Auch in wissenschaftlichen Kontexten, in denen mit personenbezogenen Daten, etwa im Rahmen von Studien gearbeitet wird, muss ab 25. Mai 2018 ein Verarbeitungsverzeichnis geführt werden.

Das Verarbeitungsverzeichnis (Art. 30 DS-GVO) löst dabei das Verfahrensverzeichnis ab. Es handelt sich dabei um eine interne schriftliche oder elektronische Übersicht über alle Verarbeitungstätigkeiten. Niedergelegt müssen darin zumindest die folgenden Informationen sein:

  • Namen und Kontaktdaten von (möglicherweise mehreren) Verantwortlichen,
  • Zweck(e) der Verarbeitung
  • Beschreibung von Kategorien betroffener Personengruppen und Kategorien personenbezogener Daten
  • Kategorien von Empfängern, inklusive Empfängern in Drittländern
  • ggf. bei der Übermittlung in ein Drittland die Dokumentation geeigneter Garantien
  • wenn möglich vorgesehene Fristen für Löschung der verschiedenen Datenkategoieren
  • wenn möglich eine Beschreibung von technisch organistorischen Maßnahmen (TOMs)

Das Verzeichnis muss auch geführt werden, wenn Daten im Auftrag verarbeitet werden.

Für den Verantwortlichen stellt das Verarbeitungsverzeichnis eine Möglichkeit das, seiner ihm durch die DS-GVO Art. 24 Abs 1 auferlegten Nachweispflicht zu einer datenschutzkonformen Datenverarbeitung nachzukommen.

Muster:

Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. (2017). Muster für Verzeichnisse gemäß Art. 30. Retrieved from https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ bzw. Datenschutz in Sachsen-Anhalt: https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/verzeichnis-der-verarbeitungstaetigkeiten-nach-artikel-30-ds-gvo/

DSK. Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO. Retrieved from https://www.datenschutzzentrum.de/uploads/dsgvo/Hinweise-zum-Verzeichnis-von-Verarbeitungstaetigkeiten.pdfGDD. (2017).

GDD. (2017). GDD-Praxishilfe DS-GVO V: Verzeichnis von Verarbeitungstätigkeiten. Retrieved from https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

BayLDA. (2018). Handreichung für kleine Unternehmen und Vereine: Anforderungen und Musterverzeichnisse. Retrieved from https://www.lda.bayern.de/de/kleine-unternehmen.html

 

Laut Pressemitteilung vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. 30.06.2017 haben die Aufsichtsbehörden die folgenden Mustervorlagen abgestimmt: Für Verantwortliche https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf; Für Auftragsdatenverarbeiter https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Auftragsverarbeiter.pdf sowie Muster für TOMs https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf Siehe außerdem die Praxishilfen: GDD 2017: GDD-Praxishilfe DS-GVO V Verzeichnis von Verarbeitungstätigkeiten. Version 1.0. Online verfügbar unter https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf