Mit der neuen Datenschutzgrundverordnung (GDPR) müssen Unternehmen, die Daten verarbeiten, sicherstellen, dass sie detaillierte Aufzeichnungen darüber führen, was sie mit den Daten tun.
In Artikel 30 heißt es: "Jeder für die Verarbeitung Verantwortliche und gegebenenfalls sein Vertreter führt ein Verzeichnis der Verarbeitungstätigkeiten unter seiner Verantwortung."
Mit der Datenschutz-Grundverordnung wird die Unterscheidung zwischen internen und externen Aufzeichnungen abgeschafft. Es gibt nur noch eine Art von Aufzeichnungen - die internen Aufzeichnungen -, die den Aufsichtsbehörden auf deren Anfrage zur Verfügung gestellt werden müssen.
In extremen Fällen kann Ihr Unternehmen bei Nichteinhaltung der Anforderungen der Datenschutz-Grundverordnung mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes belegt werden - je nachdem, welcher Betrag höher ist.
Controller oder Prozessor
Wenn Ihre Organisation entscheidet, zu welchem Zweck Daten gesammelt werden oder wie sie gesammelt werden, dann sind Sie für die Datenverarbeitung verantwortlich.
Wenn Sie jedoch die Verarbeitung im Auftrag einer anderen Organisation vornehmen, sind Sie ein Datenverarbeiter. Es ist wahrscheinlich, dass Ihre Organisation sowohl für die Verarbeitung Verantwortlicher als auch Auftragsverarbeiter ist.
Die neue DSGVO enthält eine Reihe strenger Anforderungen, die sowohl von den für die Datenverarbeitung Verantwortlichen als auch von den Datenverarbeitern einzuhalten sind. Sie besagt, dass Sie Folgendes aufzeichnen müssen:
1) Ihre organisatorischen Angaben und die Kontaktdaten Ihres Datenschutzbeauftragten. Wenn Ihr Unternehmen nicht in der EU ansässig ist, müssen Sie außerdem Angaben zu Ihrem benannten Vertreter in der EU machen
2) Eine Beschreibung der Sicherheitsmaßnahmen, die Sie zum Schutz der Daten ergriffen haben. Dazu gehören sowohl technische Sicherheitsmaßnahmen wie Verschlüsselung als auch organisatorische Sicherheitsmaßnahmen, z. B. interne Beschränkungen, wer Zugang zu welchen Teilen des Netzes hat.
3) Bei Datenübermittlungen außerhalb des EWR müssen Organisationen dokumentieren, wohin die Daten übermittelt werden und welche Schutzvorkehrungen zum Schutz dieser Daten getroffen wurden.
Artikel 30 - Was bedeutet er für den Controller?
Wenn Sie als für die Verarbeitung Verantwortlicher fungieren, obliegt es Ihnen, den Zweck der Datenverarbeitung festzulegen.
Sie müssen auch die Arten von Personen, mit deren Daten Sie arbeiten, und die Arten von Daten, mit denen Sie arbeiten, aufzeichnen, was zwangsläufig von der Art Ihres Unternehmens abhängt.
Wenn Sie ein für die Verarbeitung Verantwortlicher sind, müssen Sie auch die Arten von Empfängern aufzeichnen, an die Sie Daten weitergeben werden. Der für die Verarbeitung Verantwortliche muss auch dokumentieren, wie lange er die einzelnen Datenkategorien aufbewahren will, bevor sie gelöscht werden.
Artikel 30 - Was bedeutet er für den Verarbeiter?
Wenn Sie der Auftragsverarbeiter sind, müssen Sie sich um die Dokumentation der Daten kümmern. Sie müssen Folgendes aufzeichnen:
- Namen und Kontaktangaben des für die Verarbeitung Verantwortlichen, für den Sie Daten verarbeiten
- Angaben zum DSB des für die Verarbeitung Verantwortlichen (falls es einen gibt) und zu dessen Vertreter, falls dieser nicht in der EU ansässig ist.
Das klingt vielleicht nicht allzu anstrengend, aber Sie müssen bedenken, dass ein durchschnittlicher Auftragsverarbeiter, z. B. eine Marketingagentur, Daten im Auftrag zahlreicher Kunden verarbeitet. Diese Angaben müssen auch für jeden für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter Daten verarbeitet, erfasst werden.
Darüber hinaus müssen die Auftragsverarbeiter die verschiedenen Kategorien von Verarbeitungen dokumentieren, die im Auftrag des jeweiligen für die Verarbeitung Verantwortlichen durchgeführt werden. Die Datenschutz-Grundverordnung definiert Verarbeitung als: "jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten."
Bei so vielen Variablen können Sie sich vorstellen, wie schnell dies zu einem komplexen Problem werden kann.
Was müssen Sie sonst noch über Artikel 30 wissen?
Viele sind auf diese Art der Einhaltung von Datenschutzvorschriften nicht vorbereitet. Sie werden schnell ausgereifte Datenschutzrichtlinien einführen müssen, mit denen die Verarbeitungstätigkeiten in mehreren Abteilungen, Unternehmen und Märkten geprüft werden können.
Sie müssen über alle Datenverarbeitungen Buch führen, unabhängig davon, ob die Daten in schriftlicher oder elektronischer Form vorliegen, und sie müssen Ihrer örtlichen Aufsichtsbehörde zur Verfügung stehen, wenn diese sie verlangt.
Vorbereitung auf Artikel 30
Relevante Geschäftsfunktionen und Datenverarbeitungsaktivitäten Dritter müssen identifiziert werden, und es sollte ein Register personenbezogener Daten erstellt werden. Ihre Datenschutzrichtlinien und -hinweise sollten aktualisiert werden, und die internen Mitarbeiter sollten mit der DSGVO vertraut gemacht werden, soweit sie sich auf ihre jeweilige Funktion bezieht.
In einem breiteren Kontext liegt der Kern der Datenschutz-Grundverordnung in der Betonung der Verantwortlichkeit. Es sollte eine Verantwortungskette auf Abteilungs-, Unternehmens- und Organisationsebene eingerichtet werden, um eine einheitliche Handhabung von Vorfällen, Betriebsabläufen und Berichtsaktivitäten zu gewährleisten. Mehr über die Bedeutung der Rechenschaftspflicht können Sie in unserem früheren Blog hierlesen .
Wenn Sie zusätzliche Hilfe bei Ihrem GDPR-Projekt benötigen, können Sie uns auf einem unserer Stopps im Rahmen unserer GDPR for Dummies-Roadshow besuchen, die bald in einer Stadt in Ihrer Nähe stattfinden wird. Melden Sie sich hierfür die kostenlosen Frühstücksbriefings an .
Wir haben auch MetaPrivacy entwickelt - eine GDPR-Lösung, die speziell darauf ausgerichtet ist, Ihr Unternehmen bei der Einhaltung von Artikel 30 zu unterstützen. Weitere Informationen zu MetaPrivacy und unseren anderen GDPR-Ressourcen finden Sie hier.
