Mit der neuen Datenschutzgrundverordnung (GDPR) müssen Unternehmen, die Daten verarbeiten, sicherstellen, dass sie detaillierte Aufzeichnungen darüber führen, was sie mit den Daten tun.

In Artikel 30 heißt es: „Jeder für die Verarbeitung Verantwortliche und gegebenenfalls sein Vertreter führt ein Verzeichnis der Verarbeitungstätigkeiten unter seiner Verantwortung.“

Die Mit der Datenschutz-Grundverordnung wird die Unterscheidung zwischen internen und externen Aufzeichnungen abgeschafft. Es gibt nur noch eine Art von Aufzeichnungen – die internen Aufzeichnungen -, die den Aufsichtsbehörden auf deren Anfrage hin zur Verfügung gestellt werden müssen.

In extremen Fällen kann Ihr Unternehmen bei Nichteinhaltung der Anforderungen der Datenschutz-Grundverordnung mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes belegt werden – je nachdem, welcher Betrag höher ist.

Controller oder Prozessor

Data Controller oder Datenverarbeiter

Wenn Ihre Organisation entscheidet, zu welchem Zweck Daten gesammelt werden oder wie sie gesammelt werden, dann sind Sie der für die Datenerhebung Verantwortliche.

Wenn Sie jedoch die Verarbeitung im Auftrag einer anderen Organisation vornehmen, sind Sie ein Datenverarbeiter. Es ist wahrscheinlich, dass Ihr Unternehmen sowohl für die Verarbeitung Verantwortlicher als auch Auftragsverarbeiter ist.

Die neue GDPR-Verordnung enthält eine Reihe strenger Anforderungen, die sowohl von den für die Datenverarbeitung Verantwortlichen als auch von den Datenverarbeitern einzuhalten sind. Sie besagt, dass Sie Folgendes aufzeichnen müssen:
1) Ihre organisatorischen Angaben und die Kontaktdaten Ihres Datenschutzbeauftragten. Wenn sich Ihr Unternehmen nicht in der EU befindet, müssen Sie außerdem Angaben zu Ihrem designierten Vertreter in der EU machen
2) Eine Beschreibung der Sicherheitsmaßnahmen, die Sie zum Schutz der Daten ergriffen haben. Dazu gehören sowohl technische Sicherheitsmaßnahmen, wie z.B. Verschlüsselung, als auch organisatorische Sicherheitsmaßnahmen, z.B. interne Beschränkungen, wer auf welche Teile des Netzwerks zugreifen darf
3) Bei Datenübertragungen außerhalb des EWR müssen Organisationen dokumentieren, wohin die Daten übertragen werden und welche Sicherheitsvorkehrungen zum Schutz dieser Daten getroffen wurden.

Artikel 30 – Was bedeutet das für den Controller?

Wenn Sie als für die Verarbeitung Verantwortlicher agieren, liegt es an Ihnen, den Zweck der Datenverarbeitung zu bestimmen.

Sie müssen auch die Arten von Personen, mit deren Daten Sie arbeiten, und die Arten von Daten, mit denen Sie arbeiten, aufzeichnen, was zwangsläufig von der Art Ihres Unternehmens abhängt.

Wenn Sie ein für die Verarbeitung Verantwortlicher sind, müssen Sie auch die Arten von Empfängern aufzeichnen, an die Sie Daten weitergeben werden. Der für die Verarbeitung Verantwortliche muss auch dokumentieren, wie lange Sie jede Datenkategorie aufbewahren wollen, bevor sie gelöscht wird.

Artikel 30 – Was bedeutet das für den Verarbeiter?

Wenn Sie der Auftragsverarbeiter sind, müssen Sie sich um die Dokumentation der Daten kümmern. Sie müssen Folgendes aufzeichnen:
– Die Namen und Kontaktdaten des für die Verarbeitung Verantwortlichen, für den Sie Daten verarbeiten
– Die Kontaktdaten des Datenschutzbeauftragten des für die Verarbeitung Verantwortlichen (falls es einen gibt) und seines Vertreters, falls dieser nicht in der EU ansässig ist.

Das klingt vielleicht nicht allzu anstrengend, aber Sie müssen bedenken, dass ein durchschnittlicher Auftragsverarbeiter, z. B. eine Marketingagentur, Daten im Auftrag zahlreicher Kunden verarbeitet. Diese Angaben müssen auch für jeden für die Verarbeitung Verantwortlichen aufgezeichnet werden, in dessen Namen der Auftragsverarbeiter Daten verarbeitet.

Darüber hinaus müssen Auftragsverarbeiter die verschiedenen Kategorien von Verarbeitungen dokumentieren, die im Auftrag des jeweiligen Verantwortlichen durchgeführt werden. Die Datenschutzgrundverordnung definiert Verarbeitung als: „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Bei so vielen Variablen können Sie sehen, wie schnell dies zu einem komplexen Problem werden kann.

Was müssen Sie noch über Artikel 30 wissen?

Was müssen Sie noch über Artikel 30 wissen?

Viele sind auf dieses Niveau der Datenschutz-Compliance nicht vorbereitet. Sie werden schnell ausgereifte Datenschutzrichtlinien einführen müssen, die Verarbeitungsaktivitäten über mehrere Abteilungen, Unternehmen und Märkte hinweg überprüfen können.

Sie müssen über alle Datenverarbeitungen Buch führen, unabhängig davon, ob die Daten in schriftlicher oder elektronischer Form vorliegen, und sie müssen Ihrer örtlichen Aufsichtsbehörde zur Verfügung stehen, wenn diese sie verlangt.

Vorbereitung auf Artikel 30

Die relevanten Geschäftsfunktionen und Datenverarbeitungsaktivitäten Dritter müssen identifiziert werden und es sollte ein Register für personenbezogene Daten erstellt werden. Ihre Datenschutzrichtlinien und -hinweise sollten aktualisiert werden, und die internen Mitarbeiter sollten mit der DSGVO vertraut gemacht werden, soweit sie für ihre jeweilige Funktion relevant ist.

In einem breiteren Kontext liegt der Kern der Datenschutzgrundverordnung in der Betonung der Verantwortlichkeit. Es sollte eine Kette der Verantwortlichkeit auf Abteilungs-, Unternehmens- und Organisationsebene eingerichtet werden, um eine einheitliche Handhabung von Vorfällen, operativen Prozessen und Berichtsaktivitäten zu gewährleisten. Mehr über die Bedeutung der Rechenschaftspflicht können Sie in unserem früheren Blog lesen  hier.

Wenn Sie zusätzliche Hilfe bei Ihrem GDPR-Projekt benötigen, können Sie uns auf einer unserer Stationen im Rahmen unserer GDPR for Dummies-Roadshow besuchen, die bald in eine Stadt in Ihrer Nähe kommt. Registrieren Sie sich für die kostenlosen Frühstücks-Briefings  hier.

Wir haben auch MetaPrivacy entwickelt – eine GDPR-Lösung, die speziell dafür entwickelt wurde, Ihr Unternehmen im Umgang mit Artikel 30 zu unterstützen. Weitere Informationen über MetaPrivacy und unsere anderen GDPR-Ressourcen finden Sie unter  hier.