• An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
Start Aktuelles DSGVO - Verpflichtung zur Führung eines "Verzeichnis von Verarbeitungstätigkeiten" (VV)

  • blogger
  • Facebook
  • Google Bookmarks
  • linkedin
  • Twitter
  • wordpress
  • Yahoo
  • yahoobuzz

S·M·P Kurznews auch via


DSGVO & Klingelschild - ein Überblick
Dienstag, 23 Oktober 2018 05:08
Immobilienertagssteuer - Hauptwohnsitzbefreiung auch bei Miete vor Verkauf
Freitag, 07 September 2018 06:37
INFORMATIONEN / DATENSCHUTZ
Donnerstag, 10 Mai 2018 17:59
doch nur die natürliche Person im Schutzbereich des DSG in Österreich
Montag, 26 März 2018 17:34

Bitte lesen Sie vorab unsere Information zu Datenschutz bei Social Plugins und informieren Sie sich über den Datenschutz. Wenn Sie mit der Datenermittlung und Weitergabe nicht einverstanden sind, dann nutzen sie das Social Plugin nicht. Danke.

DSGVO - Verpflichtung zur Führung eines "Verzeichnis von Verarbeitungstätigkeiten" (VV)

Was ist ein Verzeichnis von Verarbeitungstätigkeiten? Welche Sanktionen gibt es, wenn es nicht geführt wird?

 

 

Art. 30 DSGVO legt fest, dass jeder "Verantwortliche" (= Auftraggeber iS des DSG) ein "Verzeichnis von Verarbeitungstätigkeiten" zu führen hat.

 

Tut er dies nicht, obwohl er dazu verpflichtet ist, dann droht eine Strafe von 2 % des Vorjahresumsates bzw. EUR 10.000.000,-- (Art. 83 (4) DSGVO)

Was ist in das Verzeichnis aufzunehmen? Jedes Computerprogramm bzw. Programm auf einem Mobiltelefon, das vom Unternehmen verwendet wird, und in dem personenbezogene Daten verwendet werden? Jede Applikation, die sich auf personenbezogene Daten (z.B. Emails) auswirkt, wie ein Virenscanner oder ein Spam-Filter? Oder ist es tatsächlich ein Vorgang, der abzubilden ist?

Prämisse:
Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten verwenden.

 

Wie kommt man zu dieser Schlussfolgerung?

Der Begriff "Verarbeitungstätigkeiten" ist in der DSGVO nicht definiert. Der englische Text enthält den Begriff "records of processing activities".

Das deutsche BDSG kennt ein sog. Verfahrensverzeichnis. Ein "Verfahren" ist ein Bündel von Verarbeitungen, die über eine vom Verantwortlichen definierte Zweckbestimmung verbunden sind (Begründung zu Art. 18 RL 95/46/EG Datenschutzrichtlinie).

Nach dem österreichischen DSG sind sog. Datenanwendungen uU meldepflichtig und die Formulare des DVR oder auch die Vorlagen der StMV 2004 sind vielen bekannt.

Ausgehend davon, dass Daten in "Datenanwendungen" (siehe z.B. § 4 Z 7 DSG) verarbeitet werden, kann man den Schluss ziehen, dass nach österreichischer Sichtweise es sich um ein Verzeichnis von Datenanwendungen handelt.

Auf der Seite der Datenschutzbehörde findet man dazu:

"Eine Datenanwendung dient einem bestimmten Zweck und ist dabei nicht notwendigerweise identisch mit einem bestimmten Programm. Es ist zum Beispiel möglich, eine Datenanwendung "Personalverwaltung" zu führen. Es ist dabei [...] unbedeutend, ob das Unternehmen ein Softwarepaket für die Personalverwaltung benützt oder getrennte Programme für Lohnbuchhaltung und Zeitverwaltung einsetzt."

 

In der DSGVO ist in Art 4 Z 2 eine Definition von "Verarbeitung" enthalten:

Im Sinne dieser Verordnung bezeichnet der Ausdruck
Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

 

Fazit:
Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten verwenden.

 

 

 

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow