Artikel 30 DSGVO: Welche Anforderungen werden gestellt?

Article 30 GDPR
Kategorien:

Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten

Unternehmen nutzen verschiedene Kennzahlen, um ihre Entwicklung in Bereichen wie Marketing, Vertrieb, Kundenerfolg, Personalwesen, Finanzen oder IT zu analysieren. Das Erstellen eines Verzeichnis von Verarbeitungstätigkeiten kann all diese Anstrengungen rationalisieren und miteinander verbinden. Von allen Unternehmen wird erwartet, dass sie in ihrer Datenschutzerklärung darüber informieren, zu welchen Zwecken sie personenbezogene Daten ihrer Kunden und anderer Betroffener verarbeiten. Das Verzeichnis der Verarbeitungstätigkeiten bietet einen hervorragenden Überblick über die Aktivitäten einzelner Abteilungen, die Prozesse Ihres Unternehmens und den Umgang mit personenbezogenen Daten.

Artikel 30 verpflichtet jedes Unternehmen, das als datenschutzrechtlich Verantwortlicher im Anwendungsbereich der DSGVO tätig ist, ein “Verzeichnis von Verarbeitungstätigkeiten” (VVT) in schriftlicher (auch: elektronischer) Form zu führen. Das VVT bietet einen umfassenden Überblick über die Verarbeitung personenbezogener Daten im Unternehmen. Auch Auftragsverarbeiter müssen ein VVT über diejenigen Prozesse führen, die sie im Auftrag ihrer Auftraggeber durchführen. Aus dem VVT geht das Wie und Warum einer Datenverarbeitung hervor. Das VVT muss der Aufsichtsbehörde auf Verlangen vorgelegt werden.

 

Artikel 30 DSGVO: Was ist eine “Verarbeitungstätigkeit” genau?

Der Begriff “Verarbeitungstätigkeit” wird in der DSGVO nur unzureichend definiert. Daher kann es zu Unklarheiten kommen, was in welchem Detailgrad dokumentationspflichtig ist. Im Allgemeinen stellt die DSGVO die Anforderung, die einzelnen Prozessschritte zu dokumentieren, in welchen personenbezogene Daten von Mitarbeitern, Kunden oder sonstiger Betroffener verarbeitet werden. Gleiches gilt für die Rechtsgrundlage und Zwecke einer jeden Datenverarbeitung.

Artikel 30 DSGVO: Das Verzeichnis von Verarbeitungstätigkeiten  

Artikel 30 DSGVO definiert den Inhalt des Verzeichnisses von Verarbeitungstätigkeiten. Neben Namen und Kontaktdaten des Unternehmens und des Datenschutzbeauftragten, falls vorhanden, müssen folgende Informationen für jede Verarbeitung personenbezogener Daten dokumentiert werden:

  • Zweck der Verarbeitung – Warum und wozu nutzen Sie personenbezogene Daten?
  • Kategorien betroffener Personen – Mitarbeiter, Kunden, etc.
  • Kategorien personenbezogener Daten – Kontakt-, Finanz-, Gesundheitsdaten etc.
  • Kategorien von Empfängern – Wem gegenüber werden die Daten offengelegt?
  • Informationen über Empfänger außerhalb der EU/EWR
  • Löschfristen
  • Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen / Schutzvorkehrungen

Für jede Datenverarbeitung benötigen Sie eine Rechtsgrundlage. Es ist unbedingt hilfreich, diese auch in Ihrem VVT festzuhalten. Im Falle einer Datenverarbeitung aufgrund Artikel 6 Absatz 1 lit. f DSGVO müssen Sie auch die jeweiligen berechtigten Interessen dokumentieren, die vom Verantwortlichen oder einem Dritten verfolgt werden.  

Artikel 30 DSGVO: Beispiele für Verarbeitungstätigkeiten

Beispiele für die Verarbeitung von Mitarbeiterdaten können folgende sein:

Der Einsatz spezieller Software oder Geräte, mit denen Mitarbeiterdaten erhoben, verarbeitet oder genutzt werden (z. B. Systeme für das E-Recruiting, Gehaltsabrechnung, Zeiterfassung, digitale Personalakte, elektronische Zutrittskontrollen, Videoüberwachung).

 

Artikel 30 DSGVO: Welche Auswirkungen hat er auf mein Unternehmen?

Artikel 30 DSGVO schreibt vor, dass alle Unternehmen mit mehr als 250 Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Auf Verlangen ist es der Aufsicht zur Überprüfung vorzulegen.  

Bevor ein Unternehmen damit beginnt, ein VVT zu erstellen, muss es zunächst analysieren, welche Kategorien von personenbezogenen Daten es verarbeitet, wo die Daten gespeichert werden und wie sich der Datenfluss in- und außerhalb des Unternehmens darstellt. Dies bildet auch die Grundlage für die Einhaltung weiterer Anforderungen der DSGVO, wie z. B. Artikel 6 (Festlegung einer Rechtsgrundlage für die Verarbeitung), Artikel 7 (Bedingungen und Anforderungen für die Einholung einer Einwilligung) und Artikel 13 (Informationspflichten).

 

Artikel 30 DSGVO: Gibt es Templates für ein VVT?

Es gibt viele Muster für ein VVT, die online verfügbar sind. Spezialisierte Software wie 2B Advice PrIME enthält Kataloge oder Vorlagen, die Sie bei der Erfüllung der Dokumentationspflicht unterstützen, indem Sie einfach zu beantwortende Online-Umfragen erstellen, die an die jeweiligen Fachverantwortlichen weitergeleitet werden können.

Zum Beispiel könnte ein VVT-Fragebogen diese Fragen stellen:

– Warum verarbeiten Sie personenbezogene Daten?

– Wessen Daten verarbeiten Sie?

– Welche Arten oder Kategorien von Daten verarbeiten Sie?

– Wie lange speichern Sie die Daten / wann löschen Sie diese Daten?

– Welche Maßnahmen setzen Sie zum Schutz dieser Daten ein?

– Mit welchen Dritten oder Anbietern teilen Sie diese Daten?

Diese Fragen sollten von jeder internen Abteilung und jedem Geschäftsbereich beantwortet werden, die Mitarbeiter- oder Kundendaten verarbeiten.

 

Checkliste Artikel 30 DSGVO: Wie Sie die Herausforderung meistern

Bevor ein Unternehmen damit beginnen kann, ein VVT zu erstellen, muss es zunächst analysieren, welche Kategorien von personenbezogenen Daten es verarbeitet, wo die Daten gespeichert werden und wie sich der Datenfluss in- und außerhalb des Unternehmens darstellt. Dies bildet auch die Grundlage für die Einhaltung weiterer Anforderungen der DSGVO, wie z. B. Artikel 6 (Festlegung einer Rechtsgrundlage für die Verarbeitung), Artikel 7 (Bedingungen und Anforderungen für die Einholung einer Einwilligung) und Artikel 13 (Informationspflichten).

1. Entwickeln Sie einen Standard-Fragebogen für die Datenschutz-Folgenabschätzung

2. Legen Sie einheitliche Richtlinien und Vorgehensweisen für wichtige Anforderungen wie Löschpflichten oder technische und organisatorische Maßnahmen fest

3. Legen Sie Risikoschwellenwerte fest, um Bereiche mit Verbesserungsbedarf zu identifizieren

4. Überprüfen Sie, ob alle Datenverarbeitungen eine valide Rechtsgrundlage besitzen

5. Aktualisieren Sie Ihre Datenschutzerklärung entsprechend

6. Pflegen Sie das elektronische VVT regelmäßig

Dies sind einige der ersten Schritte, um ein Unternehmen auf den Weg zur Datenschutz-Compliance zu bringen. Weitere Faktoren können Dienstleister-Audits oder die Durchführung von Mitarbeiterschulungen sein, um das Risiko einer Datenpanne zu minimieren.

Artikel 30 DSGVO: Was droht bei Verstößen?

Die Aufsichtsbehörden sind befugt, erhebliche Bußgelder gegenüber den für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern zu verhängen. Bußgelder können für eine Vielzahl von Verstößen verhängt werden, z.B. für die Nichteinhaltung von Artikel 30 DSGVO. In diesem Fall drohen Bußgelder von bis zu 10.000.000 € oder bis zu zwei Prozent des weltweiten Vorjahresumsatzes, je nachdem, welcher Betrag höher ist.

Lässt sich die neue kalifornische CPRA-Vorschrift mit Artikel 30 DSGVO vergleichen?

Eine der weitreichendsten Bestimmungen des CPRA, 1798.185(a)(15), ähnelt Artikel 30 DSGVO insofern, als sie von Unternehmen die Durchführung jährlicher Cybersicherheitsaudits und “regelmäßiger” Risikobewertungen verlangt, wenn die “Verarbeitung personenbezogener Daten von Verbrauchern durch das Unternehmen ein erhebliches Risiko für die Privatsphäre oder Sicherheit der Verbraucher darstellt”. Bei der Bestimmung, ob die Verarbeitung “ein erhebliches Risiko” darstellt, identifiziert das CPRA zwei Faktoren, die zu berücksichtigen sind. Erstens: Die Größe und Komplexität des Unternehmens; zweitens: Die Art und den Umfang der Verarbeitungstätigkeiten.

Der Hauptunterschied besteht darin, dass das CPRA auch verlangt, dass ein Unternehmen der kalifornischen Datenschutzbehörde (California Privacy Protection Agency, CPPA) regelmäßig eine Risikobewertung in Bezug auf seine Verarbeitung personenbezogener Daten vorlegt.

Schlußüberlegungen: Was sollten Sie als nächstes hinsichtlich Artikel 30 DSGVO tun?

Wenn Sie in Europa ansässig sind, nach Europa expandieren, ein Unternehmen in Europa erwerben oder mit einem Unternehmen in Europa fusionieren und Sie von der Erstellung und Pflege Ihres VVT von Excel- oder sonstigen Vorlagen zu einem integrierten, datenschutzkonformen Managementsystem wechseln möchten, kann 2B Advice Sie unterstützen. Unsere robuste 2B Advice PrIME Software wurde in Deutschland entwickelt, im Herzen der Datenschutzkultur. 2B Advice PrIME wurde so konzipiert, dass die Software die strengsten Anforderungen der DSGVO und der europäischen Aufsichtsbehörden erfüllt.

Vereinbaren Sie noch heute ein Beratungsgespräch.

Quellen:
ico.org.uk
iapp.org
leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV&sectionNum=1798.185.

Tags:
Share this post :
de_DEGerman