News & Infos zum Thema Datenschutz

Veröffentlicht am

Artikel 71 – Berichterstattung

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt.

 

(2)   Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschlüsse.

 

Veröffentlicht am

Artikel 70 – Aufgaben des Ausschusses

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere folgende Tätigkeiten wahr:

a)   Überwachung und Sicherstellung der ordnungsgemäßen Anwendung dieser Verordnung in den in den Artikeln 64 und 65 genannten Fällen unbeschadet der Aufgaben der nationalen Aufsichtsbehörden;

b)   Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, einschließlich etwaiger Vorschläge zur Änderung dieser Verordnung;

c)   Beratung der Kommission über das Format und die Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf verbindliche interne Datenschutzvorschriften;

d)   Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zu Verfahren für die Löschung gemäß Artikel 17 Absatz 2 von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten ausn öffentlich zugänglichen Kommunikationsdiensten;

e)   Prüfung — von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission — von die Anwendung dieser Verordnung betreffenden Fragen und Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung;

f)   Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel 22 Absatz 2;

g)   Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes für die Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im Sinne des Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat;

h)   Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zu den Umständen, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 Absatz 1 zur Folge hat;

i)   Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der in Artikel 47 aufgeführten Kriterien und Anforderungen für die Übermittlungen personenbezogener Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen;

j)   Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die Übermittlungen personenbezogener Daten gemäß Artikel 49 Absatz 1;

k)   Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 und die Festsetzung von Geldbußen gemäß Artikel 83;

l)   Überprüfung der praktischen Anwendung der unter den Buchstaben e und f genannten Leitlinien, Empfehlungen und bewährten Verfahren;

m)   Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur Festlegung gemeinsamer Verfahren für die von natürlichen Personen vorgenommene Meldung von Verstößen gegen diese Verordnung gemäß Artikel 54 Absatz 2;

n)   Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und -prüfzeichen gemäß den Artikeln 40 und 42;

o)   Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung gemäß Artikel 43 und Führung eines öffentlichen Registers der akkreditierten Einrichtungen gemäß Artikel 43 Absatz 6 und der in Drittländern niedergelassenen akkreditierten Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42 Absatz 7;

p)   Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen im Hinblick auf die Akkreditierung von Zertifizierungsstellen gemäß Artikel 42;

q)   Abgabe einer Stellungnahme für die Kommission zu den Zertifizierungsanforderungen gemäß Artikel 43 Absatz 8;

r)   Abgabe einer Stellungnahme für die Kommission zu den Bildsymbolen gemäß Artikel 12 Absatz 7;

s)   Abgabe einer Stellungnahme für die Kommission zur Beurteilung der Angemessenheit des in einem Drittland oder einer internationalen Organisation gebotenen Schutzniveaus einschließlich zur Beurteilung der Frage, ob das Drittland, das Gebiet, ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau mehr gewährleistet. Zu diesem Zweck gibt die Kommission dem Ausschuss alle erforderlichen Unterlagen, darunter den Schriftwechsel mit der Regierung des Drittlands, dem Gebiet oder spezifischen Sektor oder der internationalen Organisation;

t)   Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64 Absatz 1 zu Beschlussentwürfen von Aufsichtsbehörden, zu Angelegenheiten, die nach Artikel 64 Absatz 2 vorgelegt wurden und um Erlass verbindlicher Beschlüsse gemäß Artikel 65, einschließlich der in Artikel 66 genannten Fälle;

u)   Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen Austauschs von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden;

v)   Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit internationalen Organisationen;

w)   Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt;

x)   Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 40 Absatz 9 und

y)   Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden.

(2)   Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben.

 

(3)   Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht sie.

 

(4)   Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich.

 

Veröffentlicht am

Artikel 69 – Unabhängigkeit

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig.

 

(2)   Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1 Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.

 

Veröffentlicht am

Verarbeitungsverzeichnis DSGVO – Ihre Pflicht trotz weniger als 250 Mitarbeitern?

Wussten Sie, dass selbst kleine Unternehmen bei der Verarbeitung personenbezogener Daten unter bestimmten Umständen ein Verarbeitungsverzeichnis nach DSGVO führen müssen? Die Anforderungen an die Dokumentation sind klar, doch was bedeutet ein Risiko für die Rechte und Freiheiten betroffener Personen genau? In diesem Beitrag beleuchten wir die häufigsten Verarbeitungstätigkeiten, bei denen Sie möglicherweise verpflichtet sind, ein solches Verzeichnis zu erstellen und zu führen. Lassen Sie uns gemeinsam die Kategorien und Muster durchgehen, die Sie nicht ignorieren sollten!

1. Einleitung: Verarbeitungsverzeichnis DSGVO – Eine Pflicht für alle Unternehmen?

Die Bedeutung eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) gemäß DSGVO kann für Unternehmen mit weniger als 250 Mitarbeitern oft unterschätzt werden. Viele glauben, dass die Pflicht zur Erstellung eines VVT nur größere Unternehmen betrifft, jedoch ist dies ein Trugschluss. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten oder Daten von Kindern, besteht immer ein Risiko für die Rechte und Freiheiten betroffener Personen. Dies kann auch alltägliche Vorgänge umfassen, wie die Erfassung von Krankmeldungen oder die Weitergabe von Bewerberdaten an Auftragsverarbeiter. Unternehmen sollten daher genau prüfen, unter welchen Umständen eine Dokumentation erforderlich ist, um mögliche Rechtsverstöße zu vermeiden. Ein sorgfältig geführtes Verarbeitungsverzeichnis ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein wichtiges Instrument, um Transparenz zu schaffen und das Vertrauen der Betroffenen zu stärken. Achten Sie darauf, alle Verarbeitungstätigkeiten korrekt zu erfassen und regelmäßig zu aktualisieren.

2. Die Bedeutung des Verarbeitungsverzeichnisses DSGVO für Unternehmen unter 250 Mitarbeitern

Die Erstellung eines Verarbeitungsverzeichnisses gemäß DSGVO stellt für Unternehmen, selbst mit weniger als 250 Mitarbeitern, eine unverzichtbare Aufgabe dar. Auch wenn die Anzahl der Mitarbeitenden gering ist, kann die Verarbeitung personenbezogener Daten, insbesondere gemäß Artikel 9 DSGVO, bedeutende Risiken mit sich bringen. Diese können sich aus alltäglichen Vorgängen ergeben, wie etwa der Erfassung von Mitarbeiterdaten oder der Kommunikation mit Auftragsverarbeitern. Ein unzureichendes Verständnis der Verarbeitungstätigkeiten und der damit verbundenen Risiken könnte dazu führen, dass wichtige Datenschutzvorgaben übersehen werden. Daher ist es ratsam, alle relevanten Kategorien und Muster im Verzeichnis zu führen und regelmäßig zu aktualisieren. So stellen Unternehmen sicher, dass sie nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch das Vertrauen ihrer Kunden und Mitarbeiter stärken. Die Verantwortung für den Datenschutz liegt bei jedem Unternehmen – unabhängig von der Größe. Ein proaktiver Ansatz zur Einhaltung der DSGVO ist der Schlüssel zum Schutz der Rechte betroffener Personen.

