Digitales Verzeichnis von Verarbeitungstätigkeiten

Bei dem Verzeichnis der Verarbeitungstätigkeiten handelt sich um eine neue unternehmerische Verantwortung, die in Artikel 30 der DSGVO festgelegt ist und die eine klare und vollständige Übersicht über alle Verarbeitungsaktivitäten innerhalb einer Organisation und deren konsequente Dokumentation voraussetzt. Dies erfordert einen proaktiven Ansatz von und die Zusammenarbeit innerhalb des Unternehmens.

Jeder für die Verarbeitung von Daten Verantwortliche ist auch dafür verantwortlich, Aufzeichnungen über alle Verarbeitungstätigkeiten zu führen, die innerhalb der Organisation stattfinden.

Dies ist nicht nur eine Belastung, sondern Organisationen können durch eine ordnungsgemäße Aufzeichnung der Verarbeitungstätigkeiten viel gewinnen. Die Aufzeichnungen geben einen Überblick über alle Datenverarbeitungstätigkeiten innerhalb Ihrer Organisation und ermöglichen es Organisationen somit, einen Überblick darüber zu erhalten, welche Art von Datenkategorien von wem (welche Abteilungen oder Geschäftsbereiche) und für welche zugrundeliegenden Zwecke verarbeitet werden. 

Dieses Wissen ermöglicht es Organisationen, intern Verbindungen herzustellen, Anstrengungen oder Projekte mit gleichen oder gleichwertigen Zielen und Herausforderungen zu verbinden, und es kann zu einer zunehmenden Kontrolle über die Verarbeitungstätigkeiten führen. 

Diese Aufzeichnungen müssen alle folgenden Informationen enthalten:

• den Namen und die Kontaktdaten des Verantwortlichen, sowie Mitverantwortlicher, Vertretet und des Datenschutzbeauftragten
• die Zwecke der Verarbeitung
• eine Beschreibung der Kategorien betroffener Personen und personenbezogener Daten
• die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
• die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Dokumentation geeigneter Schutzmaßnahmen
• die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien 
• Eine allgemeine Beschreibung der angewandten technischen und organisatorischen Sicherheitsmaßnahmen

Laut DSGVO ist ein Verzeichnis von Verarbeitungstätigkeiten nicht obligatorisch, wenn ein Unternehmen weniger als 250 Mitarbeiter hat.

Es gibt jedoch eine Anzahl von Ausnahmen und in der Regel sind nur wenige Unternehmen von dieser Pflicht ausgenommen. Wenn ein Unternehmen weniger als 250 Mitarbeiter hat, ist ein Verzeichnis unabhängig von der Anzahl der Mitarbeiter immer obligatorisch, wenn die Datenverarbeitung…

• vermutlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt
• im Zusammenhang mit Verurteilungen und Straftaten steht
• spezielle Kategorien von persönlichen Daten umfasst, die regelmäßig verarbeitet werden (angegeben in Artikel 9 des RGPD): rassische oder ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen, Gewerkschaftsmitgliedschaft, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person
• nur gelegentlich erfolgt

Durch die Gesetzesformulierung ist in der Praxis so gut wie kein Unternehmen von der Führung eines Verzeichnisses von Verarbeitungstätigkeiten ausgenommen. Ein Risiko besteht bei so gut wie jeder Verarbeitung personenbezogener Daten und es ist auch sehr wahrscheinlich, dass Daten (wie Kundendaten, Angestelltendaten etc.) nicht nur gelegentlich verarbeitet werden.

Das Verzeichnis gibt Ihnen einen Überblick über alle Datenverarbeitungtätigkeiten innerhalb Ihrer Organisation und ermöglichen es daher einfach zu kontrollieren, welche Art von Datenkategorien von wem (welche Abteilungen oder Geschäftsbereiche) und für welche Zwecke verarbeitet werden. Dieses Wissen ermöglicht es Organisationen, interne Verbindungen herzustellen oder Projekte mit gleichen oder gleichwertigen Zielen und/oder Herausforderungen zu verbinden und die Verarbeitungstätigkeiten besser unter Kontrolle zu haben. Das Verzeichnis bietet zudem einen Einblick in die Risiken und die notwendigen Maßnahmen zur Risikominderung, Somit ist es Organisationen möglich, verfügbare persönlichen Daten besser einzusetzen, ohne den Schutz dieser zu gefährden.

Das Verzeichnis von Verarbeitungstätigkeiten sollte immer in elektronischer Form geführt werden. Auch wenn das geschriebene Format nach DSGVO möglich wäre, so stellt es doch eine Herausforderung dar, dieses immer aktualisiert zu halten. 

Jedes erfolgreiche Datenschutzprogramm beginnt damit, zu verstehen, welche Art von Daten ein Unternehmen sammelt, speichert, verarbeitet, teilt und löscht.

Mit einem visuellen Element wie der Datenkarte haben Sie einen Überblick über die Daten, mit denen sich Ihr Unternehmen befasst, und darüber, ob sie intern oder extern von einem Standort zu einem anderen übertragen werden.

Darüber hinaus hilft die Datenvisualisierung allen Mitarbeitern, den Fluss personenbezogener Daten in der Organisation einfach zu verfolgen, um die vollständige Kontrolle über alle Daten zu behalten.

Eine Datenkarte zeigt visuell die Verarbeitungstätigkeiten, dh die Daten, die Ihr Unternehmen behandelt und mit welchen Empfängern sie geteilt werden.

Solche Verarbeitungstätigkeiten müssen zuvor definiert werden, um die Anforderungen des Artikels 30 der DSGVO zu erfüllen. Dieser Artikel bestimmt, dass jeder Behandlungsmanager Aufzeichnungen über Verarbeitungstätigkeiten führen muss.

Eine vollständige Datenflusskarte, die dazu beiträgt, die Einhaltung der DSGVO sicherzustellen, zeigt alle Daten an, die im Unternehmen vorhanden sind und wo sie ein- und ausgehen. Eine Datenkarte sollte Folgendes enthalten:

• Welche Daten werden verarbeitet?
• Sind die Daten sensibler Natur?
• Wo werden die Daten gespeichert?
• Wohin bewegen sich die Daten?