Müssen Rechtsgrundlagen (RGL) im Verzeichnis der Verarbeitungstätigkeiten angegeben werden?

Nach Art 30 DSGVO müssen dieses nicht genannt werden. Allerdings fusst ja jede Verarbeitung auch einer RGL, die entscheidend für weitere Tätigkeiten im Datenschutz ist.

Zum Beispiel erfordert die Nutzung von Art. 6 Abs. 1 lit. a auch Art 7 DSGVO zu berücksichtigen. Oder bei Art. 6 Abs. 1 lit. c sollte aus meiner Sicht auch klar sein, auf welche Rechtsrundlage außerhalb der DSGVO man sich stützt.

Ich bin daher der Meinung: die RGL und die speziellen RGL die implizit verwendet werden sollen im VVT genannt werden.

Was mein ihr?

Das Verarbeitungsverzeichnis gem. Art. 30 DSGVO soll entsprechend gem. ErwG 82 S. 1 dazu dienen einen Nachweis der Einhaltung der DSGVO führen zu können. Zur Einhaltung der Verordnung sind entsprechend auch die Grundsätze der DSGVO (vgl. Art. 5 f. DSGVO) obligatorisch. Hiernach muss gem. Art. 5 Abs. 1 Lit. a DSGVO jede Verarbeitung von pb. Daten auf einer entsprechenden Rechtsgrundlage beruhen.

Für Zwecke der Rechenschafts- und Dokumentationspflicht im Sinne von Art. 5 Abs. 2 und Art. 24 DS-GVO ist sodann auch erforderlich, dass die Voraussetzungen einer Datenverarbeitung dargelegt werden. Mithin insb. auch Art. 5 Abs. 1 Lit. a DSGVO.

Schließlich dient dies auch der Sensibilisierung der Verantwortlichen, da diese eben durch das Verarbeitungsverzeichnis, selbst ein Überblick über die Verarbeitung im Unternehmen erhalten.

Insoweit sehe ich es als notwendig an.

2 Likes

sehe ich genauso wie du, Andre.
Wird z.B. auch das neue TTDSG berücksichtigt (derzeit nicht einstellbar)?