3. Risiken erkennen: Wann ist ein Verzeichnis der Verarbeitungstätigkeiten erforderlich?

Ein Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß DSGVO ist für Unternehmen auch mit weniger als 250 Mitarbeitenden von großer Bedeutung, insbesondere wenn Risiken für die Rechte betroffener Personen bestehen. Diese Risiken können sich aus der Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO ergeben, wie beispielsweise Gesundheitsdaten oder Informationen über die ethnische Herkunft. Wenn solche Daten verarbeitet werden, muss das Unternehmen ein VVT erstellen und führen, um Transparenz zu gewährleisten und den Datenschutz zu optimieren. Auch alltägliche Vorgänge, wie die Erfassung von Bewerberdaten oder die Verwaltung von Mitarbeiterinformationen, können potenziell problematisch sein. Die Identifikation von Auftragsverarbeitern und die Dokumentation der jeweiligen Verarbeitungstätigkeiten sind dabei unerlässlich. Ein gut strukturiertes Verarbeitungsverzeichnis hilft nicht nur bei der Einhaltung gesetzlicher Vorgaben, sondern schützt auch das Unternehmen vor möglichen rechtlichen Konsequenzen und fördert das Vertrauen der Betroffenen in den verantwortungsvollen Umgang mit ihren personenbezogenen Daten.

4. Art. 9 DSGVO Daten und ihre Relevanz im Verarbeitungsverzeichnis DSGVO

Die Berücksichtigung von Art. 9 DSGVO-Daten im Verarbeitungsverzeichnis ist für Unternehmen unerlässlich, selbst wenn sie weniger als 250 Mitarbeiter beschäftigen. Diese speziellen Datenkategorien, wie Informationen zu Gesundheit oder ethnischer Herkunft, erfordern eine besonders sorgfältige Verarbeitung. Ein Verzeichnis der Verarbeitungstätigkeiten (VVT) hilft dabei, die unterschiedlichen Verarbeitungstätigkeiten transparent zu dokumentieren und zeigt auf, welche Auftragsverarbeiter in den Prozess involviert sind. Der Datenschutz muss stets Priorität haben; daher ist es wichtig, potenzielle Risiken der Verarbeitung frühzeitig zu identifizieren. Die Erstellung eines Musterverzeichnisses kann Ihnen dabei helfen, die relevanten Kategorien und spezifischen Datenarten systematisch zu erfassen. Letztlich ist das Führen eines solchen Verzeichnisses nicht nur eine gesetzliche Verpflichtung, sondern auch ein wichtiger Schritt zur Gewährleistung des Schutzes personenbezogener Daten. Unternehmen sollten die Verantwortung ernst nehmen und die notwendigen Maßnahmen umsetzen, um den Anforderungen der DSGVO gerecht zu werden.

5. Alltägliche Vorgänge, die Risiken für die Rechte betroffener Personen darstellen

Alltägliche Vorgänge in Unternehmen bergen oft unerkannte Risiken für die Rechte betroffener Personen, was die Notwendigkeit eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) nach der DSGVO unterstreicht. Selbst bei weniger als 250 Mitarbeitern können spezifische Verarbeitungstätigkeiten, wie etwa die Erfassung von Mitarbeiterdaten oder die Verwaltung von Patientendaten, eine erhebliche Gefahr darstellen. Diese Tätigkeiten können sensible personenbezogene Daten umfassen, die unter Artikel 9 DSGVO fallen. Die Verarbeitung solcher Daten erfordert nicht nur das Führen eines Verarbeitungsverzeichnisses, sondern auch eine klare Dokumentation der Auftragsverarbeiter und deren Rolle. Ohne ein solches Verzeichnis riskieren Unternehmen nicht nur rechtliche Konsequenzen, sondern auch einen Verlust des Vertrauens ihrer Kunden und Partner. Es ist daher ratsam, ein Muster für das Verarbeitungsverzeichnis zu erstellen und regelmäßig zu aktualisieren, um den Datenschutzanforderungen gerecht zu werden und mögliche Risiken proaktiv zu minimieren.

