Datenschutzerklärung (vorläufig)

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung – DSGVO

1. Allgemeine Angaben
Bezeichnung der Verarbeitungstätigkeit
     
Stand:
     
Behörde oder sonstige öffentliche Stelle, in denen die Verarbeitungstätigkeit erfolgt (Postanschrift, E-Mail-Adresse, Telefonnummer)
     
Name und Kontaktdaten des behördlichen Datenschutzbeauftragten (Dienstliche Postanschrift, E-Mail-Adresse, Telefonnummer)
     
2. Zwecke der Verarbeitung
     
3. Kategorien der personenbezogenen Daten
Lfd. Nr.
Bezeichnung der Daten
     
     
4. Kategorien der betroffenen Personen
Lfd. Nr. von Abschnitt 3
Bezeichnung der Daten
     
     
5. Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
Lfd. Nr. von Abschnitt 3
Empfänger
Anlass der Offenlegung
     
     
     
6. Falls zutreffend: Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
Lfd. Nr. von Abschnitt 3
Drittland oder internationale Organisation
Geeignete Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO
     
     
     
7. Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
Lfd. Nr. von Abschnitt 3
Löschungsfrist
     
     
8. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO
     

Erläuterungen
Allgemeines
Das Verzeichnis von Verarbeitungstätigkeiten ist nach Art. 30 Abs. 1 DSGVO vom Verantwortlichen zu führen. Diese Vorschrift lautet wie folgt:
„(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.“
Zu Nr. 1 (Allgemeine Angaben)
Die Bezeichnung der Verarbeitungstätigkeit soll allgemeinverständlich sein. Beispiele: „Personaldatei“, „Melderegister der Gemeinde …“. Für Außenstehende unverständliche Abkürzungen sind zu vermeiden.

Zu Nr. 3 (Kategorien der personenbezogenen Daten)
Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.B. „Name und Vornahmen“, „Anschrift“, „Staatsangehörigkeit“. Angaben rein technischer Art (z.B. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich.

Zu Nr. 6 (Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation)
Im Falle einer Übermittlung an ein Drittland oder eine internationale Organisation nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO sind die geeigneten Garantien, in Bezug auf den Schutz personenbezogener Daten in Spalte 3 festzuhalten – soweit erforderlich ist dazu auf ergänzende Dokumente zu verweisen.

Zu Nr. 8 (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO)
Soweit möglich sind die technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO hier zu beschreiben. Diese Vorschrift lautet wie folgt:
„(1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“