Verzeichnis der Bearbeitungstätigkeiten
Wenn ein hohes Risiko für die betroffenen Personen besteht, muss ein Verzeichnis der Bearbeitungstätigkeiten geführt werden.
Ansonsten müssen KMU kein Verzeichnis der Bearbeitungstätigkeiten führen.
Das Führen eines Verzeichnisses aller Bearbeitungstätigkeiten ist nach Art. 12 DSG für den Verantwortlichen Pflicht. Diese Pflicht gilt explizit auch für Auftragsbearbeiter.
Nach Art. 24 DSV sind aber alle Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und deren Datenbearbeitungen kein hohes Risiko von Verletzungen der Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringen, von der Pflicht befreit.
Wenn viele besonders schützenswerte Personendaten bearbeitet werden, dann besteht immer ein hohes Risiko und es muss ein Verzeichnis der Bearbeitungstätigkeiten geführt werden.
Das Verzeichnis der Bearbeitungstätigkeiten enthält:
- die Identität des Verantwortlichen, inkl. Namen und Kontaktdaten
- die Bearbeitungszwecke
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien der Personendaten
- die Kategorien der Empfängerinnen und Empfänger, einschliesslich Empfänger in Drittländern oder internationalen Organisationen
- Wenn möglich: Die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
- Wenn möglich: Eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
- Wenn möglich: Eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen
Eine Vorlage für ein Verzeichnis der Bearbeitungstätigkeiten wird vom Berufsverband FMH angeboten.