6. Der Bewerbungsprozess und das Verarbeitungsverzeichnis DSGVO: Ein kritischer Punkt

Der Bewerbungsprozess stellt für Unternehmen eine oft unterschätzte Herausforderung im Hinblick auf das Verarbeitungsverzeichnis DSGVO dar. Hier werden regelmäßig personenbezogene Daten verarbeitet, die unter Artikel 9 DSGVO fallen, wie Gesundheitsdaten oder Informationen zur ethnischen Herkunft. Diese Verarbeitungen sind nicht nur sensibel, sondern bergen auch ein erhebliches Risiko für die Rechte und Freiheiten der betroffenen Personen. Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sollten daher sorgfältig prüfen, ob sie ein Verzeichnis der Verarbeitungstätigkeiten führen müssen. Eine unzureichende Transparenz kann zu rechtlichen Konsequenzen führen, insbesondere wenn Auftragsverarbeiter involviert sind. Es ist ratsam, ein Muster für ein Verarbeitungsverzeichnis zu erstellen und regelmäßig zu aktualisieren. Indem Unternehmen diese Pflicht ernst nehmen und klar dokumentieren, sichern sie nicht nur die Einhaltung der Datenschutzvorschriften, sondern stärken auch das Vertrauen von Bewerbern und Mitarbeitern in den verantwortungsvollen Umgang mit ihren Daten.

7. Maßnahmen zur Minimierung von Risiken und zur Einhaltung der DSGVO

Die Implementierung eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) gemäß DSGVO ist für jedes Unternehmen notwendig, unabhängig von der Mitarbeiterzahl. Besonders kritisch wird es, wenn Art. 9 DSGVO Daten verarbeitet werden, da diese besonders schützenswert sind. Unternehmen müssen die Risiken erkennen, die aus alltäglichen Vorgängen entstehen können, wie etwa der Umgang mit Bewerberdaten oder der Kommunikation über Krankmeldungen. Diese Vorgänge könnten potenziell die Rechte und Freiheiten betroffener Personen gefährden, was eine Verpflichtung zur Führung eines VVT auslösen kann. Daher sollten Unternehmen nicht nur ein Muster für das Verarbeitungsverzeichnis erstellen, sondern auch die verschiedenen Kategorien der Verarbeitungstätigkeiten analysieren und kontinuierlich aktualisieren. Auftragsverarbeiter müssen ebenfalls in dieses Verzeichnis aufgenommen werden, um vollständige Transparenz zu gewährleisten und den Datenschutz zu stärken. Durch proaktive Maßnahmen zur Minimierung von Risiken stellen Sie sicher, dass Ihr Unternehmen den Anforderungen der DSGVO gerecht wird und datenschutzrechtliche Verstöße vermeidet.

8. Fazit: Die Notwendigkeit eines Verarbeitungsverzeichnisses DSGVO ernst nehmen!

Ein Verarbeitungsverzeichnis DSGVO ist für Unternehmen von höchster Bedeutung, auch wenn weniger als 250 Mitarbeiter beschäftigt sind. Die Pflicht zur Erstellung eines solchen Verzeichnisses ergibt sich nicht nur aus der Anzahl der Mitarbeitenden, sondern insbesondere aus der Art der verarbeiteten Daten und den potenziellen Risiken für die Rechte betroffener Personen. Artikel 30 DSGVO besagt, dass Unternehmen ein Verzeichnis führen müssen, wenn sie bestimmte personenbezogene Daten nach Art. 9 DSGVO verarbeiten oder wenn die Verarbeitungstätigkeiten ein Risiko darstellen. Dazu zählen alltägliche Vorgänge wie der Bewerbungsprozess oder die Verarbeitung von Mitarbeitern, deren Daten an Dritte, wie Auftragsverarbeiter, weitergegeben werden. Das Erkennen dieser Risiken ist entscheidend, um rechtzeitig Maßnahmen zu ergreifen und die Einhaltung des Datenschutzes sicherzustellen. Ein durchdachtes Verarbeitungsverzeichnis kann somit nicht nur gesetzliche Anforderungen erfüllen, sondern auch das Vertrauen Ihrer Mitarbeiter und Kunden stärken.

People also ask

Wer ist nicht verpflichtet, ein Verarbeitungsverzeichnis zu führen?

