07111 Das neue Verzeichnis von Verarbeitungstätigkeiten – Ein Mittel zur „Selbsterkenntnis” – praktische Umsetzung
Dieser zweite Beitrag zum Verzeichnis von Verarbeitungstätigkeiten gibt praktische Hinweise zur Umsetzung der Anforderungen aus Artikel 30 DSGVO. Dabei geht es schwerpunktmäßig darum, welche Angaben in ein Verarbeitungsverzeichnis zwingend hineingehören. Daneben werden Empfehlungen gegeben, welche weiteren – nicht explizit gesetzlich geforderten – Angaben zusätzlich mit aufgeführt werden sollten, um für Sie einen Mehrwert zu generieren.
Nach meiner Auffassung entwickelt sich das Verarbeitungsverzeichnis erst durch diese zusätzlichen Angaben für den Verantwortlichen zu einem wirklichen Mittel der „Selbsterkenntnis”. So werden mit nur ein paar mehr Angaben die Unternehmensprozesse transparent und steuerbar, und Sie erfüllen nebenbei die gesetzlichen Anforderungen. Arbeitshilfen: von: |
1 Einleitung
Wissen, was wie erfolgt
Wie bereits der erste Beitragsteil gezeigt hat, ist das Prinzip der Transparenz eines der Fundamente des Datenschutzes, der Informations- oder IT-Sicherheit. Erst wenn ein Verantwortlicher den „Durchblick” durch die Datenverarbeitung gewonnen hat, ist er in der Lage, die mannigfaltigen Anforderungen umzusetzen, die sowohl das Datenschutzrecht als auch die anderen relevanten gesetzlichen Anforderungen zum Schutz von Daten verlangen. Und erst dann ist es ihm möglich, die notwendigen technischen und organisatorischen Maßnahmen zu treffen, um diese Anforderungen auch tatsächlich zu erfüllen. Nur mittels einer umfassenden Dokumentation der in einer Organisation stattfindenden Verarbeitungsprozesse inkl. der dazugehörigen Umstände wird der Verantwortliche in die Lage versetzt, die Anforderungen seiner Rechenschaftspflicht gem. Art. 5 Abs. 2 der EU-Datenschutz-Grundverordnung (DSGVO) zu erfüllen.
Wie bereits der erste Beitragsteil gezeigt hat, ist das Prinzip der Transparenz eines der Fundamente des Datenschutzes, der Informations- oder IT-Sicherheit. Erst wenn ein Verantwortlicher den „Durchblick” durch die Datenverarbeitung gewonnen hat, ist er in der Lage, die mannigfaltigen Anforderungen umzusetzen, die sowohl das Datenschutzrecht als auch die anderen relevanten gesetzlichen Anforderungen zum Schutz von Daten verlangen. Und erst dann ist es ihm möglich, die notwendigen technischen und organisatorischen Maßnahmen zu treffen, um diese Anforderungen auch tatsächlich zu erfüllen. Nur mittels einer umfassenden Dokumentation der in einer Organisation stattfindenden Verarbeitungsprozesse inkl. der dazugehörigen Umstände wird der Verantwortliche in die Lage versetzt, die Anforderungen seiner Rechenschaftspflicht gem. Art. 5 Abs. 2 der EU-Datenschutz-Grundverordnung (DSGVO) zu erfüllen.
Sofern im Folgenden Artikel der DSGVO zitiert werden, wird auf die Angabe „DSGVO” verzichtet.
Grundvoraussetzung Transparenz
Mithin ist, wie Art. 5 Abs. 1a) und Abs. 2 u. a. zeigen, Transparenz im Datenschutzrecht Grundvoraussetzung, um Rechtskonformität der Datenverarbeitungen zu gewährleisten und diese (jederzeit) nachweisen zu können. Das Verarbeitungsverzeichnis gem. Art. 30 ist daher das wesentliche Mittel zur Schaffung und zur Dokumentation der Transparenz.
Mithin ist, wie Art. 5 Abs. 1a) und Abs. 2 u. a. zeigen, Transparenz im Datenschutzrecht Grundvoraussetzung, um Rechtskonformität der Datenverarbeitungen zu gewährleisten und diese (jederzeit) nachweisen zu können. Das Verarbeitungsverzeichnis gem. Art. 30 ist daher das wesentliche Mittel zur Schaffung und zur Dokumentation der Transparenz.