dmpi
Start News: ÜberblickBeispiel-Verarbeitungsverzeichnisse nach der Datenschutz-Grundverordnung

Eintrag vom 05.03.2019

Beispiel-Verarbeitungsverzeichnisse nach der Datenschutz-Grundverordnung

Die Druck- und Medienverbände haben unter Federführung des Bundesverbands Druck und Medien (bvdm) Beispiele von Verarbeitungsverzeichnissen für Druckereien erarbeitet. Die Beispiele können Mitgliedsunternehmen der Verbände der Druck- und Medienindustrie kostenlos bei ihrer Verbandsgeschäftsstelle anfordern.

Datenschutz

Die Umsetzung der Vorgaben der Datenschutz-Grundverordnung (DS-GVO) stellt für viele Druckereien nach wie vor eine Herausforderung dar. Zahlreiche Anfragen aus der Praxis zeigen, dass gerade im Hinblick auf das Verarbeitungsverzeichnis noch große Unsicherheiten bestehen. Vor dem Hintergrund, dass seit Ende 2018 nun auch in Deutschland erste Bußgelder nach der DS-GVO verhängt worden sind, haben die Druck- und Medienverbände dies zum Anlass genommen, unter Federführung des bvdm Beispiele für typische Verarbeitungstätigkeiten einer fiktiven Druckerei zu erarbeiten, die die Erstellung eines eigenen Verarbeitungsverzeichnisses nach der DS-GVO erleichtern sollen. Druckereien, die bereits eigene Verarbeitungsverzeichnisse erstellt haben, können diese an Hand der Beispiele noch einmal überprüfen.

Zum Hintergrund

Druckereien haben zunächst gem. Art. 30 Abs. 1 DS-GVO ein Verzeichnis als „Verantwortlicher" zu führen, welches beispielsweise die Verarbeitungstätigkeiten der Personalverwaltung, der Buchhaltung und zahlreiche weitere umfasst.

Daneben müssen Druckereien aber gem. Art. 30 Abs. 2 DS-GVO gegebenenfalls auch ein Verzeichnis als „Auftragsverarbeiter" erstellen, z. B. im Fall der Werbeadressenverarbeitung (Lettershop). Dementsprechend umfassen die von den Verbänden erstellten Beispiele typische Verarbeitungstätigkeiten des Verantwortlichen und des Auftragsverarbeiters. Abgrenzung Verantwortlicher – Auftragsverarbeiter

Die Abgrenzung, in welchen Fällen eine Tätigkeit als Verantwortlicher oder Auftragsverarbeiter vorliegt, ist nicht immer einfach. Die Verbände stützen sich bei der Abgrenzung auf ein FAQ-Papier des Bayerischen Landesamts für Datenschutzaufsicht, welches Sie ebenfalls bei Ihrer Verbandsgeschäftsstelle erhalten. Allerdings kann nicht ausgeschlossen werden, dass eine andere Aufsichtsbehörde insoweit eine andere Einschätzung vertritt.

Technische und organisatorische Maßnahmen

Zudem soll ein Verarbeitungsverzeichnis, wenn möglich, eine allgemeine Beschreibung der „technischen und organisatorischen Maßnahmen" gem. Art. 32 DS-GVO enthalten.

Die Auflistung mit zahlreichen Beispielen können Verbandsmitglieder hier herunterladen:

Beispiel Listen
Download lock