Unternehmen sind nicht verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, wenn sie weniger als 250 Mitarbeiter beschäftigen und keine besonderen Umstände vorliegen, die eine solche Pflicht auslösen. Laut Artikel 30 der Datenschutz-Grundverordnung (DSGVO) gilt diese Ausnahmeregelung insbesondere, wenn die Verarbeitung personenbezogener Daten keine Risiken für die Rechte und Freiheiten der betroffenen Personen darstellt. Ein Beispiel für eine solche Ausnahme könnte ein kleines Unternehmen sein, das ausschließlich grundlegende Geschäftsdaten verarbeitet, ohne besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO zu berücksichtigen. Darüber hinaus sind auch Verarbeitungen, die gelegentlich und nicht regelmäßig stattfinden, von der Pflicht ausgenommen. Es ist jedoch wichtig zu beachten, dass auch Unternehmen mit weniger als 250 Mitarbeitern in bestimmten Situationen ein Verzeichnis führen müssen, insbesondere wenn sie beispielsweise besondere Datenkategorien verarbeiten oder die Verarbeitung ein Risiko für die betroffenen Personen darstellt. Daher sollten Unternehmen stets die Art und den Umfang ihrer Datenverarbeitungen prüfen, um festzustellen, ob sie unter die Ausnahmen fallen oder nicht.

Was gehört in ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis gemäß Artikel 30 der DSGVO sollte mehrere wesentliche Elemente enthalten. Zunächst ist der Name und die Kontaktdaten des verantwortlichen Unternehmens sowie gegebenenfalls der Datenschutzbeauftragte anzugeben. Des Weiteren sind die Zwecke der Datenverarbeitung zu dokumentieren, beispielsweise zur Durchführung von Verträgen, zur Erfüllung rechtlicher Verpflichtungen oder zur Verbesserung von Dienstleistungen. Ein weiterer wichtiger Punkt ist die Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten, die verarbeitet werden. Hierbei können beispielsweise Mitarbeiter, Kunden oder Bewerber sowie die jeweiligen Datenkategorien wie Kontaktdaten, Gesundheitsdaten oder Finanzdaten aufgeführt werden. Zusätzlich sollte das Verzeichnis Informationen über die Empfänger der Daten enthalten, also wer Zugriff auf die personenbezogenen Daten hat, sowie etwaige Übermittlungen an Drittländer. Die Dauer der Datenspeicherung und die spezifischen technischen und organisatorischen Maßnahmen zum Schutz der Daten sind ebenfalls wichtige Bestandteile. Abschließend ist festzuhalten, dass das Verarbeitungsverzeichnis regelmäßig aktualisiert werden muss, um den aktuellen Stand der Datenverarbeitung im Unternehmen widerzuspiegeln.

Wann muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden?

Ein Verzeichnis von Verarbeitungstätigkeiten muss gemäß Artikel 30 der Datenschutz-Grundverordnung (DSGVO) unter bestimmten Bedingungen geführt werden. Unternehmen sind verpflichtet, ein solches Verzeichnis zu erstellen, wenn sie mehr als 250 Mitarbeiter beschäftigen. Diese Regelung gilt jedoch nicht nur für große Unternehmen. Auch kleinere Organisationen müssen ein Verzeichnis führen, wenn sie besondere Arten von Daten gemäß Artikel 9 der DSGVO verarbeiten, wie beispielsweise Gesundheitsdaten oder Daten zu rassischen und ethnischen Herkunft. Zusätzlich ist ein Verzeichnis erforderlich, wenn die Verarbeitung personenbezogener Daten ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Diese Risiken können sich aus der Art und Weise ergeben, wie Daten verarbeitet werden, insbesondere durch den Einsatz neuartiger Technologien oder Algorithmen, die möglicherweise nicht ausreichend transparent sind. Ein typisches Beispiel ist der Bewerbungsprozess, der häufig Art-9-Daten umfasst. Auch die Verarbeitung von Mitarbeiterdaten, wie Krankmeldungen oder die Übermittlung von Informationen an Steuerberater, kann diese Pflicht auslösen. Daher ist es wichtig, die spezifischen Umstände der Datenverarbeitung zu prüfen, um festzustellen, ob ein Verzeichnis notwendig ist.

Wer hat Zugriff auf das Verarbeitungsverzeichnis?

Das Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO ist ein internes Dokument, das in erster Linie für die Organisation selbst bestimmt ist. Der Zugriff darauf haben in erster Linie die verantwortliche Stelle, die für die Datenverarbeitung verantwortlich ist, sowie deren Datenschutzbeauftragte. Diese Personen benötigen das Verzeichnis, um die Einhaltung der DSGVO sicherzustellen und potenzielle Risiken zu identifizieren. Darüber hinaus können auch andere interne Stakeholder, wie beispielsweise das IT-Team oder das Compliance-Team, Zugriff auf das Verzeichnis haben, um die Datenverarbeitungsprozesse besser zu verstehen und zu überwachen. Externe Parteien, wie Aufsichtsbehörden, haben ebenfalls das Recht, das Verzeichnis zu prüfen, insbesondere im Rahmen von Audits oder bei Verdacht auf Verstöße gegen die Datenschutzbestimmungen. Es ist wichtig zu beachten, dass das Verzeichnis nicht öffentlich zugänglich ist, um die Vertraulichkeit der Datenverarbeitungsprozesse zu wahren. Unternehmen sollten jedoch sicherstellen, dass alle relevanten Mitarbeiter, die mit personenbezogenen Daten arbeiten, über die Inhalte des Verzeichnisses informiert sind, um eine korrekte Handhabung und Verarbeitung der Daten zu gewährleisten.

Referenzen

Veröffentlicht am

Artikel 68 – Europäischer Datenschutzausschuss

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) wird als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet.

 

(2)   Der Ausschuss wird von seinem Vorsitz vertreten.

 

(3)   Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern.

 

(4)   Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so wird im Einklang mit den Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt.

 

(5)   Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die Kommission über die Tätigkeiten des Ausschusses.

 

(6)   In den in Artikel 65 genannten Fällen ist der Europäische Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die Grundsätze und Vorschriften betreffen, die für die Organe, Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen und Vorschriften dieser Verordnung entsprechen.

 

Veröffentlicht am

Artikel 67 – Informationsaustausch

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite zur Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten Formats nach Artikel 64, erlassen.

 

Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.

 

Veröffentlicht am

Artikel 66 – Dringlichkeitsverfahren

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis.

 

(2)   Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie unter Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Ausschusses ersuchen.

 

(3)   Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den dringenden Handlungsbedarf, im Dringlichkeitsverfahren um eine Stellungnahme oder gegebenenfalls einen verbindlichen Beschluss des Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde trotz dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat, um die Rechte und Freiheiten von betroffenen Personen zu schützen.

 

(4)   Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine Stellungnahme oder ein verbindlicher Beschluss im Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen zwei Wochen mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen.

 

Veröffentlicht am

Artikel 65 – Streitbeilegung durch den Ausschuss

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss:

a)  wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Behörde eingelegt hat oder die federführende Behörde einen solchen Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen diese Verordnung vorliegt;

b)   wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist,

c)   wenn eine zuständige Aufsichtsbehörde in den in Artikel 64 Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbehörde oder die Kommission die Angelegenheit dem Ausschuss vorlegen.

(2)   Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann wegen der Komplexität der Angelegenheit um einen weiteren Monat verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet und an die federführende Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden übermittelt und ist für diese verbindlich.

 

(3)   War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz 2 genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des Ausschusses gibt die Stimme des Vorsitzes den Ausschlag.

