14.03.2018 von

DSGVO: Die größte Falle beim Verzeichnis der Verarbeitungstätigkeiten

Im zweiten Videoblog zur Umsetzung der DSGVO in der Praxis verraten wir Ihnen, welchen Fehler Sie bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten vermeiden sollten.

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler. Der Leiter des Teams für IT-Recht bei Baker McKenzie in Wien ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

Das Verzeichnis der Verarbeitungstätigkeiten (Fragen 14-21)

Florian Unterberger: In dieser Folge unserer Videoserie zur Umsetzung der Datenschutzgrundverordnung im Unternehmen widmen wir uns dem gefürchteten „Verzeichnis der Verarbeitungstätigkeiten“. Herr Dr. Feiler, die 15. Frage in Ihrem Buch, das Sie gemeinsam mit Bernhard Horn geschrieben haben, lautet: „Was muss im Verzeichnis der Verarbeitungstätigkeiten jedenfalls dokumentiert werden?“

Lukas Feiler: Ich muss im Verzeichnis zu jeder Verarbeitungstätigkeit dokumentieren: Welche Daten werden über welche Betroffenen gespeichert? Zu welchen Zwecken verarbeitet? Wie lange werden sie gespeichert? Dieser Punkt ist insbesondere in der Praxis ein schwieriger, weil man sich hier wirklich selbst an der Nase nehmen muss, um wirklich klare Antworten zu finden. Weiters, an wen die Daten übermittelt werden und welche Sicherheitsmaßnahmen eingesetzt werden, um die Daten entsprechend zu sichern.

Ihr Buch ist ja sehr praxisnah geschrieben – die 17. Frage versucht zu beantworten, ob es eigentlich taktisch klug ist, mehr als das Minimum im Verzeichnis dieser Verarbeitungstätigkeiten zu dokumentieren?

Lukas Feiler: Die Frage ist deswegen sehr wichtig, weil das Verzeichnis der Verarbeitungstätigkeiten schlussendlich auf Anfrage der Datenschutzbehörde dieser herauszugeben ist. Deswegen die praktische Empfehlung: Dokumentieren Sie an der Stelle nichts, von dem Sie nicht wollen, dass es auch bei der Datenschutzbehörde landet. Daher will man vielleicht manche Dinge, wo man ein bisschen die Grauzonen des Datenschutzrechts auslotet, dann an dieser Stelle nicht ganz so detailliert festhalten.

19. Frage: Ist es der Datenschutzbeauftragte, der dieses Verzeichnis führen muss? 

Lukas Feiler: Nein, ist es nicht. Oft ist der Irrglaube vorhanden: Man bestellt einen Datenschutzbeauftragten und damit ist im Wesentlichen alles erledigt, insbesondere das Verzeichnis der Verarbeitungstätigkeiten ist dann sein Problem. Dem ist nicht so, er muss lediglich auf Anfrage hierzu beraten. Es zu führen ist eigentlich nach der Verordnung nicht seine Aufgabe. Man kann ihm diese Aufgabe zusätzlich übertragen, aber diese zusätzliche Übertragung ist notwendig, damit es wirklich zu seiner Aufgabe wird.

Weitere Fragen zum Verzeichnis der Verarbeitungstätigkeiten

Das waren drei ganz kurze Einblicke in das zweite Kapitel des Buches von Lukas Feiler und Bernhard Horn über das Verzeichnis der Verarbeitungstätigkeiten in der DSGVO. Die weiteren Fragen dieses Kapitels lauten:

  • Ein Unternehmen hat weniger als 250 Mitarbeiter – Muss trotzdem ein Verzeichnis der Verarbeitungstätigkeiten geführt werden?
  • Muss auch ein Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten führen?
  • Müssen auch Verarbeitungstätigkeiten dokumentiert werden, die ohnedies bereits in DVR-Online gemeldet wurden?
  • Kann das Verzeichnis der Verarbeitungstätigkeiten auch elektronisch geführt werden? Sollen spezielle Softwarelösungen verwendet werden?
  • Kann das Verzeichnis der Verarbeitungstätigkeiten auch auf Englisch geführt werden?

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.