Was sind die Verzeichnisse von Verarbeitungstätigkeiten (VVT)?
Artikel 30 der Datenschutz-Grundverordnung (DSGVO) der EU verpflichtet Organisationen, interne Aufzeichnungen zu führen, die Informationen über alle von der Organisation durchgeführten Verarbeitungstätigkeiten personenbezogener Daten enthalten. Diese Aufzeichnungen helfen Organisationen zu verstehen, welche personenbezogenen Daten sie erheben, woher sie kommen und wie diese Daten verarbeitet werden.
Die Verzeichnisse von Verarbeitungstätigkeiten (VVT) müssen in schriftlicher oder elektronischer Form geführt werden. Falls erforderlich, kann die Aufsichtsbehörde diese Aufzeichnungen verwenden, um die Rechenschaftspflicht der Organisation zu bewerten. Aus diesem Grund muss der Datensatz der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
Die Verzeichnisse von Verarbeitungstätigkeiten sind nicht nur eine formale Anforderung, sondern sie enthalten den Kern der Informationen für die Verwaltung der Compliance der Organisation und die Erstellung anderer erforderlicher Unterlagen wie Datenschutzerklärungen, Auftragsverarbeitungsverträge, Richtlinien zur Datenaufbewahrung usw.
Das bedeutet, dass Sie, wenn Sie Kunden und/oder Mitarbeiter haben, deren personenbezogene Daten regelmäßig und periodisch verarbeiten, Verzeichnisse von Verarbeitungstätigkeiten in Bezug auf diese Kategorien von betroffenen Personen führen müssen.
Wer muss die Verzeichnisse von Verarbeitungstätigkeiten führen?
Artikel 30 der DSGVO schreibt vor, dass Organisationen, die mehr als 250 Mitarbeiter beschäftigen, Verzeichnisse von Verarbeitungstätigkeiten aufbewahren müssen. Kleinere Organisationen müssen nur die Verarbeitungstätigkeiten dokumentieren, die:
- nicht gelegentlich sind (d. h. mehr als nur ein einmaliges Ereignis oder etwas, das Sie selten tun); oder
- wahrscheinlich zu einem Risiko für die Rechte und Freiheiten von Personen führen (z. B. etwas, das aufdringlich sein oder Personen beeinträchtigen könnte); oder
- Daten einer besonderen Kategorie oder Daten über strafrechtliche Verurteilungen und Straftaten (wie in Artikel 9 und 10 der DSGVO definiert) enthalten.
Das bedeutet, dass Sie, wenn Sie Kunden und/oder Mitarbeiter haben, deren personenbezogene Daten regelmäßig und periodisch verarbeiten, Verzeichnisse von Verarbeitungstätigkeiten in Bezug auf diese Kategorien von betroffenen Personen führen müssen.
Welche Informationen sollten in den Verzeichnissen von Verarbeitungstätigkeiten enthalten sein?
Wenn Ihre Organisation als für die Verarbeitung Verantwortlicher handelt, sind Sie gemäß Artikel 30 der DSGVO verpflichtet, mindestens Folgendes zu dokumentieren:
- den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen und des/der gemeinsam für die Verarbeitung Verantwortlichen (falls vorhanden);
- wenn die Organisation einen Datenschutzbeauftragten ernannt hat, seinen Namen und seine Kontaktdaten;
- den Zweck der Verarbeitung – wofür Sie die personenbezogenen Daten verwenden (Kundenbetreuung, Beschäftigung, Marketing, Produktentwicklung, Verkauf);
- Kategorien von betroffenen Personen (z. B. Mitarbeiter, Kunden, Kontaktpersonen von Verkäufern);
- Kategorien der verarbeiteten personenbezogenen Daten (z. B. persönliche Daten, Kontaktinformationen, Gesundheitsdaten);
- Kategorien von Empfängern personenbezogener Daten (z. B. Partner, Dritte, Behörden, Verwaltung);
- gegebenenfalls eine Liste der Drittländer oder internationalen Organisationen, an die die personenbezogenen Daten übermittelt werden;
- im Falle der Übermittlung personenbezogener Daten in ein Drittland die Einzelheiten der Übermittlung, einschließlich des Namens des Landes und anderer Informationen über die Umstände der Übermittlung und die Garantien;
- soweit möglich, die Aufbewahrungsfristen für die verschiedenen Kategorien personenbezogener Daten;
- eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (z. B. Verschlüsselung, Mitarbeiterschulung, Beschränkung des Zugriffs auf Dokumente und andere personenbezogene Daten, Anonymisierung).
