DSGVO Gesetzestexte
Artikel 30 EU-DSGVO: Verzeichnis von Verarbeitungstätigkeiten

Artikel 30 EU-DSGVO: Verzeichnis von Verarbeitungstätigkeiten

  1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
    1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
    2. die Zwecke der Verarbeitung;
    3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
    4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
    5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
    6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
    7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
    1. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
    2. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
    3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
    4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
  4. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
  5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Zum Inhaltsverzeichnis
Zur Kapitelübersicht
Vorheriger Artikel
Nächstes Kapitel
Nächster Artikel
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung

Kommentar zu
Artikel 30 EU-DSGVO: Verzeichnis von Verarbeitungstätigkeiten

Kommentar zu Artikel 4 EU-DSGVO

Was sagt Art. 4 DSGVO aus?

Art. 4 DSGVO definiert in 26 Nummern Kernbegriffe der neuen Verordnung.

Besonders wichtige Definitionen werden in den Nr.1- 11 gegeben.

  • Nr.1 bestimmt den Begriff personenbezogene Daten: Diese gehören zu einer identifizierten oder identifizierbaren natürlichen Person.
  • Nr.2 definiert die Verarbeitung: Dabei geht es um mit oder ohne automatisierte Verfahren durchgeführte Verfahren wie unter anderem die Erhebung, die Erfassung, die Organisation, das Ordnen, die Speicherung, die Veränderung, die Verwendung und andere Tätigkeiten im Kontext personenbezogener Daten.
  • Nr. 3 bezeichnet die Einschränkung der Verarbeitung als eine Markierung von gespeicherten personenbezogenen Daten, die künftig in der Verarbeitung limitiert werden.
  • In Nr. 4 geht es um das Profiling als einem bestimmten automatisierten Verarbeitungsverfahren personenbezogener Daten mit dem Ziel der Bewertung verschiedener Aspekte des Betroffenen.
  • Nr. 5 beschäftigt sich mit der Pseudonymisierung. Das ist ein Vorgang, bei dem personenbezogene Daten ohne zusätzliche Informationen nicht mehr einer spezifischen Person zugeordnet werden können.
  • Nr.6 definiert das Dateisystem als jede strukturierte Sammlung personenbezogener Daten.
  • Nr.7 bestimmt den Verantwortlichen als natürliche oder juristische Person, als Behörde, als Einrichtung oder jedwede andere Stelle, die allein oder in Gemeinschaft mit anderen die Zwecke sowie Mittel zur Verarbeitung von personenbezogenen Daten bestimmt.
  • Nr. 8 umschreibt den Auftragsverarbeiter als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die bei der Verarbeitung von personenbezogenen Daten im Auftrag des Verantwortlichen handelt.
  • Nr. 9 definiert den Empfänger als natürliche oder juristische Person, Behörde, Einrichtung oder jedwede andere Stelle, der gegenüber eine andere Stelle personenbezogene Daten offenlegt.
  • Dritte sind nach Nr. 10 Stellen, die neben dem Verantwortlichen, dem Auftragsverarbeiter und anderen von den Verantwortlichen beauftragten Personen personenbezogene Daten verarbeiten.
  • Nr. 11 definiert die Einwilligung der Betroffenen als eine informierte und unmissverständlich abgegebene Willenserklärung oder deutliche Handlung, die ein Einverständnis mit der Verarbeitung personenbezogener Daten erkennen lässt.In den weiteren Nummern geht es um etwas weniger zentrale, aber dennoch stets relevante Begriffsbestimmungen.

Wie ist Art. 4 DSGVO zu verstehen?

Die meisten Definitionen in Art. 4 DSGVO sind selbsterklärend. Es ist in diesem Zusammenhang aber wichtig, sie bei der Anwendung der EU Datenschutzgrundverordnung zu kennen. Hier sollten Unternehmen und vor allem auch betriebliche Datenschutzbeauftragte immer wieder auf diese Begriffsbestimmungen zurückkommen, um die entsprechenden Vorschriften in den richtigen Kontext zu stellen.

Welche Folgen ergeben sich aus Art. 4 DSGVO?

Die Begriffsbestimmungen in dieser Vorschrift machen den Umgang mit der DSGVO und das Verständnis für die Vorschriften erst möglich. Sie weichen teilweise von bisher bekannten Begrifflichkeiten in der nationalen Gesetzgebung ab. Wenn sich Zweifel bei den einzelnen Definitionen und deren Verständnis ergeben, ist der betriebliche Datenschutzbeauftragte der erste Ansprechpartner für das Unternehmen. Dieser gibt unter anderem seine Kenntnisse als Multiplikator an die Mitarbeiter des Unternehmens weiter, die mit den Datenverarbeitungsvorgängen befasst sind. Datenschutzexperte.de informiert Sie in diesem Zusammenhang gern über die Vorteile eines externen Datenschutzbeauftragten und bestellt diesen auf Wunsch auch.