Zusammenfassung:
Artikel 30 der Datenschutz-Grundverordnung (DS-GVO) verpflichtet Verantwortliche und Auftragsverarbeiter, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, das eine Übersicht über alle Prozesse der Verarbeitung personenbezogener Daten bietet.
Inhalte:
- Pflicht des Verantwortlichen:
- Verantwortliche müssen ein Verzeichnis führen, das alle Verarbeitungstätigkeiten enthält, für die sie verantwortlich sind.
- Dieses Verzeichnis muss Angaben enthalten wie:
- Zweck der Verarbeitung.
- Beschreibung der betroffenen Datenkategorien (z. B. Namen, Adressen) und betroffener Personen (z. B. Kunden, Mitarbeiter).
- Kategorien von Empfängern der Daten.
- Übermittlungen in Drittländer und die entsprechenden Garantien.
- Aufbewahrungsfristen.
- Sicherheitsmaßnahmen (technische und organisatorische).
- Pflicht des Auftragsverarbeiters:
- Auftragsverarbeiter führen ein Verzeichnis mit ähnlichen Angaben, jedoch beschränkt auf die Verarbeitungstätigkeiten, die sie im Auftrag durchführen.
- Ausnahmen:
- Unternehmen oder Organisationen mit weniger als 250 Mitarbeitern sind von dieser Pflicht befreit, sofern die Verarbeitung nicht:
- ein Risiko für die Rechte und Freiheiten der Betroffenen birgt,
- nicht regelmäßig erfolgt oder
- keine besonderen Kategorien personenbezogener Daten betrifft (z. B. Gesundheitsdaten).
- Zugänglichkeit:
- Das Verzeichnis muss auf Anfrage der Datenschutzaufsichtsbehörde vorgelegt werden können.
Ziel:
Artikel 30 dient der Transparenz und Nachvollziehbarkeit der Datenverarbeitung und unterstützt die Einhaltung datenschutzrechtlicher Vorgaben.