Gemäß Artikel 30 der DSGVO sind auch Auftragsverarbeiter verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu führen. In diesem Fall enthalten die Aufzeichnungen die folgenden Informationen:
- die Namen und Kontaktdaten des Auftragsverarbeiters, seines für die Verarbeitung Verantwortlichen und der Unterauftragsverarbeiter;
- wenn die Organisation einen eigenen Datenschutzbeauftragten ernannt hat, seinen Namen und seine Kontaktangaben;
- Kategorien der im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungen
- wenn personenbezogene Daten in ein Drittland übermittelt werden, die Einzelheiten der Übermittlung, einschließlich des Namens des Landes und anderer Informationen über die Umstände der Übermittlung und die Garantien;
- eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (z. B. Verschlüsselung, Mitarbeiterschulung, Beschränkung des Zugriffs auf Dokumente und andere personenbezogene Daten, Anonymisierung).
Wie erstelle ich Verzeichnisse von Verarbeitungstätigkeiten?
Die Aufzeichnungen müssen in elektronischer Form gespeichert und regelmäßig aktualisiert werden. Wenn die Organisation verpflichtet ist, einen Datenschutzbeauftragten (DSB) zu ernennen, liegt die Verpflichtung, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, in der Verantwortung des Datenschutzbeauftragten. Wenn die Organisation keinen benannten DSB hat, kann die Zuordnung der Verzeichnisse von Verarbeitungstätigkeiten auch von einem Mitarbeiter vorgenommen werden, der über die entsprechenden Qualifikationen verfügt, um diesen Vorgang durchzuführen. Es ist durchaus üblich, externe Berater mit der anfänglichen Zuordnung der VTTs zu beauftragen und einen DSB-Dienstleister zu engagieren, der den Rest der laufenden Aufgaben des DSB übernimmt.
Sie könnten damit beginnen, Informationssysteme und personenbezogene Daten zu kartieren, um herauszufinden, welche Informationen Ihre Organisation besitzt und wo. Es ist wichtig, dass verschiedene Interessengruppen aus dem gesamten Unternehmen in den Prozess einbezogen werden. So können Sie verhindern, dass personenbezogene Daten oder Prozesse übersehen werden. Ebenso wichtig ist es, die Geschäftsleitung einzubeziehen, damit Ihr Mapping-Projekt unterstützt und seine Bedeutung allen Beteiligten vermittelt wird.
Sobald Sie einen Überblick über die Menge der personenbezogenen Daten und deren Standorte haben, können Sie mit der Zusammenstellung der Verzeichnisse von Verarbeitungstätigkeiten beginnen. Es bleibt Ihnen überlassen, wie Sie dies tun – in einer Tabellenkalkulation oder mit modernen Tools. Wir hoffen jedoch, dass die folgenden drei Schritte Ihnen helfen, leichter zum Endergebnis zu gelangen.
Erstellen Sie einen Fragebogen zu Datenverarbeitungsaktivitäten
Sie können den Fragebogen zwischen den Beteiligten und den Abteilungen, die personenbezogene Daten verarbeiten, austauschen. Die Fragen könnten lauten:
- Wofür werden die personenbezogenen Daten verwendet?
- Wer sind die Personen, für die personenbezogene Daten gesammelt werden?
- Welche personenbezogenen Daten werden über sie gespeichert?
- An wen werden diese personenbezogenen Daten weitergegeben?
- Wie lange werden diese personenbezogenen Daten gespeichert?
- Wie werden diese personenbezogenen Daten geschützt?
Befragen Sie die Stakeholder
Erstellen Sie auf der Grundlage dieser Daten die Verzeichnisse von Verarbeitungstätigkeiten und befragen Sie die Stakeholder, um die Daten zu verfeinern und ein besseres Verständnis der Prozesse zu erhalten.
Finden Sie vorhandene Dokumentation
Wenn ein Teil der geforderten Dokumentation bereits im Unternehmen vorhanden war, finden Sie diese und überprüfen Sie die Richtlinien, Verfahren und Vereinbarungen – dies wird Ihnen helfen, die zuvor erstellte Dokumentation mit den geplanten Aufzeichnungen zu vergleichen und eventuelle Unstimmigkeiten mit der tatsächlichen Situation zu erkennen.
Es ist offensichtlich, dass das VTT-Projekt keine leichte Aufgabe ist. Es wird erhebliche Zeitressourcen und die Zusammenarbeit mit Interessengruppen und anderen Beteiligten erfordern. Um diese Aufgabe zu vereinfachen, haben wir ein hilfreiches Tool erstellt – GDPR Register.
Pflegen Sie VTT effektiv mit GDPR Register
Mit GDPR Register können Sie folgendes tun:
- ein Mapping-Projekt zu organisieren und Aufgaben zu teilen;
- schnell und effizient Verzeichnisse von Verarbeitungstätigkeiten mit Hilfe von professionell vorbereiteten Vorlagen zusammenstellen;
- ein Register von Auftragsverarbeitungsverträgen zu erstellen und diese mit VTTs zu verknüpfen;
- Berichte mit ein paar Klicks erstellen;
- Registrierung von Betroffenenanfragen;
- ein Register über Verletzungen des Schutzes personenbezogener Daten führen;
- alle Unterlagen, die sich auf personenbezogene Daten beziehen, in einer sicheren Umgebung aufbewahren.
.