Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
23. August 2019

DSGVO: Verarbeitungsverzeichnis bei Auftragsverarbeitern

Gratis
DSGVO: Verarbeitungsverzeichnis bei Auftragsverarbeitern
Bild: Pinkypills / iStock / Thinkstock
5,00 (1)
Pflicht seit Mai 2018
Die Datenschutz-Grundverordnung (DSGVO / GDPR) nimmt auch Auftragsverarbeiter in die Pflicht: Bei einer Auftragsverarbeitung ist nicht mehr nur der Verantwortliche gefordert. Was muss der Auftragsverarbeiter tun?

Die Datenschutz-Grundverordnung (DSGVO) hat den Kreis derer erweitert, die ein Verzeichnis von Verarbeitungstätigkeiten, früher: Verfahrensverzeichnis, führen müssen: Auftragsverarbeiter sind mit der DSGVO ebenfalls gefordert, unter bestimmten Bedingungen ein solches Verzeichnis zu führen.

Verarbeiter können dabei natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, sein.

Lesen Sie zur Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit den Beitrag Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Verarbeitungsübersicht bei Auftragsverarbeitern

Ein Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die er im Auftrag eines Verantwortlichen durchführt.

Als Bestandteile dieses Verzeichnisses von Verarbeitungstätigkeiten nennt die DSGVO in Artikel 30 insbesondere:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).

„Wenn möglich“ sollten Verantwortliche dabei aber nicht als Hintertür verstehen, um die Beschreibung der TOMs einfach grundsätzlich auszulassen.

Die Datenschutz-Aufsichtsbehörden werden sich sicherlich begründen lassen, warum ein Auftragsverarbeiter etwas als unmöglich betrachtet.

Anzeige

WEKA Manager Verarbeitungstätigkeiten Ihr WEKA Manager Verarbeitungstätigkeiten
erstellen Sie mit einer modernen Software eine lückenlose, rechtssichere Dokumentation über alle Verfahren in Ihrem Unternehmen, die Sie jederzeit den Aufsichtsbehörden vorlegen können.

Jetzt testen!


Zum Umfang der TOM-Beschreibung gibt es bereits Anhaltspunkte: So sollte daie Verarbeitungsübersicht nach DSGVO die Maßnahmen so konkret beschreiben, dass die Aufsichtsbehörden eine erste  Rechtmäßigkeitsüberprüfung vornehmen können.

Teil der Datenschutz-Dokumentation

Umfragen zeigen immer wieder, dass das Verzeichnis in vielen Unternehmen als lästige Pflicht gilt. Das war zu Zeiten des alten Bundesdatenschutzgesetzes so, das ist auch jetzt noch so. So manches Unternehmen hat sich bisher um diese Pflicht gedrückt.

Dieses Verzeichnis von Verarbeitungstätigkeiten sollten Unternehmen aber nicht nur als Pflicht ansehen:

  • Es ist einer der Nachweise, dass der Verantwortliche der Rechenschaftspflicht im Datenschutz nachkommt.
  • Zudem ist es ein Instrument, um die internen Datenschutzmaßnahmen zu strukturieren.
  • Außerdem ist das Verzeichnis Prüfungsgegenstand bei einer Kontrolle durch die Aufsichtsbehörde.

Es lohnt sich also mehrfach, sich damit zu befassen.

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

0 Kommentare