Das Verarbeitungsverzeichnis als zentrales Compliance-Tool
Art 30 DS-GVO normiert für das Verzeichnis von Verarbeitungstätigkeiten (kurz "Verarbeitungsverzeichnis" oder "VVT") bestimmte Mindestinhalte, die von Verantwortlichen (Abs 1) oder Auftragsverarbeitern (Abs 2) jedenfalls dokumentiert werden müssen. Im Umkehrschluss finden sich in der DS-GVO aber keine Anhaltspunkte, die einer freiwilligen Dokumentation weiter gehender Datenschutzaspekte im VVT entgegenstehen würden. Es steht Verantwortlichen oder Auftragsverarbeitern damit frei, zu Verarbeitungstätigkeiten weitere, über diese Mindestvorgaben hinausgehende Datenschutzaspekte festzuschreiben, um damit ihre Rechtskonformität (insb im Hinblick auf die Einhaltung der Grundsätze gem Art 5 Abs 1) gewährleisten und nachweisen zu können (Art 5 Abs 2). Im Folgenden werden mögliche weitere Inhalte vorgestellt, um die das VVT auf freiwilliger Basis erweitert und so zu einem umfassenden Compliance-Werkzeug entwickelt werden kann.
Login
Passwort vergessen?
Noch keine Zugangsdaten?
Gratis registrieren und 30 Tage testen.
Sie können das gesamte Portal 30 Tage testen und/oder Ihr Abo freischalten.
Artikel-Nr.
jusIT 2017/78
31.10.2017
Heft 5/2017
Autor/in
Foto: fotografie andreas novotny
Mag. DI Dr. Bernhard Horn, LL.M. ist Datenschutzbeauftragter und Jurist für IT-Compliance bei der Oesterreichischen Nationalbank. Er ist im Referat Compliance tätig und beschäftigt sich dort vornehmlich mit IT- und datenschutzrechtlichen Themen.
