INFORMATIONEN

Die Verwendung des Datenverarbeitungsregisters

Das in Artikel 30 der Datenschutz-Grundverordnung vorgesehene Verzeichnis der Verarbeitungstätigkeiten ermöglicht es einem Unternehmen, alle Datenverarbeitungsvorgänge eindeutig zu identifizieren. Daher muss jede Organisation in der Lage sein, einen Überblick darüber zu haben, was sie mit den ihr anvertrauten personenbezogenen Daten tut.

Das Datenverarbeitungsregister: ein wichtiges Verwaltungsinstrument

Das Datenverarbeitungsregister ist also ein Dokument, das die Identifizierung und Analyse aller von einem Unternehmen verarbeiteten personenbezogenen Daten ermöglicht.

Dieses Dokument muss die Realität der durchgeführten Behandlungen widerspiegeln. Es muss eine genaue Identifizierung ermöglichen:

Die verschiedenen an der Datenverarbeitung beteiligten Akteure: Vertreter, Unterauftragnehmer, Mitverwalter usw;

Die verschiedenen Kategorien der verarbeiteten Daten;

Wozu werden die Daten erhoben, wer hat Zugang zu ihnen und an wen werden sie weitergegeben?

Wie lange werden diese Daten aufbewahrt?

Wie werden diese Daten gesichert?

Das Datenverarbeitungsregister erfüllt nicht nur die in Artikel 30 der DSGVO vorgesehene Pflicht zur Führung eines Registers, sondern stellt auch ein Verwaltungsinstrument dar, mit dem die Einhaltung der allgemeinen Datenschutzbestimmungen nachgewiesen werden kann.

Dieses Register ermöglicht es einem Unternehmen, die Verarbeitung von Daten zu dokumentieren und sich dabei die wesentlichen Fragen zu stellen, nämlich:

Sind die Daten ausreichend geschützt?

Brauche ich diese Daten wirklich für meine Tätigkeit?

Ist es sinnvoll, diese Daten so lange aufzubewahren?

Die Erstellung eines regelmäßig aktualisierten Datenverarbeitungsregisters ermöglicht es jeder Organisation, die von der DSGVO betroffen ist, die mit dieser Rechtsvorschrift verbundenen Risiken zu ermitteln, aber auch zu priorisieren. Die Erstellung eines solchen Registers ist daher unerlässlich, um einen Aktionsplan zur Anpassung der Datenverarbeitung an die Sicherheitsvorschriften der DSGVO zu entwickeln.

Wer ist vom Datenverarbeitungsregister betroffen?

Die Datenverarbeitung ist für alle Organisationen verpflichtend, die personenbezogene Daten europäischer Bürgerinnen und Bürger verarbeiten, und zwar sowohl für öffentliche als auch für private Einrichtungen und unabhängig von deren Größe.

Stellen, die für die Verarbeitung personenbezogener Daten im Auftrag einer anderen Stelle verantwortlich sind (z. B. Unterauftragnehmer wie IT-Dienstleister, Kommunikationsagenturen, Marketingagenturen usw.), müssen ebenfalls Aufzeichnungen über ihre Tätigkeiten im Zusammenhang mit der Datenverarbeitung führen.

Was enthält das Datenverarbeitungsregister?

Konkret empfiehlt die CNIL, zwei Register zu führen, ein erstes für die Verarbeitung personenbezogener Daten, für die das Unternehmen selbst verantwortlich ist, und ein zweites für die Verarbeitung, die als Unterauftragnehmer (z. B. im Auftrag eines Kunden) durchgeführt wird.

Das Datenkontrollregister

Das Register des für die Verarbeitung Verantwortlichen muss alle Verarbeitungen personenbezogener Daten enthalten, die ausschließlich von der betreffenden Organisation durchgeführt werden. Idealerweise sollte für jede Tätigkeit ein Protokollblatt erstellt werden.

Dieses Register muss den Namen und die Kontaktdaten der betreffenden Stelle enthalten, aber auch die ihres Vertreters, wenn die Stelle nicht in der Europäischen Union ansässig ist. Die Identität des Datenschutzbeauftragten muss ebenfalls in diesem Register erscheinen.

Darüber hinaus muss das Registerblatt für jede Verarbeitungstätigkeit mindestens die folgenden Angaben enthalten:

Falls dies der Fall ist, Name und Kontaktdaten des gemeinsam für die Verarbeitung Verantwortlichen;

Das Ziel, für das die Daten erhoben wurden;

Welche Personenkategorien sind von der Verarbeitung der Daten betroffen (Kunden, Interessenten, Mitarbeiter usw.)?

Die Liste der verschiedenen Kategorien personenbezogener Daten: Identität, Bankdaten, Standortdaten, Verbindungsdaten, familiäre oder wirtschaftliche Situation usw.);

Die Kategorien von Empfängern, an die personenbezogene Daten weitergegeben wurden oder werden, einschließlich der von Ihnen eingesetzten Unterauftragnehmer;

Alle Übermittlungen von personenbezogenen Daten an eine andere internationale Organisation oder ein anderes Land. In bestimmten Fällen müssen Sie auch die Garantien für diese Übermittlungen aufzeichnen;

Beachten Sie die Fristen, die für die Löschung der einzelnen Kategorien personenbezogener Daten vorgesehen sind: die Aufbewahrungsfrist oder andernfalls die Kriterien, die bei der Festlegung dieser Frist berücksichtigt werden.

Das Register des Unterauftragnehmers

Das Verarbeitungsverzeichnis des Unterauftragnehmers muss alle Kategorien von Datenverarbeitungstätigkeiten enthalten, die im Auftrag von Kunden durchgeführt werden.

Für jede Kategorie von Tätigkeiten, die für einen Kunden durchgeführt werden, muss er mindestens die folgenden Elemente enthalten:

Name und Kontaktdaten jedes Kunden und des für die Datenverarbeitung Verantwortlichen, für den Sie Daten verarbeiten müssen;

Name und Kontaktdaten der von Ihnen beauftragten Subunternehmer;

Die verschiedenen Kategorien der Datenverarbeitung, die im Auftrag Ihrer Kunden durchgeführt werden;

Übermittlung von personenbezogenen Daten in ein anderes Land oder an eine internationale Organisation;

Wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen, die zur Sicherung der Daten ergriffen wurden (sowohl technisch als auch organisatorisch).

Digitale Datensicherung – wann eine digitale Lösung sinnvoll ist

17/08/2021 Keine Kommentare

Wann ist es sinnvoll, eine digitale Lösung für den Datenschutz zu verwenden? Die Datensicherheit wird digitaler, der Datenschutz in Unternehmen wird durch moderne Softwarelösungen noch

mehr »

Künstliche Intelligenz und Datenschutz

20/04/2021 Keine Kommentare

Künstliche Intelligenz (KI) ist eines der Modewörter unserer Generation. Google, Microsoft, Apple und Amazon übertrumpfen sich gegenseitig mit ihren Taktiken und Erfolgen im Bereich des

mehr »

ePrivacy – Auswirkungen in der Praxis

16/11/2022 Keine Kommentare

Aufgrund mehrerer ungelöster Auslegungsfragen waren (und sind) die Durchführungsverfahren der Datenschutz-Grundverordnung in der Praxis schwierig. In ähnlicher Weise wird auch die Datenschutzverordnung für elektronische Kommunikation

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Die Verwendung des Datenverarbeitungsregisters

Das Datenverarbeitungsregister: ein wichtiges Verwaltungsinstrument

Wer ist vom Datenverarbeitungsregister betroffen?

Was enthält das Datenverarbeitungsregister?

Das Datenkontrollregister

Das Register des Unterauftragnehmers

Digitale Datensicherung – wann eine digitale Lösung sinnvoll ist

Künstliche Intelligenz und Datenschutz

ePrivacy – Auswirkungen in der Praxis

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen