Aufzeichnungen über Verarbeitungstätigkeiten: Eine der wichtigsten Compliance-Anforderungen der DSGVO – Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) ist eine umfassende Datenschutzverordnung, die im Mai 2018 in der Europäischen Union (EU) umgesetzt wurde. Sie zielt darauf ab, die personenbezogenen Daten von EU-Bürgern und Einwohnern zu schützen und sicherzustellen, dass Unternehmen und Organisationen Rechenschaft ablegen die Art und Weise, wie sie diese Daten erheben, verarbeiten und speichern. Es legt strenge Anforderungen an den Datenschutz und die Privatsphäre fest, und die Nichteinhaltung kann zu erheblichen Bußgeldern und anderen Strafen führen – bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes für das vorangegangene Geschäftsjahr, je nachdem, welcher Betrag höher ist – aus gutem Grund um Ihre Datenverarbeitungspraktiken zu überprüfen.

Eine der Hauptanforderungen der DSGVO ist die Führung von Aufzeichnungen über Verarbeitungstätigkeiten (RoPA). In diesem Artikel erklären wir, was Verarbeitungsaktivitätsprotokolle sind, warum sie notwendig sind und was Sie tun müssen, um dieser Anforderung nachzukommen.

Was sind Verarbeitungsaktivitätsprotokolle und benötige ich sie?

Verarbeitungstätigkeitsnachweise sind Dokumente, die einen Überblick darüber geben, wie personenbezogene Daten innerhalb einer Organisation verarbeitet werden. Sie sollte Informationen über die Art der verarbeiteten personenbezogenen Daten, die Zwecke, für die die Daten verarbeitet werden, und die Maßnahmen zur Gewährleistung der Datensicherheit enthalten.

Gemäß der Datenschutz-Grundverordnung (DSGVO) sind sowohl Datenverantwortliche als auch Datenverarbeiter verpflichtet, Aufzeichnungen über Datenverarbeitungsaktivitäten zu führen. Wenn Ihre Organisation weniger als 250 Mitarbeiter hat, gilt diese Anforderung möglicherweise nicht für Sie, wenn die Verarbeitung Ihrer Daten:

• zufällig




• Es ist nicht zu erwarten, dass dies zu einer Gefährdung der Rechte und Freiheiten der betroffenen Personen führt;




• Besondere Datenkategorien wie Angaben zur Rasse, ethnischen Herkunft oder Gesundheit sowie Daten über strafrechtliche Verurteilungen und Straftaten fallen nicht darunter.

In der Praxis dürfte diese Ausnahme jedoch kaum zur Anwendung kommen, da die meisten Organisationen personenbezogene Daten regelmäßig (und nicht gelegentlich) verarbeiten, beispielsweise durch die Lohn- und Gehaltsabrechnung, die Nutzung von CRM-Systemen oder über ihre Websites.

Daher ist es für Organisationen wichtig, Aufzeichnungen über Verarbeitungsaktivitäten regelmäßig zu aktualisieren und Änderungen in ihren Datenverarbeitungsaktivitäten in diesen Aufzeichnungen widerzuspiegeln. Unternehmen müssen diese Aufzeichnungen den Aufsichtsbehörden auf Anfrage zur Verfügung stellen.

Warum ist die Verarbeitung von Aktivitätsprotokollen so wichtig?

Die Verarbeitung von Aktivitätsprotokollen ist aus mehreren Gründen wichtig.

Erstens beweist es, dass es im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht. Wenn eine Organisation auf Anfrage keine Aufzeichnungen über Verarbeitungstätigkeiten vorlegen kann, drohen Bußgelder und andere Strafen.

Zweitens hilft es Unternehmen dabei, potenzielle Datenschutzrisiken zu erkennen und zu mindern. Mit einem klaren Verständnis darüber, wie personenbezogene Daten innerhalb einer Organisation verarbeitet werden, können Unternehmen Lücken erkennen und Maßnahmen zur Verbesserung ihrer Datenschutzpraktiken ergreifen.

Schließlich können Aufzeichnungen über Verarbeitungsaktivitäten dazu beitragen, Vertrauen bei Kunden und anderen Interessengruppen aufzubauen. Indem sie ihr Engagement für Datenschutz und Transparenz unter Beweis stellen, können sich Unternehmen als vertrauenswürdige Partner etablieren und böswillige Datenschutzverletzungen verhindern.

Erstellen Sie eine Checkliste mit Aufzeichnungen über Verarbeitungstätigkeiten

Durch die Erstellung einer Checkliste kann sichergestellt werden, dass alle erforderlichen Informationen in den Verarbeitungsverzeichnissen enthalten sind. Hier ist eine grundlegende Checkliste, um Ihnen den Einstieg zu erleichtern:

• Wählen Sie die personenbezogenen Daten aus, die Ihre Organisation verarbeitet.




• Dokumentieren Sie die Zwecke, für die die Daten verarbeitet werden.




• Bestimmen Sie die Rechtsgrundlage für die Datenverarbeitung.




• Dokumentieren Sie die Kategorien der betroffenen Personen und verarbeiteten personenbezogenen Daten.




• Dokumentieren Sie die Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden dürfen.




• Dokumentieren Sie etwaige Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen.




• Definieren Sie Aufbewahrungsfristen für verschiedene Kategorien personenbezogener Daten.




• Dokumentieren Sie die technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Daten.




• Überprüfen und aktualisieren Sie regelmäßig die Aufzeichnungen der Verarbeitungsaktivitäten, um eine kontinuierliche Einhaltung sicherzustellen.

Was sollte in der Verarbeitung von Aktivitätsprotokollen enthalten sein?

Obwohl Datenverantwortliche und Auftragsverarbeiter verpflichtet sind, Aufzeichnungen über Verarbeitungsaktivitäten zu führen, sieht die DSGVO abhängig von der Rolle der Organisation eine unterschiedliche Bandbreite an Informationen vor, die in Aufzeichnungen enthalten sein müssen.

Datenbeobachter

Als Datenverantwortlicher müssen Sie die folgenden Informationen angeben:

• Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten;




• Verarbeitungszwecke;




• Kategorien betroffener Personen und Kategorien personenbezogener Daten;




• die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt wurden oder werden;




• Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich Dokumentation geeigneter Garantien;




• Löschfristen; Und




• Beschreibung technischer und organisatorischer Sicherheitsmaßnahmen.

Datenverarbeiter

Als Datenverarbeiter müssen Sie Aufzeichnungen über die im Namen der Datenverantwortlichen durchgeführten Verarbeitungsaktivitäten führen und dabei Folgendes aufzeigen:

• Name und Kontaktdaten des oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter handelt, sowie gegebenenfalls des Datenschutzbeauftragten;




• Verarbeitungsklassen, die im Namen jedes Controllers implementiert werden;




• Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich Dokumentation geeigneter Garantien; Und




• Beschreibung technischer und organisatorischer Sicherheitsmaßnahmen.

Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zum Thema bieten. In solchen Fällen wird empfohlen, den Rat eines Spezialisten einzuholen.