EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO):

Muster eines Datenverarbeitungsverzeichnisses nach Art 30 Abs. 1 EU-Datenschutz-Grundverordnung (DSGVO) für Verantwortliche. 

Die Experten der Wirtschaftskammern Österreichs haben für ihre Mitgliedsbetriebe nachstehendes Muster eines Datenverarbeitungsverzeichnisses nach Art 30 Abs. 1
EU-Datenschutz-Grundverordnung (DSGVO) für Verantwortliche erstellt.

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO)

(Verantwortlicher)

 

Inhalt

1. Stammdatenblatt: Allgemeine Angaben
2. Datenverarbeitungen/Datenverarbeitungszwecke
3. Detailangaben
4. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

A.  Stammdatenblatt

 

Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen

 

1. Name(n) und Anschrift(en): OMEGA / Joel Schwab, Bogenhofen 3, 4963 Bogenhofen, Austria.

1. E-Mail-Adresse(n) (und allenfalls weitere Kontaktdaten wie z.B. Tel. Nr.): contact@omega-omega.com 

1. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.) des Datenschutzbeauftragten[1]: contact@omega-omega.com

1. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie z.B. Tel.Nr.) des Vertreters des (der) Verantwortlichen:[2] contact@omega-omega.com 

B.   Datenverarbeitungen/Datenverarbeitungszwecke

1. Zwecke und Beschreibung der Datenverarbeitung[3]:

• Personenbezogene Daten (Art 4 Z 1) 
• Besondere Kategorien personenbezogener Daten („sensible Daten“, Art 9 Abs 1):
• Verarbeitung (Art 4 Z 2) 
• Verantwortlicher (Art 4 Z 7) und Auftragsverarbeiter (Art 4 Z 8)
• Empfänger (Art 4 Z 9)
• Einwilligung (Art 4 Z 11) 
• Kind (Art 8 Abs 1)
• Pseudonymisierung (Art 4 Z 5)
• Dateisystem (Art 4 Z 6)
• Gesundheitsdaten (Art 4 Z 15)
• Genetische Daten (Art 4 Z 13)
• Biometrische Daten (Art 4 Z 14)
• Profiling (Art 4 Z 4)

usw.

 

C.  Detailangaben zu …..

1.  Kategorien der betroffenen Personen
Lfd. Nr.	Beschreibung der Kategorien betroffener Personen
1	Kunden
2	Mitarbeiter
3	Lieferanten
4	usw.

 

 

 

 

 

 

 

 

2.  Rechtmäßigkeitsgrundlagen
Lfd. Nr.	Beschreibung der Rechtmäßigkeitsgrundlagen, auf die sich Datenverarbeitung stützt
1	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Betroffenen)
2	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3	Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen nach zB BAO, UGB, Arbeitsrecht)
4	Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen oder eines Dritten)

 

 

 

 

 

 

 

 

 

 

1. Verträge, Zustimmungserklärungen oder sonstige Unterlagen (z.B. Erledigung der Informationspflichten) sind abgelegt:

…………………………………………..

 

4.  Löschungs- und Aufbewahrungsfristen (wenn möglich)[7]
Lfd. Nr.	Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen
1	Vertragslaufzeit
2	sieben Jahre für BAO
3	usw

 

 

 

 

1. Kategorien der verarbeiteten Daten, Empfängerkategorien, Rechtmäßigkeitsgrundlagen und Löschungs- bzw. Aufbewahrungsfristen

 

Verarbeitung besonders geschützter Daten[8]

Werden sensible Daten (Art 9 Abs 1 DSGVO)[9] verarbeitet?	Ja	Nein
Werden strafrechtlich relevante Daten (Art 10 DSGVO) verarbeitet? [10]	Ja	Nein

           

 

 

6.    Empfänger in Drittländern[11]
Empfängerkategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4)	Angabe des Drittstaats	Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt[12]

 

 

D.  Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen[13]

 

 

1. Vertraulichkeit[14]: Verhinderung von (unbeabsichtigter) Offenlegung oder unbefugten Zugang zu personenbezogenen Daten.

 

 

1. Integrität[15]: Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.

 

1. Verfügbarkeit und Belastbarkeit: im Dringlichkeitsfall durch die entsprechende Auskunftsstelle

 

1. Pseudonymisierung und Verschlüsselung: geschützte Verwaltung

 

1. Evaluierungsmaßnahmen: im Falle der Notwendigkeit

[1] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. Siehe dazu „Datenschutzbeauftragter“. Ein Datenschutzkoordinator kann, muss aber nicht ins Verarbeitungsverzeichnis aufgenommen werden.

[2] Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen.

[3] Zum Begriff „Verarbeitung“ siehe „Wichtige Begriffsbestimmungen“; sollten Daten auch an „Dritte“ oder an Auftragsverarbeiter übermittelt werden, sind auch die Zwecke dieser Datenübermittlungen im Verarbeitungsverzeichnis zu dokumentieren.

[4] Die Rechtmäßigkeitsgrundlagen sind nach der DSGVO zwar nicht verpflichtend in das Verarbeitungsverzeichnis aufzunehmen, allerdings aufgrund der Rechenschaftspflicht zu empfehlen. Siehe das Merkblatt „Grundsätze und Rechtmäßigkeit der Verarbeitung“.

[5] Siehe zu den Informationspflichten das Merkblatt „Informationspflichten“.

[6] Die Angabe, wo die Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Einrichtungen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung).

[7] Nach der DSGVO sind die Löschfristen bzw. Aufbewahrungsfristen nach Möglichkeit ins Verarbeitungsverzeichnis aufzunehmen. Beispielsweise kann bei unbefristeten Verträgen keine konkrete Löschfrist angegeben werden, da der konkrete Vertragsablauf unbestimmt ist. Es empfiehlt sich hier eine abstrakte Frist anzugeben (z.B. „nach Ablauf des Vertrages“). Siehe dazu auch das Merkblatt „Speicher-, Verjährungs- und Aufbewahrungsfristen“.

[8] Diese Angabe empfiehlt sich im Hinblick auf eine raschere Erfassung der Risikoneigung der Datenverarbeitung.

[9] „Sensible Daten“ nach Art 9 DSGVO sind besondere Datenkategorien: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.

[10] Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht.

[11] Damit sind Empfänger gemeint, die ihren Sitz außerhalb der EU haben. Siehe dazu das Merkblatt „Internationaler Datenverkehr“.

[12] Vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt). Siehe „Internationaler Datenverkehr“.

[13] Eine Liste mit konkreten Maßnahmen findet sich als Anhang zum Mustervertrag für die Auftragsverarbeitung.

[14] Verhinderung von (unbeabsichtigter) Offenlegung oder unbefugten Zugang zu personenbezogenen Daten.

[15] Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.