verfahrensverzeichnissen nach dem BDSG bis zur Klärung beizubehalten.

 

Auch gibt es kein öffentliches Verzeichnis mit Einsichtsrecht für jedermann und keine Meldepflicht mehr, die in § 4 d und e BDSG geregelt waren. (Dafür gibt es aber umfangreiche Informationspflichten!)

 

Mit Spannung ist abzuwarten, wie sich die technischen und organisatorischen Maßnahmen in dem neuen Verzeichnis wieder finden.

Es muss eine Historie der Verfahrensverzeichnisse geben, die die veränderung der Verfahren für die Aufsicht transparent machen. Es empfiehlt sich somit frühere Versionen aufzubewahren.


Mehr hilfreiche Informationen finden Sie hier:

(Visited 110.480 times, 2 visits today)

Kommentar

Art.30 - DSGVO - Verzeichnis von Verarbeitungstätigkeiten

 <<ZURÜCK   Übersicht   VOR >>

Stand: 25.1.2012

Stand: 12.03.2014

Stand: 15.06.2015 Stand: 27.04.2016

Sicherheit der Verarbeitung

Sicherheit der Verarbeitung

 Sicherheit der Verarbeitung

Verzeichnis von Verarbeitungstätigkeiten

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken unter Berücksichtigung der Ergebnisse der Datenschutz-Folgenabschätzung gemäß Artikel 33 angemessen ist. 

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung der verfügbaren Technologie, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Wahrscheinlichkeit und der Höhe des Risikos für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen, wie z.B. der Pseudonymisierung personenbezogener Daten, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

 

 

 

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

 

 

 

b) die Zwecke der Verarbeitung;

 

 

 

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

 

 

 

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

     

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

     

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

     

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

 

1a. Eine solche Sicherheitspolitik umfasst – unter Berücksichtigung des Stands der Technik und der Implementierungskosten – Folgendes: a) die Fähigkeit zu gewährleisten, dass die Vollständigkeit der personenbezogenen Daten bestätigt wird; b) die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls, der sich auf die Verfügbarkeit, Vollständigkeit und Vertraulichkeit der d) zusätzliche  Sicherheitsmaßnahmen im Falle der Verarbeitung sensibler personenbezogener Daten nach Artikel 8 und 9, um ein situationsbezogenes Risikobewusstsein sicherzustellen, sowie die Fähigkeit, Präventiv- und Abhilfemaßnahmen sowie abmildernde Maßnahmen zeitnah gegen festgestellte Schwachstellen oder Vorfälle zu ergreifen, die ein Risiko für die Daten darstellen könnten; e) ein Verfahren zur regelmäßigenÜberprüfung, Bewertung undEvaluierung der Wirksamkeit derSicherheitsmaßnahmen, -verfahren und -pläne, die aufgestellt werden, um die Wirksamkeit auf Dauer sicherzustellen;

1a. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Datenverarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Weitergabe von beziehungsweise unbefugten Zugang zu personen-bezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

 

2. Der für die Verarbeitung Verantwortliche und derAuftragsverarbeiter treffen im Anschluss an eine Risikobewertung die in Absatz 1 genannten Maßnahmen zum Schutz personenbezogener Daten vorunbeabsichtigter oder widerrechtlichen Zerstörung oder vor unbeabsichtigtem Verlust sowie zur Vermeidung jedweder unrechtmäßigen Verarbeitung, insbesondere jeder unbefugten Offenlegung, Verbreitung beziehungsweise Einsichtnahme oderVeränderung.

   2. (entfällt) 2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
 

a) sichergestellt wird, dass nur ermächtigte Personen für rechtlichzulässige Zwecke Zugang zupersonenbezogenen Daten erhalten, b) gespeicherte oder übermittelte personenbezogene Daten vorunbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder  unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe geschützt werden, und c) die Umsetzung eines Sicherheitskonzepts für die Verarbeitungpersonenbezogener Daten gewährleistet wird.

2a. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 38 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 39 kann als Faktor heran-gezogen werden, um die Erfüllung der in Absatz 1 genannten Anforderungen nachzuweisen.

2b. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht oder mitgliedstaatlichem Recht zur Verarbeitung verpflichtet.

 
      a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
      b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
      c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
     

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Bedingungen für die in den Absätzen 1 und 2 genannten technischen und organisatorischen Maßnahmen festzulegen und den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zubestimmen, wobei sie die technologische Entwicklung sowie Lösungen für einen Datenschutz durch Technik unddatenschutzfreundliche Voreinstellungen berücksichtigt, sofern nicht Artikel 4 gilt.

3. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die in den Absätzen 1 und 2 genannten technischen und organisatorischen Maßnahmen zu veröffentlichen und den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zubestimmen, wobei er insbesondere die technologische Entwicklung sowie Lösungen für einen Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen berücksichtigt.

 3. (entfällt)

3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

4. Die Kommission kann erforderlichenfalls Durchführungsbestimmungen zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen erlassen, um insbesondere

   (entfällt komplett) 4. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

a) jedweden unbefugten Zugriff auf personenbezogene Daten zu verhindern;

b) jedwede unbefugte Einsichtnahme in personenbezogene Daten sowie jedwede unbefugte Offenlegung, Kopie, Änderung, Löschung oder Entfernung von personenbezogenen Daten zu verhindern;

c) sicherzustellen, dass die Rechtmäßigkeit der Verarbeitungsvorgänge überprüft wird.

Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.(Absatz 2 im Text der Kommission wurde teilweise zu Buchstabe b im geänderten Text des Parlaments.)

     
     

5.Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

 <<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 82

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Empfehlenswert auch: GDD-Praxishilfe DS-GVO V - Verzeichnis von Verarbeitungstätigkeiten, Version 1.0, Stand April 2017

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) löst das bisherige Verfahrensverzeichnis (VVZ) ab. Nach Art. 30 müssen nun auch Auftragsverarbeiter ein Verzeichnis der gesamten Verarbeitungstätigkeiten, die personenbezogene Daten betreffen, führen. Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Merke: nicht mehr der Datenschutzbeauftragte ist für die Führung der Verzeichnisse verantwortlich, sondern der Verantwortliche!

Inhalte des Verzeichnisses der Verarbeitungstätigkeiten:

  • Namen und die Kontaktdaten des Verantwortlichen
    und gegebenenfalls des gemeinsam mit ihm Verantwortlichen,
    ggf. des Vertreters des Verantwortlichen (wenn keine Niederlassung in der EU)

    • Empfehlung hier aus Kompatibilität zum alten Verfahrensverzeichnis:
      • Übergreifend: Leiter der Verantwortlichen Stelle (Geschäftsführung) und Leiter der Datenverarbeitung
      • Je Prozess: zuständiges Mitglied der Geschäftsführung sowie Bereichs-/ Abteilungsleitung
  • ggf. Namen und die Kontaktdaten des Datenschutzbeauftragten
    Empfehlung: nur übergreifend;
  • Zwecke der Verarbeitung;
  • Kategorien betroffener Personen /Betroffene Personengruppen
  • Kategorien personenbezogener Daten / Datenkategorien;
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
    Empfehlung: hier alle gem. Berechtigungskonzept oder faktisch zugriffsberechtigten oder faktisch zugriffsfähigen Empfängerkategorien; auch: öffentliche Stellen,
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder internationale Organisationen
    • Angabe des betreffenden Drittlands
    • Arten / Kategorien von Daten
    • Empfänger in Drittland oder bei internationaler Organisation,
    • bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die die geeigneten Garantien
  • wenn möglich, die vorgesehenen Fristen für die Löschung je Datenkategorie
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  • Empfehlung: Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen / Risikoanalyse
  • Empfehlung: Vorabkontroll- bzw. Meldepflicht
  • Empfehlung: Vermerke des DSB

Inhalte des von Auftragsverarbeitern für die im Auftrags verarbeiteten Tätigkeiten zu führenden Verzeichnisses

  • Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter
    und des bzw (wenn mehrere) jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist,
  • Ggf. Vertreter wenn keine Niederlassung in der EU
  • Namen und die Kontaktdaten des Datenschutzbeauftragten;
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • Ggf. Übermittlungen an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

 

Absatz 5 klingt so, als würden Stellen, die weniger als 250 Mitarbeiter beschäftigen, nicht dieser Pflicht unterliegen, es sei denn sie verarbeiten personenbezogene Daten, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, die Verarbeitung erfolgt nicht nur gelegentlich oder die Verarbeitung betrifft besondere Datenkategorien nach Art. 9 oder strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO.

Was zunächst nach einer Erleichterung für Unternehmen mit weniger als 250 Mitarbeitern aussieht, könnte aber beim wiederholten Lesen anders gedeutet werden, denn 1. gibt es immer eine irgendwie geartete Art von Risiko und 2. werden Daten bei einem auf Dauer ausgerichteten Geschäftsbetrieb immer „nicht nur gelegentlich“, sondern regelmäßig verarbeitet, und 3. werden immer auch zumindest einige besondere Datenkategorien nach Art. 9 DSGVO – nämlich Gesundheitsdaten in Form von Krankheitstagen oder Einschränkungen – verarbeitet. Insofern wären dann doch alle Unternehmen zur Führung eines Verzeichnisses verpflichtet. Dann würde jedoch der ganze Absatz, insbesondere die Einschränkung auf 250 Mitarbeiter keinen Sinn ergeben.

 

Hinichtlich des Verarbeitungsrisikos fehlt also vor dem Wort Risiko nur ein quantifizierendes Adjektiv wie z.B. „erhebliches“. So auch in der Kommtarliteratur: „Gemeint ist wohl eine Verarbeitung mit geringem Risiko, von der also kein hohes bzw. erhebliches Risiko oder ein mittleres Risiko ausgeht. “ (Paal/Pauly, Datenschutz-Grundverordnung, DS-GVO Art. 30 Rn. 32, beck-online)
Hinsichtlich der Regelmäßigkeit geht die Kommentarliteratur dahegen davon aus, dass es kein alternativer Tatbestand ist, sondern trotz des „oder“ weiter hinten im Satz hier eine weitere Tatbestandsvoraussetzung ist. Somit soll nur bei regelmäßiger Verarbeitung mit erheblichem Risiko die Pflicht zur Führung eines Verzeichnisses trotz einer Mitarbeiterzahl von weniger als 250 erforderlich sein.
Bei der Verarbeitung besonderer Kategorien personenbezogener Daten ist fraglich, ob schon beispielsweise geringfüge Gesundheitsdaten ausreichen würden, eine Pflicht zur Führung eines Verzeichnisses zu begründen.

Eine konsensfähige Kompromiß-Interpretation könnte (nach Härting, Datenschutzgrundverordnung, S. 9), sein, dass zwar alle Unternehmen weiterhin ein Verfahrensverzeichnis erstellen müssen, kleine unternehmen aber nur für die Verarbeitungen, die regelmäßig stattfinden. Dabei ist natürlich nicht gesagt, ab wann etwas regelmäßig ist.

Diese Interpretationen sind alle noch wenig im Diskurs geprüft und werden erst nach entsprechenden Stellungnahmen der Aufsichtsbehörden oder Gerichtsurteilen, vermutlich also nicht vor 2019 entschieden sein.
Auf der Basis dieser handwerklich unklaren Regelungen wird bis auf Weiteres zu empfehlen sein, die bisherige Praxis der Führung von Verfahrensverzeichnissen nach dem BDSG bis zur Klärung beizubehalten.

 

Auch gibt es kein öffentliches Verzeichnis mit Einsichtsrecht für jedermann und keine Meldepflicht mehr, die in § 4 d und e BDSG geregelt waren. (Dafür gibt es aber umfangreiche Informationspflichten!)

 

Mit Spannung ist abzuwarten, wie sich die technischen und organisatorischen Maßnahmen in dem neuen Verzeichnis wieder finden.

Es muss eine Historie der Verfahrensverzeichnisse geben, die die veränderung der Verfahren für die Aufsicht transparent machen. Es empfiehlt sich somit frühere Versionen aufzubewahren.


Mehr hilfreiche Informationen finden Sie hier:

(Visited 110.480 times, 2 visits today)

Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert