Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Wer ist betroffen?
Nahezu jedes Unternehmen, das personenbezogene Daten verarbeitet — also praktisch jeder Betrieb mit Kunden oder Mitarbeitenden. Die Ausnahme für kleine Unternehmen greift in der Praxis selten.
Was passiert ohne?
Das Verzeichnis ist der Aufsichtsbehörde auf Anfrage vorzulegen. Fehlt es, drohen Beanstandungen und Bußgelder nach der DSGVO.
Artikel 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten: je Zweck, welche Kategorien von Daten und betroffenen Personen verarbeitet werden, an wen Daten weitergegeben werden, ob eine Übermittlung in Drittländer stattfindet und welche Löschfristen gelten.
Das Verzeichnis ist ein internes Dokument — es muss nicht veröffentlicht, aber gepflegt und auf Verlangen vorgelegt werden. Ergänzt wird es um eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).
Wer Auftragsverarbeiter einsetzt (z. B. Steuerberater, Cloud-Dienste), muss mit diesen zusätzlich einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO schließen.
Dieses Dokument automatisch erstellen
Beantworten Sie rund 20 Fragen und erhalten Sie Ihr Dokument als Word und PDF — laufend aktuell gehalten.
Kostenlos starten