07110 Das neue Verzeichnis von Verarbeitungstätigkeiten – Ein Mittel zur „Selbsterkenntnis” – allgemeine Anforderungen
Der Beitrag setzt sich grundlegend mit der Thematik der Erstellung und Führung eines Verarbeitungsverzeichnisses entsprechend den Vorgaben der EU-Datenschutzgrundverordnung auseinander. Dabei steht insbesondere der Grundsatz der Transparenz im Blickpunkt, und diese ist wiederum Basis für das Verarbeitungsverzeichnis. Darüber hinaus zeigt der Beitrag auf, was die Zielsetzung und die Zwecke des Verarbeitungsverzeichnisses sind und was sich von früher (BDSG-alt) zu heute (DSGVO) geändert hat.
Die Intention des Betrags ist, Ihnen deutlich zu machen, dass das Verarbeitungsverzeichnis mehr als nur ein lästiges Übel sein kann, als das es immer noch gerne gesehen wird. Denn durch ein ordnungsgemäß erstelltes und geführtes Verarbeitungsverzeichnis erhält der Verantwortliche einen Überblick über die bei ihm eingesetzten Datenverarbeitungen. Dieser ist wiederum notwendig, damit er seiner Pflicht, anderen den Durchblick zu verschaffen, in angemessenem Umfang nachkommen kann. Oder anders gesagt: Das Verarbeitungsverzeichnis kann für den Verantwortlichen durchaus ein geeignetes Mittel zur Erlangung von „Selbsterkenntnis” sein und ist eigentlich unverzichtbar. von: |
1 Einleitung
Transparenz
Eine wesentliche Säule der Informationssicherheit, aber auch des Datenschutzes ist die Transparenz. Transparenz ist, wie bspw. auch Art. 5 Abs. 1a der EU-Datenschutzgrundverordnung (DSGVO) zeigt, ein wesentlicher Bestandteil einer rechtskonformen Datenverarbeitung. Denn ein Verantwortlicher muss, um eine rechtskonforme/sichere Datenverarbeitung gewährleisten zu können, wissen, wie die Datenverarbeitung konkret in seiner Organisation erfolgt. Dieses kann er nur bei einem entsprechenden Durchblick bzw. bei entsprechender Transparenz.
Eine wesentliche Säule der Informationssicherheit, aber auch des Datenschutzes ist die Transparenz. Transparenz ist, wie bspw. auch Art. 5 Abs. 1a der EU-Datenschutzgrundverordnung (DSGVO) zeigt, ein wesentlicher Bestandteil einer rechtskonformen Datenverarbeitung. Denn ein Verantwortlicher muss, um eine rechtskonforme/sichere Datenverarbeitung gewährleisten zu können, wissen, wie die Datenverarbeitung konkret in seiner Organisation erfolgt. Dieses kann er nur bei einem entsprechenden Durchblick bzw. bei entsprechender Transparenz.
Auch schon mit den vor dem 25. Mai 2018 geltenden gesetzlichen Datenschutzanforderungen war das sogenannte Verfahrens- bzw. Verarbeitungsverzeichnis von seiner Intention her eines der Werkzeuge, mit denen ein Verantwortlicher Transparenz schaffen bzw. anderen verschaffen konnte.
Verzeichnis von Verarbeitungstätigkeiten
Mit der nun seit dem 25.05.2018 geltenden DSGVO bekommt nunmehr das alte „Verfahrensverzeichnis”, das bisher in der Praxis eher ein Schattendasein geführt hat, in der Form des sogenannten Verzeichnisses von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) gemäß Art. 30 DSGVO einen neuen Anstrich verpasst und eine neue Rolle zugewiesen. Mit dieser neuen Rolle wechseln gleichzeitig auch die Bedeutung und die Relevanz dieses Verarbeitungsverzeichnisses für eine Organisation und damit die Notwendigkeit zur Schaffung von Transparenz. [Anm. d. Red.: Nachfolgend wird der einfachen Lesbarkeit halber DSGVO weggelassen, wenn es sich um Artikel der DSGVO handelt.]
Mit der nun seit dem 25.05.2018 geltenden DSGVO bekommt nunmehr das alte „Verfahrensverzeichnis”, das bisher in der Praxis eher ein Schattendasein geführt hat, in der Form des sogenannten Verzeichnisses von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) gemäß Art. 30 DSGVO einen neuen Anstrich verpasst und eine neue Rolle zugewiesen. Mit dieser neuen Rolle wechseln gleichzeitig auch die Bedeutung und die Relevanz dieses Verarbeitungsverzeichnisses für eine Organisation und damit die Notwendigkeit zur Schaffung von Transparenz. [Anm. d. Red.: Nachfolgend wird der einfachen Lesbarkeit halber DSGVO weggelassen, wenn es sich um Artikel der DSGVO handelt.]