Mehr
Navigation
KAPITEL I Allgemeine Bestimmungen (1-4)
Artikel 1. Gegenstand und ZieleArtikel 2. Sachlicher AnwendungsbereichArtikel 3. Räumlicher AnwendungsbereichArtikel 4. Begriffsbestimmungen
KAPITEL II Grundsätze (5-11)
Artikel 5. Grundsätze für die Verarbeitung personenbezogener DatenArtikel 6. Rechtmäßigkeit der VerarbeitungArtikel 7. Bedingungen für die EinwilligungArtikel 8. Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der InformationsgesellschaftArtikel 9. Verarbeitung besonderer Kategorien personenbezogener DatenArtikel 10. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und StraftatenArtikel 11. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
KAPITEL III Rechte der betroffenen Person (12-23)
Artikel 12. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen PersonArtikel 13. Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen PersonArtikel 14. Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurdenArtikel 15. Auskunftsrecht der betroffenen PersonArtikel 16. Recht auf BerichtigungArtikel 17. Recht auf Löschung („Recht auf Vergessenwerden“)Artikel 18. Recht auf Einschränkung der VerarbeitungArtikel 19. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der VerarbeitungArtikel 20. Recht auf DatenübertragbarkeitArtikel 21. WiderspruchsrechtArtikel 22. Automatisierte Entscheidungen im Einzelfall einschließlich ProfilingArtikel 23. Beschränkungen
KAPITEL IV Verantwortlicher und Auftragsverarbeiter (24-43)
Artikel 24. Gegenstand und ZieleArtikel 25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche VoreinstellungenArtikel 26. Gemeinsam VerantwortlicheArtikel 27. Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder AuftragsverarbeiternArtikel 28. AuftragsverarbeiterArtikel 29. Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Artikel 30. Verzeichnis von Verarbeitungstätigkeiten
Artikel 31. Zusammenarbeit mit der AufsichtsbehördeArtikel 32. Sicherheit der VerarbeitungArtikel 33. Meldung von Verletzungen des Schutzes personenbezogener Daten an die AufsichtsbehördeArtikel 34. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen PersonArtikel 35. Datenschutz-FolgenabschätzungArtikel 36. Vorherige KonsultationArtikel 37. Benennung eines DatenschutzbeauftragtenArtikel 38. Stellung des DatenschutzbeauftragtenArtikel 39. Aufgaben des DatenschutzbeauftragtenArtikel 40. VerhaltensregelnArtikel 41. Überwachung der genehmigten VerhaltensregelnArtikel 42. ZertifizierungArtikel 43. Zertifizierungsstellen
KAPITEL V Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen (44-50)
Artikel 44. Allgemeine Grundsätze der DatenübermittlungArtikel 45. Datenübermittlung auf der Grundlage eines AngemessenheitsbeschlussesArtikel 46. Datenübermittlung vorbehaltlich geeigneter GarantienArtikel 47. Verbindliche interne DatenschutzvorschriftenArtikel 48. Nach dem Unionsrecht nicht zulässige Übermittlung oder OffenlegungArtikel 49. Ausnahmen für bestimmte FälleArtikel 50. Internationale Zusammenarbeit zum Schutz personenbezogener Daten
KAPITEL VI Unabhängige Aufsichtsbehörden (51-59)
Artikel 51. AufsichtsbehördeArtikel 52. UnabhängigkeitArtikel 53. Allgemeine Bedingungen für die Mitglieder der AufsichtsbehördeArtikel 54. Errichtung der AufsichtsbehördeArtikel 55. ZuständigkeitArtikel 56. Zuständigkeit der federführenden AufsichtsbehördeArtikel 57. AufgabenArtikel 58. BefugnisseArtikel 59. Tätigkeitsbericht
KAPITEL VII Zusammenarbeit und Kohärenz (60-70)
Artikel 60. Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen AufsichtsbehördenArtikel 61. Gegenseitige AmtshilfeArtikel 62. Gemeinsame Maßnahmen der AufsichtsbehördenArtikel 63. KohärenzverfahrenArtikel 64. Stellungnahme des AusschussesArtikel 65. Streitbeilegung durch den AusschussArtikel 66. DringlichkeitsverfahrenArtikel 67. InformationsaustauschArtikel 68. Europäischer DatenschutzausschussArtikel 69. UnabhängigkeitArtikel 70. Aufgaben des AusschussesArtikel 71. BerichterstattungArtikel 72. VerfahrensweiseArtikel 73. VorsitzArtikel 74. Aufgaben des VorsitzesArtikel 75. SekretariatArtikel 76. Vertraulichkeit
KAPITEL VIII Rechtsbehelfe, Haftung und Sanktionen (77-84)
Artikel 77. Recht auf Beschwerde bei einer AufsichtsbehördeArtikel 78. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine AufsichtsbehördeArtikel 79. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder AuftragsverarbeiterArtikel 80. Vertretung von betroffenen PersonenArtikel 81. Aussetzung des VerfahrensArtikel 82. Haftung und Recht auf SchadenersatzArtikel 83. Allgemeine Bedingungen für die Verhängung von GeldbußenArtikel 84. Sanktionen
KAPITEL IX Vorschriften für besondere Verarbeitungssituationen (85-91)
Artikel 85. Verarbeitung und Freiheit der Meinungsäußerung und InformationsfreiheitArtikel 86. Verarbeitung und Zugang der Öffentlichkeit zu amtlichen DokumentenArtikel 87. Verarbeitung der nationalen KennzifferArtikel 88. Datenverarbeitung im BeschäftigungskontextArtikel 89. Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen ZweckenArtikel 90. GeheimhaltungspflichtenArtikel 91. Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
KAPITEL X Delegierte Rechtsakte und Durchführungsrechtsakte (92-93)
Artikel 92. Ausübung der BefugnisübertragungArtikel 93. Ausschussverfahren
KAPITEL XI Schlussbestimmungen (94-95)
Artikel 94. Aufhebung der Richtlinie 95/46/EGArtikel 95. Verhältnis zur Richtlinie 2002/58/EGArtikel 96. Verhältnis zu bereits geschlossenen ÜbereinkünftenArtikel 97. Berichte der KommissionArtikel 98. Überprüfung anderer Rechtsakte der Union zum DatenschutzArtikel 99. Inkrafttreten und Anwendung
DSGVO (GDPR) > Artikel 30. Verzeichnis von Verarbeitungstätigkeiten
PDF herunterladen

Artikel 30 DSGVO. Verzeichnis von Verarbeitungstätigkeiten

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 30(1)(d) GDPR:

7.5.4 Records of PII disclosure to third parties

Control

The organization should record disclosures of PII to third parties, including what PII has been disclosed, to whom and at what time.

Implementation guidance

PII can be disclosed during the course of normal operations.

[…]


to read full text

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

ISO 27701 Verbindungen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 30(1)(e) GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]


to read full text

Verbindungen

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

ISO 27701
ISO 27701

(EN) 8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner.

[…]


to read full text

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Verbindungen
Verbindungen

(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;

c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 30(2)(c) GDPR:

8.5.2 Countries and international organizations to which PII can be transferred

Control

The organization should specify and document the countries and international organizations to which PII can possibly be transferred.

Implementation guidance

The identities of the countries and international organizations to which PII can possibly be transferred in normal operations should be made available to customers.

[…]


to read full text

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

ISO 27701 Verbindungen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.

Here is the relevant paragraph to article 30(2)(d) GDPR:

6.12.1.2 Addressing security within supplier agreements

Implementation guidance

The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).

[…]


to read full text

Verbindungen

(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Leitlinien und Gerichtsurteile Verbindungen
Leitlinien und Gerichtsurteile Verbindungen
Datenschutz-Grundverordnung (DSGVO)

Letzte konsolidierte Fassung (inkl. Berichtigung, ABl. L 314 vom 22.11.2016, S. (2016/679), Berichtigung, ABl. L 127 vom 23.5.2018, S. (2016/679)). EUR-lex

Erläuterung ISO 27701 Erwägungsgrund Leitlinien und Gerichtsurteile Leave a comment
Erläuterung

(EN) Article 30 is pretty straightforward and gives us very direct instructions on what document has to be created and what information has to be in it. Often it is enough to create a spreadsheet or a simple Excel table if the number of your processing activities is not so high, but if it doesn’t scale well, there are also specialised software solutions for Register of Processing Activities. 

[…]


to read full text

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 30 GDPR:

7.2.8 Records related to processing PII

Control

The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.

Implementation guidance

A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs. Such an inventory can include:

 

[…]


to read full text

Erwägungsgrund

(13) Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird. Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission [5] maßgebend sein.

[5] Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (C (2003) 1422) (ABl. L 124 vom 20.5.2003, S. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC

(39) Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

(82) Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.

Leitlinien und Gerichtsurteile Leave a comment
[js-disqus]