Regulatorische Mindestinhalte, Gestaltung, operative Führung und Verantwortlichkeit
Mit Anwendbarkeit der DS-GVO ab 25. 5. 2018 wird die bestehende Pflicht zur Meldung von Datenanwendungen beim Datenverarbeitungsregister (DVR) gem §§ 17 ff DSG 2000 entfallen.1 Stattdessen müssen Verantwortliche in Zukunft nach Art 30 DS-GVO ein internes "Verzeichnis von Verarbeitungstätigkeiten" (kurz "Verarbeitungsverzeichnis" oder "VVT") führen, in dem bestimmte Angaben über jede Verarbeitung personenbezogener Daten dokumentiert werden müssen. Art 30 Abs 1 sieht hierfür eine Reihe von Mindestangaben vor, die dieses Verzeichnis beinhalten muss. Mit diesem dem österreichischen Datenschutzrecht neuen Instrument möchte der Verordnungsgeber das ressourcenintensive und in der Praxis wenig effektive System der Meldepflicht an die Aufsichtsbehörde ablösen.2 Neu im Gegensatz zum DSG 2000 ist, dass in Zukunft auch Auftragsverarbeiter ein VVT führen müssen, wenngleich auch in geringerem Umfang (Art 30 Abs 2). Als Ausfluss des Grundsatzes der Rechenschaftspflicht (Art 5 Abs 2) muss sichergestellt sein, dass das VVT stets aktuell ist und der Datenschutzbehörde (DSB) auf Anfrage jederzeit vollständig und zeitnah zur Verfügung gestellt wer-
Noch keine Zugangsdaten? Gratis registrieren und 30 Tage testen.
Sie können das gesamte Portal 30 Tage testen und/oder Ihr Abo freischalten.