Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
verzeichnis_von_verarbeitungstaetigkeiten [2018/11/09 10:44] – Admin | verzeichnis_von_verarbeitungstaetigkeiten [2020/01/20 19:53] – [Inhaltliches Vorgehen] Admin | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | Das **Verzeichnis von Verarbeitungstätigkeiten** oder kurz **VVT** wird geführt gemäß [[https:// | + | ====== Verzeichnis von Verarbeitungstätigkeiten ====== |
+ | |||
+ | Das **Verzeichnis von Verarbeitungstätigkeiten** oder kurz **VVT** | ||
+ | |||
+ | Für die praktische Arbeit gibt es ein [[: | ||
+ | |||
+ | |||
+ | ===== Pflicht zur Erstellung von VVT ==== | ||
+ | |||
+ | Grundsätzlich ist jede [[Verarbeitung]] [[personenbezogene Daten|personenbezogener Daten]] durch den [[Verantwortlicher|Verantwortlichen]] im VVT zu dokumentieren. | ||
+ | |||
+ | Allerdings beschränkt der [[Anwendungsbereich der DSGVO]] gemäß [[https:// | ||
+ | |||
+ | Das bedeutet, dass zumindest für Verarbeitungen personenbezogener Daten durch [[Verantwortlicher|Verantwortliche]] mittels IT-Systemen oder wenn die Daten letztlich in IT-Systeme überführt werden sollen, ein VVT zu erstellen ist. Dabei genügt es, wenn es für das IT-System beispielsweise personenbezogene Accounts gibt, die verwaltet werden müssen, was aus Gründen der IT-Sicherheit heutzutage die Regel ist und erst recht wenn es Logdateien gibt, die die Handlungen der personenbezogenen Accounts aufführen. Soweit inhaltlich keine weiteren personenbezogenen Daten verarbeitet werden, wofür ein denkbares Beispiel die Verwaltung nicht personenbezogener Messdaten wie Wetterdaten wäre, kann das VVT inhaltlich natürlich sehr knapp gehalten werden. Wenn es dagegen gerade auf die Verarbeitung personenbezogener Daten ankommt, steigt der erforderliche Aufwand zur Erstellung des VVT zum Teil ganz erheblich. | ||
+ | |||
+ | Auch kleine Verantwortliche mit weniger als 250 Beschäftigten profitieren in der Praxis kaum von der sogenannten KMU-Ausnahme gemäß [[https:// | ||
+ | ===== Formales Vorgehen ===== | ||
+ | |||
+ | Die DSGVO gibt nur relativ wenige formale Vorgaben. Geregelt ist in [[https:// | ||
+ | |||
+ | Zumindest aus der Pflicht, das Verzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen ist([[https:// | ||
+ | |||
+ | Bei einem schriftlich geführten VVT sollte ein einheitliches Formular zur Anwendung kommen. Das Formular für das VVT für die Verwendung an den Thüringer Hochschulen kann {{: | ||
+ | |||
+ | Für größere Organisationen empfiehlt sich die Verwendung eines IT-Systems, dass auch eine größere Anzahl von Einträgen verwalten kann. | ||
+ | |||
+ | ===== Inhaltliches Vorgehen ===== | ||
+ | |||
+ | Wichtig ist, dass im VVT die **Verarbeitung** dokumentiert wird und **nicht** eine Software beziehungsweise ein IT-Dienst. Es geht also darum welche (personenbezogenen) Daten erhoben, gespeichert, | ||
+ | |||
+ | Wenn ein IT-System für mehrere Verarbeitungen genutzt wird, sind also grundsätzlich mehrere VVT anzulegen. Das bietet sich vor allem dann an, wenn die Verarbeitungen unterschiedliche Inhalte betreffen oder (innerorganisatorisch) unterschiedliche Stellen zuständig sind. | ||
+ | |||
+ | Dagegen können inhaltlich eng zusammenhängende Verarbeitungen auch in einem einzigen VVT dokumentiert werden. Bei aufeinanderaufbauenden Verarbeitungen ist das sogar regelmäßig zu empfehlen: Das Erheben, Nutzen und Löschen eines Datensatzes sind drei Verarbeitungstätigkeiten, | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Verzeichnis von Verarbeitungstätigkeiten bei Verfolgung und Prävention von Straftaten ===== | ||
+ | |||
+ | Die DSGVO findet KEINE Anwendung bei der Verfolgung und Prävention von Straftaten. Hier gelten in Umsetzung der [[https:// | ||
+ | |||
+ | ^ Art. 30 DSGVO ^ § 50 ThürDSG (zu Art. 24 Richtlinie (EU) 2016/680) ^ | ||
+ | |(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, | ||
+ | |a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, | ||
+ | |b) die Zwecke der Verarbeitung; | ||
+ | | |3. die Kategorien von Empfängern, | ||
+ | |c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; |4. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,| | ||
+ | | |5. gegebenenfalls die Verwendung von Profiling, | ||
+ | |d) die Kategorien von Empfängern, | ||
+ | |e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, | ||
+ | | |7. Angaben über die Rechtsgrundlage der Verarbeitung, | ||
+ | |f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; | ||
+ | |g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. |9. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach § 54.| | ||
+ | | | | | ||
+ | |(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, | ||
+ | |a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, | ||
+ | |b) die Kategorien von Verarbeitungen, | ||
+ | |c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, | ||
+ | |d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. |3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach § 54.| | ||
+ | | | | | ||
+ | |(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. |(3) Die in den Absätzen 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen.| | ||
+ | | | | | ||
+ | |(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. |(4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse dem Landesbeauftragten für den Datenschutz zur Verfügung zu stellen.| | ||
+ | | | | | ||
+ | |(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, | ||
====== Muster ====== | ====== Muster ====== |