Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Diese verlangt von fast allen Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten. Was das ist und wer betroffen ist, erfahren Sie hier.
Grundsätzlich alle Unternehmen und Vereine, die personenbezogene Daten verarbeiten, brauchen ein Verarbeitungsverzeichnis. Kein Datenverarbeitungsverzeichnis brauchen Sie, wenn alle der folgenden Voraussetzungen gleichzeitig zutreffen:
Diese Ausnahmebestimmung ist jedoch insgesamt nicht sehr praxisrelevant. Es ist daher zum jetzigen Zeitpunkt davon auszugehen, dass grundsätzlich alle Unternehmen und Vereine, die eine Kunden- oder Mitgliederdatenbank führen oder eine Mitarbeiterverwaltung betreiben, ein Verarbeitungsverzeichnis benötigen.
Die DSGVO unterscheidet zwischen Verantwortlichen und Auftragsverarbeitern. Ein Verantwortlicher entscheidet allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Ein Auftragsverarbeiter bearbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Tipp: Wenn Sie nicht sicher sind, in welche der beiden Kategorien Sie fallen, fragen Sie Ihre Berufsvertretung wie Kammer oder Fachgruppe.
Das Verarbeitungsverzeichnis eines Verantwortlichen muss folgende Informationen enthalten:
Wirtschaftskammer
Ziviltechnikerkammer
Ärztekammer Wien – Einzelpraxen
Ärztekammer Wien – Gruppenpraxen
Ärztekammer Salzburg – Unterlagen für Einzel- und Gruppenpraxen
Auftragsverarbeiter brauchen ein nicht ganz so umfangreiches Verarbeitungsverzeichnis.
Wirtschaftskammer
Ziviltechnikerkammer
Die Wirtschaftskammer hat FAQs zum Verarbeitungsverzeichnis zusammengestellt.