Artikel 30 EU-DSGVO: Verzeichnis von Verarbeitungstätigkeiten

  1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

    1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

    2. die Zwecke der Verarbeitung;

    3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

    4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

    5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

    6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

    7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

  2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

    1. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

    2. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;

    3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

    4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

  3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

  4. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

  5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Kommentar zu Artikel 30 EU-DSGVO

Was sagt Art. 30 DSGVO aus?


1. Der Verantwortliche oder sein Vertreter führen das Verzeichnis nach DSGVO Art. 30 mit folgenden Angaben:

  • Namen sowie Kontaktdaten des Verantwortlichen (auch andere Verantwortliche und Vertreter) sowie des Datenschutzbeauftragten,

  • Verarbeitungszwecke,

  • Kategorien von Betroffenen und personenbezogenen Daten,- Kategorien von Empfängern, die bereits Daten erhalten haben oder noch erhalten sollen (auch Drittstatten und internationale Organisationen),

  • mögliche Datenübermittlungen an Drittländer oder internationale Organisationen, in bestimmten Fällen Garantien der Rechtewahrung (Art. 49 Abs. 1 Unterabsatz 2 DSGVO),

  • nach Möglichkeit Fristen für die Löschung der verschiedenen Datenkategorien,

  • nach Möglichkeit Beschreibungen zu den technischen und organisatorischen Maßnahmen nach Art. 32 Absatz 1 DSGVO.

2. Der Auftragsverarbeiter oder sein Vertreter führen das Verzeichnis nach DSGVO Art. 30 mit diesen Angaben:

  • Namen und Kontaktdaten des Auftragsverarbeiters sowie des beauftragenden Verantwortlichen (auch Vertreter des Verantwortlichen und Auftragsverarbeiters) sowie des Datenschutzbeauftragten,

  • Kategorien der Auftragsverarbeitungen,

  • mögliche Datenübermittlungen an Drittländer oder internationale Organisationen, in bestimmten Fällen Garantien der Rechtewahrung (Art. 49 Abs. 1 Unterabsatz 2 DSGVO),

  • nach Möglichkeit Beschreibungen zu den technischen und organisatorischen Maßnahmen nach Art. 32 Absatz 1 DSGVO.

Die Pflicht zur Führung des Verzeichnisses trifft alle Unternehmen die 250 und mehr Mitarbeiter beschäftigen.

Unternehmen mit weniger als 250 Mittarbeitern sind betroffen, wenn

  • ihre Verarbeitungsprozesse ein Risiko für Betroffenenrechte begründen

  • und sie nicht nur gelegentlich Daten oder besondere Datenkategorien nach Art. 9 und Art. 10 DSGVO verarbeiten.

Wie ist Art. 30 DSGVO zu verstehen?


Das Verarbeitungsverzeichnis nach DSGVO Art. 30 bildet eines der Kernstücke der betrieblichen Dokumentation im Datenschutz und dient auch der eigenen Sicherheit zum Nachweis der Datenschutzkonformität.

Welche Folgen ergeben sich aus Art. 30 DSGVO?


Kaum ein Unternehmen kommt an den Pflichtenkreisen der DSGVO und Art. 30 vorbei. Sorgfalt bei der Erstellung des Verarbeitungsverzeichnisses schützt Sie hier vor Angriffen der Aufsichtsbehörden. Wenn Sie kompetente Unterstützung in diesem Bereich brauchen, finden Sie diese bei datenschutzexperte.de zum Beispiel mit einer Datenschutzberatung oder unseren Leistungen im Bereich DSGVO Dokumentation.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr