Artikel 30 der Datenschutz-Grundverordnung legt den Inhalt des Verzeichnisses von Verarbeitungstätigkeiten fest. Bekanntlich muss dieses die folgenden Angaben enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
- die Zwecke der Verarbeitung,
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Diese Verzeichnis ist schrlftlich zu führen (auch elektronisch ist daher möglich) und muss stets den aktuellen Status der Datenverarbeitung widerspiegeln. Es ist also an neue Gegebenheiten wie neue Geschäftsfelder, neue Zielgruppen, usw. anzupassen.
Wir empfehlen dazu nicht das jeweils aktuelle Verarbeitungsverzeichnis zu überschreiben, sondern das alte zu archivieren und das angepasste Verzeichnis mit neuem Erstellungsdatum abzuspeichern. Damit entsteht im Zeitverlauf eine nachvollziebare und dokumentierte Änderungshistorie, die belegt, dass das Verarbeitungsverzeichnis kein starres Dokument ist.
Zurück zur Liste der FAQs