Die Datenschutz-Grundverordnung verpflichtet nach Art. 30 EU-DSGVO dazu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u. a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen. Die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten trifft nicht nur den Verantwortlichen und seine Vertreter, sondern nach Art. 30 Abs. 2 DSGVO auch den Auftragsverarbeiter und dessen Vertreter direkt. Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern sind nach Abs. 5 ausnahmsweise vom Führen eines Verzeichnisses befreit, wenn die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, keine Verarbeitung besonderer Datenkategorien erfolgt oder die Verarbeitung nur gelegentlich erfolgt.
Verzeichnis von Verarbeitungstätigkeiten im CVJM In Vereinen muss regelmäßig ein Verzeichnis von Verarbeitungstätigkeiten vorgehalten werden. Grundsätzlich hat jeder Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten, die in seinem Verein durchgeführt werden, zu führen (Art. 30 Abs. 1 S. 1 DSGVO). Dies kann papiergebunden oder elektronisch (z. B. Excel-Tabelle) erfolgen. Das Verzeichnis ist nicht öffentlich, es dient den Vereinsverantwortlichen zum Überblick über die Verarbeitung personenbezogener Daten und muss der Aufsichtsbehörde auf Verlangen vorgelegt werden. Für sämtliche automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, müssen im Verzeichnis von Verarbeitungstätigkeiten folgende Angaben enthalten sein: Name und die Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten Zwecke der Verarbeitung eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten die Kategorien von Empfängern von personenbezogenen Daten einschließlich Empfänger in Drittländern und ggf.
Denn die Behörden haben nach Erwägungsgrund 13 "bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. " Externe Links Behörden Datenschutzkonferenz DSK ► Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO ( Link) Datenschutzbehörde Niedersachsen ► Verzeichnis von Verarbeitungstätigkeiten (DS-GVO) ( Link) Datenschutzbehörde Bayern ► Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO ( Link) Datenschutzbehörde Rheinland-Pfalz ► Verzeichnis von Verarbeitungstätigkeiten ( Link) Datenschutzbehörde Sachsen-Anhalt ► Muster zum Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DSGVO ( Link) Datenschutzbehörde Sachsen-Anhalt ► Muster zum Verzeichnis von Verarbeitungstätigkeiten Auftragsverarbeiter gem. 2 DSGVO ( Link) Datenschutzbehörde Bayern ► Musterverzeichnis von Verarbeitungstätigkeiten ( Vereine, Kfz-Werkstatt, Handwerksbetrieb, Arztpraxis, WEG-Verwaltung, Online-Shop, Beherbergungsbetrieb) Datenschutzbehörde Österreich ► Datenschutz-Grundverordnung Leitfaden – Verzeichnis von Verarbeitungstätigkeit, Seite 27 ( Link) Data Protection Authority UK ► Documentation ( Link) Data Protection Authority Luxembourg ► Data Protection Basics: The obligations of controllers and processors – 2.
Mitgliederverwaltung (Rechtsgrundlage rechtliche Verpflichtung, vertragliche Verpflichtung) Beitragsverwaltung (Rechtsgrundlage vertragliche Verpflichtung) Versand von Informationen über Newsletter-Tool (Rechtsgrundlage Einwilligung; Achtung: Auftragsverarbeitung! ; ggf. Doppel-Achtung bei Übermittlung in Drittland wie USA! ) Versand von Informationen über E-Mail (Rechtsgrundlage abhängig von den Inhalten; Achtung: Auftragsverarbeitung! ) Öffentlichkeitsarbeit mittels Vereinswebsite über Hostinganbieter (Achtung: Auftragsverarbeitung! ) Öffentlichkeitsarbeit mittels Social Media (Achtung: i. d. R. gemeinsame Verantwortung! ) –> vgl. Artikel "Darf ich als Verein weiter Facebook nutzen? " Veröffentlichung von Fotos auf der Vereinswebsite (Rechtsgrundlage je nach Fall berechtigtes Interesse oder Einwilligung; Achtung bei Tracking-Tools –> Cookies nur mit Einwilligung) Veröffentlichung von Bildern Minderjähriger auf der Website (Rechtsgrundlage Einwilligung der Erziehunsberechtigten) Meldung an Verband (Rechtsgrundlage vertragliche Verpflichtung) Sie sehen also, die Rechtsgrundlagen variieren.
Wichtig ist besonders die Nachweisbarkeit – vor allem der Einwilligungen. Denken Sie daher daran, mit Ihrem Website-Host und E-Mail-Provider einen AV-Vereinbarung abzuschließen. Und vergessen Sie bei all Ihren Verfahren nicht die Löschfristen. Übrigens, das Verarbeitungsverzeichnis ist die Grundlage, um Ihren Informationspflichten nach Art. 13 DSGVO nachzukommen. Und weil das Verarbeitungsverzeichnis im Verein so wichtig ist, gibt es meine Erstberatung inklusive VVT. Sie möchten doch lieber etwas Hilfe bei der Erstellung? Dann sprechen Sie mich an! Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung. Übrigens: Kennen Sie schon den Online-Generator des LfDI zur Erstellung einer Datenschutzinformation nach Art. 13 DSGVO? >> Bildquellen Verzeichnis-verarbeitung: Pixabay - megan_rexazin