Das in Artikel 30 der Datenschutz-Grundverordnung vorgesehene Verzeichnis der Verarbeitungstätigkeiten ermöglicht es einem Unternehmen, alle Datenverarbeitungsvorgänge eindeutig zu identifizieren. Daher muss jede Organisation in der Lage sein, einen Überblick darüber zu haben, was sie mit den ihr anvertrauten personenbezogenen Daten tut.
Das Datenverarbeitungsregister: ein wichtiges Verwaltungsinstrument
Das Datenverarbeitungsregister ist also ein Dokument, das die Identifizierung und Analyse aller von einem Unternehmen verarbeiteten personenbezogenen Daten ermöglicht.
Dieses Dokument muss die Realität der durchgeführten Behandlungen widerspiegeln. Es muss eine genaue Identifizierung ermöglichen:
Das Datenverarbeitungsregister erfüllt nicht nur die in Artikel 30 der DSGVO vorgesehene Pflicht zur Führung eines Registers, sondern stellt auch ein Verwaltungsinstrument dar, mit dem die Einhaltung der allgemeinen Datenschutzbestimmungen nachgewiesen werden kann.
Dieses Register ermöglicht es einem Unternehmen, die Verarbeitung von Daten zu dokumentieren und sich dabei die wesentlichen Fragen zu stellen, nämlich:
Die Erstellung eines regelmäßig aktualisierten Datenverarbeitungsregisters ermöglicht es jeder Organisation, die von der DSGVO betroffen ist, die mit dieser Rechtsvorschrift verbundenen Risiken zu ermitteln, aber auch zu priorisieren. Die Erstellung eines solchen Registers ist daher unerlässlich, um einen Aktionsplan zur Anpassung der Datenverarbeitung an die Sicherheitsvorschriften der DSGVO zu entwickeln.
Wer ist vom Datenverarbeitungsregister betroffen?
Die Datenverarbeitung ist für alle Organisationen verpflichtend, die personenbezogene Daten europäischer Bürgerinnen und Bürger verarbeiten, und zwar sowohl für öffentliche als auch für private Einrichtungen und unabhängig von deren Größe.
Stellen, die für die Verarbeitung personenbezogener Daten im Auftrag einer anderen Stelle verantwortlich sind (z. B. Unterauftragnehmer wie IT-Dienstleister, Kommunikationsagenturen, Marketingagenturen usw.), müssen ebenfalls Aufzeichnungen über ihre Tätigkeiten im Zusammenhang mit der Datenverarbeitung führen.
Was enthält das Datenverarbeitungsregister?
Konkret empfiehlt die CNIL, zwei Register zu führen, ein erstes für die Verarbeitung personenbezogener Daten, für die das Unternehmen selbst verantwortlich ist, und ein zweites für die Verarbeitung, die als Unterauftragnehmer (z. B. im Auftrag eines Kunden) durchgeführt wird.
Das Datenkontrollregister
Das Register des für die Verarbeitung Verantwortlichen muss alle Verarbeitungen personenbezogener Daten enthalten, die ausschließlich von der betreffenden Organisation durchgeführt werden. Idealerweise sollte für jede Tätigkeit ein Protokollblatt erstellt werden.
Dieses Register muss den Namen und die Kontaktdaten der betreffenden Stelle enthalten, aber auch die ihres Vertreters, wenn die Stelle nicht in der Europäischen Union ansässig ist. Die Identität des Datenschutzbeauftragten muss ebenfalls in diesem Register erscheinen.
Darüber hinaus muss das Registerblatt für jede Verarbeitungstätigkeit mindestens die folgenden Angaben enthalten:
Das Register des Unterauftragnehmers
Das Verarbeitungsverzeichnis des Unterauftragnehmers muss alle Kategorien von Datenverarbeitungstätigkeiten enthalten, die im Auftrag von Kunden durchgeführt werden.
Für jede Kategorie von Tätigkeiten, die für einen Kunden durchgeführt werden, muss er mindestens die folgenden Elemente enthalten: