Andreas Grimme

Wer personenbezogene Daten verarbeitet, muss dies dokumentieren. Auf Nachfrage ist diese Dokumentation an die Datenschutz-Aufsichtsbehörde herauszugeben, damit sie sich ein schnelles Bild verschaffen kann. Das Verzeichnis dient lediglich der Behörde und eventuell eigenen Zwecken – an Dritte muss es jedoch nicht herausgegeben werden.

Die Inhalte, die das Verzeichnis der Verarbeitungstätigkeiten enthalten muss, listet Art. 30 DSGVO im Detail auf[1]:

  • Namen und Kontaktdaten des Vereins, des Vorstands (als dessen Vertreter) sowie eines etwaigen Datenschutzbeauftragten
  • eine Auflistung der Zwecke, zu denen personenbezogene Daten verarbeitet werden
  • eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • falls personenbezogene Daten an einen Empfänger in ein Drittland übermittelt werden (d. h. außerhalb der EU): Nennung von Empfänger, Drittland und Rechtsgrundlage für die Übermittlung
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien, wenn möglich
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung (gemäß Artikel 32 DSGVO), wenn möglich.

Diese Angaben müssen schriftlich festgehalten und aktualisiert werden. Ein elektronisches Format ist zulässig.

Es gibt zwar Ausnahmen von der Pflicht, ein Verarbeitungsverzeichnis zu führen (Art. 30 Abs. 5 DSGVO) – jedoch kommen diese in der Praxis quasi nie zum Tragen. Beispielsweise müsste die Verarbeitung "nicht nur gelegentlich" erfolgen. Jedoch erfolgt in Vereinen alleine die Mitgliederverwaltung immer systematisch und daher öfter als nur gelegentlich.

 
Praxis-Tipp

Verzeichnis der Verarbeitungstätigkeiten nicht unterschätzen

Auch wenn es etwas nach bürokratischer Arbeit aussieht – das aktuelle Verzeichnis der Verarbeitungstätigkeiten sollte in jedem Verein vorgehalten werden (oder zumindest innerhalb kürzester Zeit erstellt werden können). Wenn sich die Aufsichtsbehörde für den Verein interessiert, wird sie sich dieses Dokument als erstes vorzeigen lassen. Kann es nicht vorgelegt werden, drohen Bußgelder.

Aber auch für den Datenschutzbeauftragten ist das Verzeichnis nützlich. Es kann eine wichtige, kompakte Informationsquelle und Übersicht darstellen.

[1] S. Arbeitshilfe "Verzeichnis von Verarbeitungstätigkeiten", HI11379679 in Ihrer Info-Datenbank.

Dieser Inhalt ist unter anderem im Lexware der verein professional enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen