Kurzbeschreibung
Werden Daten im Auftrag eines Verantwortlichen durchgeführt, muss der Auftragsverarbeiter gem. Art. 30 Abs. 2 DSGVO ein Verzeichnis führen.
Vorbemerkung
Ab dem 25.5.2018 entfaltet die Europäische Datenschutz-Grundverordnung (kurz "DSGVO") unmittelbare Wirkung in allen Mitgliedsstaaten der Europäischen Union. Neben dem Verzeichnis für die Tätigkeiten als Verantwortlicher, muss auch jeder Auftragsverarbeiter ein gesondertes Verzeichnis über alle "im Auftrag" durchgeführten Tätigkeiten führen.
Unternehmen müssen ebenfalls ein Verzeichnis über solche Tätigkeiten führen, die im Auftrag eines Verantwortlichen durchgeführt werden. Ist ein Unternehmen Auftragsverarbeiter einer nach Art. 28 DSGVO erforderlichen Vereinbarung, so muss ein "Auftragsverarbeiter-Verzeichnis" geführt werden. Dieses "Auftragsverarbeiter-Verzeichnis" muss jedoch nicht in dem Umfang geführt werden, der für das Verzeichnis des Verantwortlichen maßgeblich ist. Den Umfang dieses Verzeichnisses gibt Art. 30 Abs. 2 DSGVO vor. Wenn ein Unternehmen Tätigkeiten als Verantwortlicher und andere Tätigkeiten als Auftragsverarbeiter durchführt, müssen 2 Verzeichnisse geführt werden.
Ausnahme von der Verpflichtung
Die Verpflichtung zur Führung eines Verzeichnisses nach Art. 30 Abs. 2 DSGVO besteht gem. Art. 30 Abs. 5 DSGVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn
- die Verarbeitungen bergen ein Risiko für die Rechte und Freiheiten von natürlichen Personen,
- die Verarbeitung erfolgt nicht nur gelegentlich oder
- es erfolgt eine Verarbeitung sog. besonderer Kategorien von personenbezogenen Daten (gem. Art. 9 Abs. 1 bzw. 10 DSGVO).
Im Gegensatz zum Verzeichnis für die als Verantwortlicher durchgeführten Tätigkeiten, können die Ausnahmen durchaus dazu führen, dass die Verpflichtung entfällt. Druckt eine Druckerei mit weniger als 250 Beschäftigten beispielsweise Visitenkarten im Auftrag, so dürfte die Verpflichtung zur Führung dieses Verzeichnisses entfallen.
Verzeichnis der im Auftrag durchgeführten Verarbeitungen
- Name und Kontaktdaten des Verantwortlichen ....................
- Name und Kontaktdaten des Auftragsverarbeiters ....................
- Name und Kontaktdaten der/des Datenschutzbeauftragen ....................
Kategorien von Verarbeitung, die im Auftrag durchgeführt werden
.................... [ Beispiel: "Druck von Visitenkarten"]
Erklärung zur Übermittlungen in Drittländer
.................... [Beispiel: "Eine Übermittlung der Daten in Drittländer findet nicht statt."]
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen ....................