Was ist ein Verzeichnis von Verarbeitungstätigkeiten? Welche Sanktionen gibt es, wenn es nicht geführt wird?
Gemäß Art. 30 DSGVO ist ein Verzeichnis von Verarbeitungen (VV) vom Verantwortlichen zu führen.
Art. 30 DSGVO legt fest, dass jeder "Verantwortliche" (= Auftraggeber iS des DSG) ein "Verzeichnis von Verarbeitungstätigkeiten" zu führen hat.
Tut er dies nicht, obwohl er dazu verpflichtet ist, dann droht eine Strafe von 2 % des Vorjahresumsatzes bzw. EUR 10.000.000,-- (Art. 83 (4) DSGVO)
Was ist in das Verzeichnis aufzunehmen? Jedes Computerprogramm bzw. Programm auf einem Mobiltelefon, das vom Unternehmen verwendet wird, und in dem personenbezogene Daten verwendet werden? Jede Applikation, die sich auf personenbezogene Daten (z.B. Emails) auswirkt, wie ein Virenscanner oder ein Spam-Filter? Oder ist es tatsächlich ein Vorgang, der abzubilden ist?
Prämisse:
Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht
sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim
Verantwortlichen, die personenbezogene Daten verwenden.
Wie kommt man zu dieser Schlussfolgerung?
Der Begriff "Verarbeitungstätigkeiten" ist in der DSGVO nicht definiert. Der englische Text enthält den Begriff "records of processing activities".
Das deutsche BDSG kennt ein sog. Verfahrensverzeichnis. Ein "Verfahren" ist ein Bündel von Verarbeitungen, die über eine
vom Verantwortlichen definierte Zweckbestimmung verbunden sind (Begründung zu Art. 18 RL 95/46/EG Datenschutzrichtlinie).
Nach dem österreichischen DSG sind sog. Datenanwendungen uU meldepflichtig und die Formulare des DVR oder auch die Vorlagen der StMV 2004 sind vielen
bekannt.
Ausgehend davon, dass Daten in "Datenanwendungen" (siehe z.B. § 4 Z 7 DSG) verarbeitet werden, kann man den Schluss ziehen, dass nach österreichischer Sichtweise es sich um ein
Verzeichnis von Datenanwendungen handelt.
Auf der Seite der Datenschutzbehörde findet man dazu:
"Eine Datenanwendung dient einem bestimmten Zweck und ist dabei nicht notwendigerweise identisch mit einem bestimmten Programm. Es ist zum Beispiel möglich, eine Datenanwendung "Personalverwaltung" zu führen. Es ist dabei [...] unbedeutend, ob das Unternehmen ein Softwarepaket für die Personalverwaltung benützt oder getrennte Programme für Lohnbuchhaltung und Zeitverwaltung einsetzt."
In der DSGVO ist in Art 4 Z 2 eine Definition von "Verarbeitung" enthalten:
Im Sinne dieser Verordnung bezeichnet der Ausdruck
Fazit:
Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht
sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim
Verantwortlichen, die personenbezogene Daten verwenden.
Kommentar schreiben
sprawdź ofertę (Montag, 04 September 2017 22:03)
wije
seks za darmo (Dienstag, 05 September 2017 15:05)
nieratowany
sprawdź ofertę (Freitag, 08 September 2017 16:12)
rozmazywać
sextel (Samstag, 09 September 2017 14:14)
batystat
kobiety na seks (Samstag, 09 September 2017 14:56)
pokład
gej (Mittwoch, 13 September 2017 12:44)
stęsknić
wróżka niedaleko (Donnerstag, 14 September 2017 17:42)
ulegając