 

(4)   Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den Absätzen 2 und 3 genannten Fristen keinen Beschluss über die dem Ausschuss vorgelegte Angelegenheit an.

 

(5)   Der Vorsitz des Ausschusses unterrichtet die betroffenen Aufsichtsbehörden unverzüglich über den in Absatz 1 genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis. Der Beschluss wird unverzüglich auf der Website des Ausschusses veröffentlicht, nachdem die Aufsichtsbehörde den in Absatz 6 genannten endgültigen Beschluss mitgeteilt hat.

 

(6)   Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft den endgültigen Beschluss auf der Grundlage des in Absatz 1 des vorliegenden Artikels genannten Beschlusses unverzüglich und spätestens einen Monat, nachdem der Europäische Datenschutzausschuss seinen Beschluss mitgeteilt hat. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr endgültiger Beschluss dem Verantwortlichen oder dem Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird, in Kenntnis. Der endgültige Beschluss der betroffenen Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und 9 angenommen. Im endgültigen Beschluss wird auf den in Absatz 1 genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1 des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der Website des Ausschusses veröffentlicht wird. Dem endgültigen Beschluss wird der in Absatz 1 des vorliegenden _Artikels genannte Beschluss beigefügt.

 

Veröffentlicht am

Artikel 64 – Stellungnahme Ausschusses

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen zu erlassen. Zu diesem Zweck übermittelt die zuständige Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn dieser

a)  der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen,

b)   eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung oder Ergänzung von Verhaltensregeln mit dieser Verordnung in Einklang steht,

c)   der Billigung der Kriterien für die Akkreditierung einer Stelle nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient,

d)   der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient,

e)   der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 Buchstabe a dient, oder

f)   der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient.

(2)   Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt.

(3)   In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme zu derselben Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht Wochen mit der einfachen Mehrheit der Mitglieder des Ausschusses angenommen. Diese Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um weitere sechs Wochen verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf angeht, der gemäß Absatz 5 den Mitgliedern des Ausschusses übermittelt wird, so wird angenommen, dass ein Mitglied, das innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine Einwände erhoben hat, dem Beschlussentwurf zustimmt.

(4)   Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich dem Ausschuss auf elektronischem Wege unter Verwendung eines standardisierten Formats alle zweckdienlichen Informationen, einschließlich — je nach Fall — einer kurzen Darstellung des Sachverhalts, des Beschlussentwurfs, der Gründe, warum eine solche Maßnahme ergriffen werden muss, und der Standpunkte anderer betroffener Aufsichtsbehörden.

(5)   Der Vorsitz des Ausschusses unterrichtet unverzüglich auf elektronischem Wege

a)   unter Verwendung eines standardisierten Formats die Mitglieder des Ausschusses und die Kommission über alle zweckdienlichen Informationen, die ihm zugegangen sind. Soweit erforderlich stellt das Sekretariat des Ausschusses Übersetzungen der zweckdienlichen Informationen zur Verfügung und

b)   je nach Fall die in den Absätzen 1 und 2 genannte Aufsichtsbehörde und die Kommission über die Stellungnahme und veröffentlicht sie.

(6)   Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten Beschlussentwurf nicht vor Ablauf der in Absatz 3 genannten Frist an.

 

(7)   Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme des Ausschusses s weitestgehend Rechnung und teilt dessen Vorsitz binnen zwei Wochen nach Eingang der Stellungnahme auf elektronischem Wege unter Verwendung eines standardisierten Formats mit, ob sie den Beschlussentwurf beibehalten oder ändern wird; gegebenenfalls übermittelt sie den geänderten Beschlussentwurf.

 

(8)   Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses innerhalb der Frist nach Absatz 7 des vorliegenden Artikels unter Angabe der maßgeblichen Gründe mit, dass sie beabsichtigt, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen, so gilt Artikel 65 Absatz 1.

 

Veröffentlicht am

Artikel 63 – Kohärenzverfahren

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.