Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
verzeichnis_von_verarbeitungstaetigkeiten [2020/01/20 19:05] Adminverzeichnis_von_verarbeitungstaetigkeiten [2020/01/20 19:30] – [Pflicht zur Erstellung von VVT] Admin
Zeile 14: Zeile 14:
 Das bedeutet, dass zumindest für Verarbeitungen personenbezogener Daten durch [[Verantwortlicher|Verantwortliche]] mittels IT-Systemen oder wenn die Daten letztlich in IT-Systeme überführt werden sollen ein VVT zu erstellen ist. Dabei genügt es, wenn es für das IT-System beispielsweise personenbezogene Accounts gibt, die verwaltet werden müssen, was aus Gründen der IT-Sicherheit heutzutage die Regel ist und erst recht wenn es Logdateien gibt, die die Handlungen der personenbezogenen Accounts aufführen. Soweit inhaltlich keine weiteren personenbezogenen Daten verarbeitet werden, wofür ein denkbares Beispiel die Verwaltung nicht personenbezogener Messdaten wie Wetterdaten wäre, kann das VVT inhaltlich natürlich sehr knapp gehalten werden. Wenn es dagegen gerade auf die Verarbeitung personenbezogener Daten ankommt, steigt der erforderliche Aufwand zur Erstellung des VVT zum Teil ganz erheblich. Das bedeutet, dass zumindest für Verarbeitungen personenbezogener Daten durch [[Verantwortlicher|Verantwortliche]] mittels IT-Systemen oder wenn die Daten letztlich in IT-Systeme überführt werden sollen ein VVT zu erstellen ist. Dabei genügt es, wenn es für das IT-System beispielsweise personenbezogene Accounts gibt, die verwaltet werden müssen, was aus Gründen der IT-Sicherheit heutzutage die Regel ist und erst recht wenn es Logdateien gibt, die die Handlungen der personenbezogenen Accounts aufführen. Soweit inhaltlich keine weiteren personenbezogenen Daten verarbeitet werden, wofür ein denkbares Beispiel die Verwaltung nicht personenbezogener Messdaten wie Wetterdaten wäre, kann das VVT inhaltlich natürlich sehr knapp gehalten werden. Wenn es dagegen gerade auf die Verarbeitung personenbezogener Daten ankommt, steigt der erforderliche Aufwand zur Erstellung des VVT zum Teil ganz erheblich.
  
-Das Formular für das VVT für die Verwendung an den Thüringer Hochschulen kann {{:formular_vvt_thuerhs_v0.71.docx|hier als Word-Datei}}  heruntergeladen werden. +===== Formales Vorgehen ===== 
 + 
 +Die DSGVO gibt nur relativ wenige formale Vorgaben. Geregelt ist in [[https://dejure.org/gesetze/DSGVO/30.html| Art. 30]] Abs. 3 DSGVO, dass das VVT schriftlich oder elektronisch zu führen ist. 
 + 
 +Zumindest aus der Pflicht, das Verzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen ist([[https://dejure.org/gesetze/DSGVO/30.html| Art. 30]] Abs. 4 DSGVO), ergibt sich, dass das VVT von einer zentralen Stelle des Verantwortlichen geführt werden sollte. Der betriebliche oder behördliche [[Datenschutzbeauftragter|Datenschutzbeauftragte]], der das frühere Verfahrensverzeichnis geführt hatte, sollte das VVT nicht mehr führen.((Vgl. Paal/Pauly/Martini, 2. Aufl. 2018, DS-GVO Art. 30 Rn. 36-38.)) Dagegen spricht auch, dass der Datenschutzbeauftragte im Rahmen seiner Pflicht zur Überwachung der Einhaltung der DSGVO([[https://dejure.org/gesetze/DSGVO/30.html| Art. 39]] Abs. 1 lit. c DSGVO) sich selbst überwachen müsste. 
 + 
 +Bei einem schriftlich geführten VVT sollte ein einheitliches Formular zur Anwendung kommen. Das Formular für das VVT für die Verwendung an den Thüringer Hochschulen kann {{:formular_vvt_thuerhs_v0.71.docx|hier als Word-Datei}}  heruntergeladen werden.  
 + 
 +===== Inhaltliches Vorgehen ===== 
 Wichtig ist, dass im VVT das **Verfahren** dokumentiert wird und **nicht** eine Software beziehungsweise ein IT-Dienst. Es geht also darum welche (personenbezogenen) Daten erhoben, gespeichert, verarbeitet (im engeren Sinne), übermittelt und gelöscht werden. Wichtig ist, dass im VVT das **Verfahren** dokumentiert wird und **nicht** eine Software beziehungsweise ein IT-Dienst. Es geht also darum welche (personenbezogenen) Daten erhoben, gespeichert, verarbeitet (im engeren Sinne), übermittelt und gelöscht werden.
  

Zuletzt angesehen: Persönliche Seite Martin Neldner

Drucken/exportieren
QR-Code
QR-Code Verzeichnis von Verarbeitungstätigkeiten (erstellt für aktuelle Seite)