Verzeichnis von Verarbeitungstätigkeiten (VV)

Gem. Art 30 DSGVO ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen. 

 

Diese Pflicht trifft grundsätzlich jeden Verantwortlichen (Abs 1) und auch jeden Auftragsdatenverarbeiter (Abs 2).

 

Manche Unternehmen (z.B. "Kleinstunternehmen" oder KMU) sind uU befreit (siehe unten)

 

Das VV ist schriftlich oder elektronisch zu führen und der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Es ist davon auszugehen, dass es von der jeweiligen Aufsichtsbehörde in der jeweiligen Amtssprache (dh in Ö: Deutsch) zur Verfügung zu stellen ist. 

 

Ein Einsichtsrecht von betroffenen Personen in das Verzeichnis gibt es jedoch nicht. Es ist als "interne Dokumentation" des Verantwortlichen zu sehen, welches im Anlaßfall von der Behörde angefordert und geprüft wird.  Die Datenschutzbehörde macht keinerlei Vorgaben oder Vorschläge zur Art und Weise des VV, hat jedoch im Leitfaden zur Umsetzung der DSGVO mitgeteilt, dass bisherige DVR-Anmeldungen als Vorlage verwendet werden können.

 

befreites Unternehmen oder Organisation?

Die DSGVO beschreibt in ErwG 13 das Ziel, dass Kleinstunternehmen und kleine und mittlere Unternehmen von der Regulierung nicht so stark betroffen sein sollen.

 

Von der Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten sind ausgenommen (siehe Art. 30 Abs 5 DSGVO):

 

Organisationen / Unternehmen (gleich ob Verantwortliche oder Auftragsdatenverarbeiter) die verpflichtet sind, ein VV zu erstellen und zu führen:

 

mehr als 250 Mitarbeiter -> jedenfalls ein VV zu erstellen

 

weniger als 250 Mitarbeiter,

der Verarbeitungen durchführt, die

 

Aufgrund der Tatsache, dass die Verpflichtung alle Organisationen trifft, die personenbezogene Daten natürlicher Personen nicht nur gelegentlich (not occasional) verarbeiten, wird nahezu jedes Unternehmen und jede sonstige Organisation ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und auch auf aktuellem Stand zu halten haben, sofern sich die anzugebenden Inhalte ändern.

 

 


Verarbeitungs-tätigkeiten

Prämisse:

Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten verwenden.

 

Wie kommt man zu dieser Schlussfolgerung?

 

Das deutsche BDSG kennt ein sog. Verfahrensverzeichnis. Ein "Verfahren" ist ein Bündel von Verarbeitungen, die über eine vom Verantwortlichen definierte Zweckbestimmung verbunden sind (Begründung zu Art. 18 RL 95/46/EG Datenschutzrichtlinie).

 

Nach dem österreichischen DSG sind sog. Datenanwendungen uU meldepflichtig und die Formulare des DVR oder auch die Vorlagen der StMV 2004 sind vielen bekannt. 

 

Der Begriff "Verarbeitungstätigkeiten" ist in der DSGVO nicht definiert. Der englische Text enthält den Begriff "records of processing activities". 

 

Ausgehend davon, dass Daten in "Datenanwendungen" (siehe z.B. § 4 Z 7 DSG) verarbeitet werden, kann man den Schluss ziehen, dass nach österreichischer Sichtweise es sich um ein Verzeichnis von Datenawendungen handelt.

Auf der Seite der Datenschutzbehörde findet man dazu:

"Eine Datenanwendung dient einem bestimmten Zweck und ist dabei nicht notwendigerweise identisch mit einem bestimmten Programm. Es ist zum Beispiel möglich, eine Datenanwendung "Personalverwaltung" zu führen. Es ist dabei [...] unbedeutend, ob das Unternehmen ein Softwarepaket für die Personalverwaltung benützt oder getrennte Programme für Lohnbuchhaltung und Zeitverwaltung einsetzt."

 

In der DSGVO ist in Art 4 Z 2 eine Definition von "Verarbeitung" enthalten:

  1. Im Sinne dieser Verordnung bezeichnet der Ausdruck
  2. Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Fazit:

 

Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten verwenden.

 

 

 


Inhalt  des VV

  • Beschreibung des Verantwortlichen / Dienstleisters
  • Informationen zum Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Kategorien der betroffenen Personen
  • Kategorien der personenbezogenen Daten
  • Kategorien der Empfängerkreise
  • Löschungsroutine
  • Beschreibung der technischen und organistorischen Maßnahmen gem. Art. 32 Abs 1 DSGVO (Datensicherheitsmaßnahmen


Download
Muster eines Verzeichnis von Verarbeitungstätigkeiten (VV)
Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten
VdV 1-0.pdf
Adobe Acrobat Dokument 1'005.3 KB