Im Mittelpunkt der Umsetzung steht dabei das Verzeichnis von Verarbeitungstätigkeiten im Sinne des Art. 30 der Datenschutz-Grundverordnung (DS-GVO). Expertentipp: Unternehmen mit grundsätzlich gut organisiertem Datenschutz werden es leichter haben, auf die Anforderungen der DS-GVO umzustellen. Möglicherweise können die bereits bestehenden Verfahrensverzeichnisse 1:1 übernommen oder allenfalls leicht angepasst werden, um die Pflicht zu erfüllen. Der Inhalt des Verzeichnises von Verarbeitungstätigkeiten ähnelt vom Prinzip her dem entsprechenden Verfahrensverzeichnis nach dem ehemaligen Bundesdatenschutzgesetz (BDSG), in welchem ebenfalls die Datenkategorien, der Verarbeitungszweck, beziehungsweise der Kreis der betroffenen Personen sowie die Empfänger der Daten zu dokumentieren waren. Verzeichnis von verarbeitungstätigkeiten beispiel verein den. Es bietet sich nach wie vor an, alle Datenverarbeitungen nach ihrem Zweck sortiert zusammenzufassen, allerdings ist noch nicht rechtlich abschließend geklärt, wie detailliert das Verzeichnis von Verarbeitungstätigkeiten geführt werden muss.
Was das sog. Verzeichnis der Verarbeitungstätigkeiten (VVT) angeht, dürften tatsächlich nicht ALLE Wege, aber doch zumindest VIELE Wege nach Rom führen. Obwohl ein VVT nicht erst seit Wirksamwerden der DS-GVO von den allermeisten Daten verarbeitenden Stelle (Verantwortlichen) geführt werden muss, gibt es doch immer noch viel Unwissen, Halbwissen und Missverständnisse zu diesem Thema. Dabei gehen die Meinungen auch bzgl. der tatsächlichen Erstellung eines VVT oft auseinander: – Was gehört in ein VVT, wie detailliert muss es sein? – Muss ich überhaupt ein VVT führen? – Wer führt das VVT? Nach Art. 30 Abs. 1 DS-GVO muss jeder Verantwortliche ein "Verzeichnis von Verarbeitungstätigkeiten" (im Folgenden abgekürzt: "VVT") führen. Das Verzeichnis enthält: – einige allgemeine Angaben zum Verantwortlichen (Art. 1 lit a DS-GVO), – eine Auflistung aller "Verarbeitungen" (Art. Das Verzeichnis der Verarbeitungstätigkeiten | DataAgenda. 4 Ziff. 2 DS-GVO), die in seinem Zuständigkeitsbereich liegen, – mit spezifischen Angaben zu den einzelnen Verarbeitungstätigkeiten (Zwecke, Datenkategorien, Betroffenenkategorien, Empfänger, Drittlandübermittlungen, Löschfristen, technisch/organisatorische Maßnahmen Art.
zuletzt aktualisiert am: 7. Juni 2021 Verarbeitungsverzeichnis als Verein – Brauch ich das wirklich? Als Verein, Selbständiger oder Geschäftsführer eines kleinen oder mittelständischen Betriebes brauchen Sie in der Tat ein Verarbeitungsverzeichnis bzw. offiziell ein "Verzeichnis für Verarbeitungstätigkeiten" (VVT) – früher auch "Verfahrensverzeichnis" genannt. Rechtliche Grundlage Die Datenschutzgrundverordnung sieht vor, dass jeder, der regelmäßig Daten verarbeitet, ein Verzeichnis für Verarbeitungstätigkeiten führen muss. Ganz genau liest sich das im Artikel 30 ("Verzeichnis von Verarbeitungstätigkeiten") so: Jeder Verantwortliche und ggf. sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. (…) ( Art. 30 DSGVO) Dann folgen ziemlich viele Angaben, was in dem Verzeichnis drin stehen muss (lit. a-g), wie es zu führen ist und dass man es "der Aufsichtsbehörde auf Anfrage zur Verfügung" stellen muss (Art. Verzeichnis von verarbeitungstätigkeiten beispiel verein video. 30 Nr. 4). Unter Punkt 5 findet sich dann (scheinbar) eine Ausnahmeregelung: Die (…) genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien (…) einschließt.
Verzeichnis der Verarbeitungstätigkeiten nach DSGVO (© stockpics –) Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit dem 25. 05. 2018 in Kraft. Sie ersetzt das Bundesdatenschutzgesetz (BDSG), aber noch immer herrscht in vielen Unternehmen Unsicherheit, wie mit dieser Verordnung in der Praxis zu verfahren ist. Welche Daten dürfen erhoben werden, wie sind sie aufzubewahren und wie erfolgt die Verarbeitung der erhobenen Daten? Im Mittelpunkt dieser Fragen steht das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO (früher: Verfahrensverzeichnis). Verzeichnis von Verarbeitungstätigkeiten ᐅ Muster / Vorlage. Lesen Sie in diesem Artikel, was Sie bei der Erstellung des Verzeichnisses beachten müssen, um das Risiko einer Abmahnung seitens der Aufsichtsbehörden zu vermeiden. Verzeichnis von Verarbeitungstätigkeiten - was ist neu? Die Verantwortlichen aus Unternehmen und Vereinen mit mehr als 250 Mitarbeitenden, aber auch Freiberufler müssen sich künftig auf höhere Anforderungen einstellen, was ihre Pflicht zum Datenschutz bei der Verarbeitung von personenbezogenen Daten und dessen Dokumentation betrifft.
Mitgliederverwaltung (Rechtsgrundlage rechtliche Verpflichtung, vertragliche Verpflichtung) Beitragsverwaltung (Rechtsgrundlage vertragliche Verpflichtung) Versand von Informationen über Newsletter-Tool (Rechtsgrundlage Einwilligung; Achtung: Auftragsverarbeitung! ; ggf. Doppel-Achtung bei Übermittlung in Drittland wie USA! ) Versand von Informationen über E-Mail (Rechtsgrundlage abhängig von den Inhalten; Achtung: Auftragsverarbeitung! ) Öffentlichkeitsarbeit mittels Vereinswebsite über Hostinganbieter (Achtung: Auftragsverarbeitung! ) Öffentlichkeitsarbeit mittels Social Media (Achtung: i. d. R. gemeinsame Verantwortung! Muster für ein Verzeichnis der Verarbeitungstätigkeiten – DSGVO.News. ) –> vgl. Artikel "Darf ich als Verein weiter Facebook nutzen? " Veröffentlichung von Fotos auf der Vereinswebsite (Rechtsgrundlage je nach Fall berechtigtes Interesse oder Einwilligung; Achtung bei Tracking-Tools –> Cookies nur mit Einwilligung) Veröffentlichung von Bildern Minderjähriger auf der Website (Rechtsgrundlage Einwilligung der Erziehunsberechtigten) Meldung an Verband (Rechtsgrundlage vertragliche Verpflichtung) Sie sehen also, die Rechtsgrundlagen variieren.
( Art. 30 DSGVO) Zugegebenermaßen etwas umständlich formuliert. Das heißt nichts anderes, als dass alle kleinen Unternehmen, die nicht regelmäßig Daten verarbeiten und keine "besonderen Datenkategorien" (z. B. Gesundheitsdaten, religiöse oder parteiliche Zugehörigkeit etc. ) verarbeiten, kein Verfahrensverzeichnis führen müssen. Grund zum Aufatmen? Leider nicht. Der gemeine Passus lautet "nicht nur gelegentlich". Haben Sie Kunden? Dann erfassen Sie deren Adressen für Ihre Auftragsbearbeitung und Buchhaltung hoffentlich nicht "nur gelegentlich" (also bei dem einen Kunden schon, beim andern vielleicht nicht? Verzeichnis von verarbeitungstätigkeiten beispiel verein deutsch. ) Zahlen Sie Ihren Mitarbeitern Löhne? Dann tun Sie das nicht "nur gelegentlich" und Sie verarbeiten dabei sogar ggf. religiösen Zugehörigkeiten. Haben Sie eine Webseite und vielleicht sogar einen Newsletter? Dann betreiben Sie beides auch nicht "nur gelegentlich". (Übrigens: Wenn Sie dazu Mailchimp nutzen, übermitteln Sie die Daten sogar noch an ein unsicheres Drittland: USA = datenschutzrechtlich ganz "böse" 😉 Ist aber kein Problem, solange Sie Ihre Newsletter-Empfänger darüber vorab informieren. )
Die Ausgestaltung in einer niederschwelligen Tabellenform zeigt zum einen, dass je nach Komplexität der Verarbeitungen auch Tabellen oder Excel eine Möglichkeit sein können, um sich und anderen einen Überblick über die wesentlichen Verarbeitungstätigkeiten zu verschaffen. Zum anderen lässt sich anhand der Muster recht gut erkennen, welche Granularität sich zumindest das BayLDA bei einem VVT vorstellt. Auch die Datenschutzstelle Liechtenstein hat ein ausgefülltes Muster für ein Unternehmen und einen Verein. Spannend zu sehen ist es auch, wie der Europäische Datenschutzbeauftragte (EDSB) die Anforderungen des Art. 30 DS-GVO umgesetzt hat. Denn wie alle anderen Organe, Einrichtungen und sonstigen Stellen der EU (Organe und Einrichtungen der EU) verarbeitet auch der EDSB personenbezogenen Daten und hat daher ein VVT zu führen. Das VVT des EDSB ist ein schönes Beispiel dafür, wie das VVT auch per HTML und die Nutzung von Hyperlinks übersichtlich im Intranet eines Unternehmens umgesetzt werden könnte.