Früher: Meldungen bei der Datenschutzbehörde / DVR

Neu: Verarbeitungsverzeichnis

 

Zukünftig muss für Datenverarbeitungen ein Verzeichnis geführt werden, wenn:

  • das Unternehmen größer als 250 Mitarbeiter ist, oder
  • eine Verarbeitung ein Risiko für die Freiheite und Rechte von Betroffennen darstellt, oder
  • die Verarbeitung nicht nur gelegentlich erfolgt, oder
  • sensible Daten werden verarbeitet.

Sicherheitshalber ist daher davon auszugehen, dass nur völlig risikofreie Verarbeitungen von der Verzeichnispflicht ausgenommen sind, Rechtssicherheit besteht dazu noch nicht. Eine gelegentliche Datenverarbeitung ist durch Unternehmen kaum möglich, eher erfolgt typischerweise eine regelmässige Datenverarbeitung.

 

Ein Verarbeitungsverzeichniss hat im Wesentlichen folgende Voraussetzungen zu erfüllen:

  • Alle Verarbeitungstätigkeiten sind zu beschreiben - iZw jeder Verarbeitungsschritt.
  • Schriftlichkeit - ein elektronisches Format ist erlaubt
  • Kontaktdaten, Verarbeitungszwecke und Kategorien der Daten und Betroffenen sind anzuführen
  • Empfängerkategorien und Übermittlungen sind anzuführen
  • Löschfristen
  • Beschreibung der Verarbeitungssicherheit

Neu ist, dass auch Auftragsverarbeiter uU ein Verarbeitungsverzeichnis zu führen hat.

 

Bereits am Markt erhältlich ist Software zu Führung des Verarbeitungsverzeichniss.

Die Erstellung ist jedoch im Regelfall nicht sonderlich kompliziert, meist ist die vorausgehende Evaluierung aufwändig und fehleranfällig:

1. Listen Sie alle Datenverarbeitungstätigkeiten Ihres Betriebs auf.

2. Listen Sie pro Datenverarbeitungstätigkeit alle verarbeiteten Daten auf (Gruppierungen sind möglich, z.b. Kontaktdaten des Kunden).

3. Listen Sie alle Datenempfänger auf (im ersten Schritt in Gruppen, z.B. Behörden, Lieferanten etc.)

4. Listen Sie Ihre Auftragsverarbeiter auf

5. Ermittlung der Rechtsgrundlagen: Fügen Sie zu jeder Datenverarbeitung einen Zweck hinzu.

4. Durch welche Maßnahmen sind Sie Art. 31-DSGVO konform?

--> Die sich ergebnede Unterlage kann als Grundlage für die Erstellung eines Vefahrensverzeichnisses dienen.

Das Verfahrensverzeichnis wiederum dient als Grundlage für z.B. eine Datenschutzerklärung an Kunden.

 

Die bisherige Meldungspflicht verlagert sich somit zur Pflicht Verzeichnisse (für Behörden) vorzuhalten.

 

Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.