Das Verzeichnis von Verarbeitungstätigkeiten
Daten sind in der heutigen Zeit mit das wichtigste Gut – nicht nur für Tech-Giganten, sondern auch für den Großteil von kleineren Unternehmen spielen sie eine immer wichtigere Rolle. Nicht umsonst entflammen also immer wieder Diskussionen rund um das Thema personenbezogene Daten und deren Schutz: denn schließlich werden Tag ein, Tag aus Daten gesammelt, verkauft und missbraucht. Unternehmen tragen heutzutage folglich eine weitere Verantwortung; die des Schutzes der verarbeiteten Daten. Dafür muss eine Auseinandersetzung damit stattfinden, wie die Sicherheit dieser Daten gewährleistet werden kann. Einer der wichtigsten Schritte dafür, ist das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten (nachfolgend „VVT“).
Was ist ein VVT?
Ein VVT ist ein Verzeichnis, welches grundsätzlich beschreibt, wie der Verantwortliche mit personenbezogenen Daten umgeht. Unter personenbezogene Daten fallen beispielsweise der Name, die Adresse, das Geburtsdatum, die E-Mail-Adresse aber auch die Bankdaten einer Person. Das VVT soll als Übersicht dafür dienen, welche Daten in einem Unternehmen verarbeitet werden, wie dies stattfindet und wer die Empfänger sind. Gemäß Art. 30 DSGVO muss grundsätzlich jeder Verantwortliche (eine natürliche oder juristische Person […], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet) oder sein Vertreter (Art. 27 DSGVO) ein VVT führen. Konkretisiert wird diese Pflicht unter folgenden Gesichtspunkten:
- wenn die Verarbeitung von personenbezogenen Daten ein Risiko für Rechte und Freiheiten der betroffenen Personen birgt;
- wenn die Verarbeitung nicht nur gelegentlich erfolgt;
- wenn eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 I DSGVO erfolgt.
Info: Datenschutzbeauftragte können nicht das Führen des VVT übernehmen. Zwar kann die zentrale Verwaltung dessen abgegeben werden (beispielsweise durch das Stellen von geeigneten ausfüllbaren Dokumenten), jedoch müssen die Inhalte durch den Verantwortlichen erarbeitet werden. Wie diese Prozesse und Aufgaben in Ihrem Unternehmen organsiert sind, kann etwa in einer Datenschutz-Geschäftsordnung festgehalten werden.
Wichtig festzuhalten ist also, dass die Nichterstellung eines VVT bereits ein Verstoß gegen die DSGVO darstellen würde. Insbesondere wäre es auch ein Verstoß gegen das Prinzip der Transparenz, welches in Art. 5 I DSGVO normiert ist.
Inhalte eines VVT
Es gibt keine bestimmten Vorgaben, wie genau ein VVT gestaltet werden soll. Zwar normiert die DSGVO, was ein VVT enthalten muss, aber der Inhalt kann sich – je nachdem, welche Daten wie verarbeitet werden – logischerweise unterscheiden.
Folgendes muss jedoch ein VVT für Verantwortliche gem. Art. 30 Abs. 1 DSGVO beinhalten:
- Name und Kontaktdaten des Verantwortlichen/ des Vertreters des Verantwortlichen
- Name und Kontaktdaten des Datenschutzbeauftragten
- Bezeichnungen der verwendeten Verfahren zur Datenverarbeitung
- Zwecke der Datenverarbeitung
- Kategorien der Betroffenen
- Kategorien der personenbezogenen Daten
- Kategorien von Empfängern, einschließlich der Empfänger in Drittstaaten
- Drittlandübermittlungen
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
- Löschungsfristen, bzw. voraussichtliche Löschung der Daten
Nicht nur Verantwortliche, sondern auch Auftragsverarbeiter sind dazu verpflichtet, ein VVT zu erstellen. Nach Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. In Abgrenzung zum Verantwortlichen, welcher die Mittel und Zwecke einer Datenverarbeitung bestimmt, darf der Auftragsverarbeiter die Daten nur in diesem von dem Verantwortlichen festgesetzten Rahmen verarbeiten. Auch Auftragsverarbeiter sollen nach Art. 30 DSGVO eine kundenbezogene Dokumentation führen. Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten für Auftragsverarbeitung (VVT-AV) gemäß Art. 30 Abs. II DSGVO dient, nach dem Erwägungsgrund 82 der DSGVO, als Nachweis für die Einhaltung dieser Verordnung.
Folgendes muss ein VVT für Auftragsverarbeiter gem. Art. 30 Abs. 2 DSGVO beinhalten:
- Name und Kontaktdaten des Auftragsverarbeiters/ des Vertreters des Auftragsverarbeiters
- Name und Kontaktdaten des Verantwortlichen/ des Vertreters des Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist
- Name und Kontaktdaten des Datenschutzbeauftragten
- Kategorien der personenbezogenen Daten, die im Auftrag jedes Verantwortlichen durchgeführt werden
- Drittlandübermittlungen
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Zu beachten ist hierbei besonders, dass eine klare Trennung der unterschiedlichen VVTs für die jeweiligen Mandant*innen stattfinden muss. Es muss also deutlich erkennbar und nachvollziehbar sein, welches VVT für welche Kunden, oder zumindest für welche Kundengruppen gilt.
Bei der Pflege eines VVT ist es wichtig zu beachten, dass jegliche Veränderungen miteinbezogen werden müssen. Darunter fallen etwa Veränderungen in Bezug auf die Verteilung von Aufgaben – beispielsweise durch neue Rechtsnormen oder das Wegfallen von zuvor zugehörigen Rechtsnormen. Auch die Änderung von Namen oder Kontaktdaten innerhalb des VVT müssen stetig angepasst werden. Bei einer Zweckänderung oder einem Zusatz innerhalb der Verarbeitungszwecke muss ebenso eine Anpassung stattfinden. Auch Löschfristen und technisch und organisatorische Maßnahmen, welche Anwendung finden, müssen stetig aktualisiert werden.
Insbesondere die Dokumentation über mögliche Drittlandtransfers muss detailliert und aktuell sein, da es an dieser Stelle für Betroffene (die ihr Recht auf Auskunft nach Art. 15 DSGVO geltend machen können) besonders schwierig ist, nachvollziehen zu können, was außerhalb der EU mit ihren Daten geschieht. Es wird von dieser Seite aus ein Risiko eingegangen, welches von dem Verantwortlichen, unter anderem mithilfe des VVT, durch eine gute Führung dessen ausgeglichen werden sollte.
Folge eines nicht aktuellen VVT ist nicht nur der Verstoß gegen die Rechenschaftspflicht aus Art. 5 II DSGVO, sondern begründet womöglich auch Rechtsbehelfe von betroffenen Personen. Zudem überschneidet sich das Führen eines VVT mit anderen Grundsätzen der DSGVO. Darunter fallen etwa die Rechtmäßigkeit, die Datenminimierung, die Richtigkeit, die Speicherbegrenzung, die Integrität und die Vertraulichkeit. Folglich ist das Führen eines VVT ebenso nützlich in Bezug auf andere Datenschutzaspekte, welche Unternehmen ohnehin beachten müssen. Insbesondere das Erfüllen von Informationspflichten (Art. 13 und Art. 14 DSGVO) sowie die Auskunftspflicht (Art. 15 DSGVO) werden durch ein richtig geführtes VVT erleichtert. Auch die Überwachung und Bewertung von möglichen Datenschutzrisiken kann durch die Dokumentation des VVT sichergestellt werden.
Fazit
Zusammengefasst ist das Erstellen und Führen eines VVT also elementar wichtig. Jedes Unternehmen sollte sich seiner Verantwortung bezüglich des Schutzes der eigens verarbeiteten Daten bewusst sein und aktiv Handlungen vornehmen, welche die Sicherheit der Daten (und damit letztlich der betroffenen Personen) gewährleisten.
Wenn Sie Unterstützung bei der Konzipierung bzw. Erstellung eines VVT haben, beraten wir Sie gerne.
Neueste Beiträge
Wenn personenbezogenen Daten in ein Drittland übermittelt bzw. dort verarbeitet werden, müssen Verantwortliche bzw. Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Seitdem der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission (2016/1250) zur Übermittlung personenbezogener Daten in die USA (sog. „Privacy Shield“) für unwirksam erklärt hat, herrscht viel Unsicherheit in Bezug auf die notwendigen Schritte und Maßnahmen, die ab diesem Zeitpunkt zu treffen waren, um weiterhin eine datenschutzkonforme Übermittlung oder Verarbeitung personenbezogener Daten in die USA zu ermöglichen.
Bilderkennungstechnologien haben in den letzten Jahren enorme Fortschritte gemacht. Durch den Einsatz von künstlicher Intelligenz („KI“) und maschinellem Lernen sind Systeme entstanden, die in der Lage sind, Personen, Objekte und sogar Emotionen auf Fotos oder in Echtzeit-Videos zu erkennen. Während diese Technologien viele positive Anwendungen finden, wie zum Beispiel in der Medizin oder im Verkehrswesen, gibt es auch ernsthafte Bedenken hinsichtlich des Datenschutzes und der Privatsphäre von Personen, welche durch solche Systeme identifiziert werden können. In diesem Beitrag wird erläutert, wie Bilderkennungstechnologien genutzt werden können, um Personen zu identifizieren, und welche Datenschutzprobleme damit verbunden sind.
Vertrauen braucht Konsistenz. Es wird durch viele Handlungen im Laufe der Zeit aufgebaut und bewahrt. Es erfordert ein echtes Interesse und sichtbare Beispiele.
5 Jahre der Datenschutz-Grundverordnung25. Mai 2023 - 8:03Die Datenschutz-Grundverordnung (DSGVO) setzte einen neuen Standard für den Datenschutz, da sie einen umfassenden Regelungsrahmen für die Verarbeitung personenbezogener Daten geschaffen hat. In den vergangenen Jahren hat die DSGVO sowohl in Europa als auch außerhalb seiner Grenzen spürbare Auswirkungen gehabt.
