Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
verzeichnis_von_verarbeitungstaetigkeiten [2020/01/20 19:32] – [Formales Vorgehen] Adminverzeichnis_von_verarbeitungstaetigkeiten [2020/01/20 19:39] – [Pflicht zur Erstellung von VVT] Admin
Zeile 8: Zeile 8:
 ===== Pflicht zur Erstellung von VVT ==== ===== Pflicht zur Erstellung von VVT ====
  
-Grundsätzlich ist jede [[Verarbeitung]] [[personenbezogene Daten|personenbezogener Daten]] ist im VVT zu dokumentieren. +Grundsätzlich ist jede [[Verarbeitung]] [[personenbezogene Daten|personenbezogener Daten]] durch den [[Verantwortlicher|Verantwortlichen]] im VVT zu dokumentieren. 
  
 Allerdings beschränkt der [[Anwendungsbereich der DSGVO]] gemäß [[https://dejure.org/gesetze/DSGVO/2.html| Art. 2]] Abs. 1 DSGVO die Pflicht zur Erstellung von VVT auf die "//die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen//". Zudem gelten die Ausnahmevorschriften gemäß [[https://dejure.org/gesetze/DSGVO/2.html| Art. 2]] Abs. 2 DSGVO und hier insbesondere nach Buchstabe c) die Ausnahme für (rein) persönliche oder familiäre Tätigkeiten, während bei den anderen Tatbeständen des Absatz 2 überwiegend Gegenausnahmen greifen. Allerdings beschränkt der [[Anwendungsbereich der DSGVO]] gemäß [[https://dejure.org/gesetze/DSGVO/2.html| Art. 2]] Abs. 1 DSGVO die Pflicht zur Erstellung von VVT auf die "//die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen//". Zudem gelten die Ausnahmevorschriften gemäß [[https://dejure.org/gesetze/DSGVO/2.html| Art. 2]] Abs. 2 DSGVO und hier insbesondere nach Buchstabe c) die Ausnahme für (rein) persönliche oder familiäre Tätigkeiten, während bei den anderen Tatbeständen des Absatz 2 überwiegend Gegenausnahmen greifen.
  
-Das bedeutet, dass zumindest für Verarbeitungen personenbezogener Daten durch [[Verantwortlicher|Verantwortliche]] mittels IT-Systemen oder wenn die Daten letztlich in IT-Systeme überführt werden sollen ein VVT zu erstellen ist. Dabei genügt es, wenn es für das IT-System beispielsweise personenbezogene Accounts gibt, die verwaltet werden müssen, was aus Gründen der IT-Sicherheit heutzutage die Regel ist und erst recht wenn es Logdateien gibt, die die Handlungen der personenbezogenen Accounts aufführen. Soweit inhaltlich keine weiteren personenbezogenen Daten verarbeitet werden, wofür ein denkbares Beispiel die Verwaltung nicht personenbezogener Messdaten wie Wetterdaten wäre, kann das VVT inhaltlich natürlich sehr knapp gehalten werden. Wenn es dagegen gerade auf die Verarbeitung personenbezogener Daten ankommt, steigt der erforderliche Aufwand zur Erstellung des VVT zum Teil ganz erheblich.+Das bedeutet, dass zumindest für Verarbeitungen personenbezogener Daten durch [[Verantwortlicher|Verantwortliche]] mittels IT-Systemen oder wenn die Daten letztlich in IT-Systeme überführt werden sollenein VVT zu erstellen ist. Dabei genügt es, wenn es für das IT-System beispielsweise personenbezogene Accounts gibt, die verwaltet werden müssen, was aus Gründen der IT-Sicherheit heutzutage die Regel ist und erst recht wenn es Logdateien gibt, die die Handlungen der personenbezogenen Accounts aufführen. Soweit inhaltlich keine weiteren personenbezogenen Daten verarbeitet werden, wofür ein denkbares Beispiel die Verwaltung nicht personenbezogener Messdaten wie Wetterdaten wäre, kann das VVT inhaltlich natürlich sehr knapp gehalten werden. Wenn es dagegen gerade auf die Verarbeitung personenbezogener Daten ankommt, steigt der erforderliche Aufwand zur Erstellung des VVT zum Teil ganz erheblich.
  
 +Auch kleine Verantwortliche mit weniger als 250 Beschäftigten profitieren in der Praxis kaum von der sogenannten KMU-Ausnahme gemäß [[https://dejure.org/gesetze/DSGVO/30.html| Art. 30]] Abs. 5 DSGVO, da in vielen Fällen eine der drei Gegenausnahmen eingreifen werden.((Vgl. BeckOK DatenschutzR/Spoerr, 30. Ed. 1.11.2019, DS-GVO Art. 30 Rn. 14-26))
 ===== Formales Vorgehen ===== ===== Formales Vorgehen =====
  

Zuletzt angesehen:

Drucken/exportieren
QR-Code
QR-Code Verzeichnis von Verarbeitungstätigkeiten (erstellt für aktuelle Seite)