Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
verzeichnis_von_verarbeitungstaetigkeiten [2020/01/20 19:32] – [Formales Vorgehen] Admin | verzeichnis_von_verarbeitungstaetigkeiten [2020/01/20 20:03] (aktuell) – Admin | ||
---|---|---|---|
Zeile 8: | Zeile 8: | ||
===== Pflicht zur Erstellung von VVT ==== | ===== Pflicht zur Erstellung von VVT ==== | ||
- | Grundsätzlich ist jede [[Verarbeitung]] [[personenbezogene Daten|personenbezogener Daten]] | + | Grundsätzlich ist jede [[Verarbeitung]] [[personenbezogene Daten|personenbezogener Daten]] |
Allerdings beschränkt der [[Anwendungsbereich der DSGVO]] gemäß [[https:// | Allerdings beschränkt der [[Anwendungsbereich der DSGVO]] gemäß [[https:// | ||
- | Das bedeutet, dass zumindest für Verarbeitungen personenbezogener Daten durch [[Verantwortlicher|Verantwortliche]] mittels IT-Systemen oder wenn die Daten letztlich in IT-Systeme überführt werden sollen ein VVT zu erstellen ist. Dabei genügt es, wenn es für das IT-System beispielsweise personenbezogene Accounts gibt, die verwaltet werden müssen, was aus Gründen der IT-Sicherheit heutzutage die Regel ist und erst recht wenn es Logdateien gibt, die die Handlungen der personenbezogenen Accounts aufführen. Soweit inhaltlich keine weiteren personenbezogenen Daten verarbeitet werden, wofür ein denkbares Beispiel die Verwaltung nicht personenbezogener Messdaten wie Wetterdaten wäre, kann das VVT inhaltlich natürlich sehr knapp gehalten werden. Wenn es dagegen gerade auf die Verarbeitung personenbezogener Daten ankommt, steigt der erforderliche Aufwand zur Erstellung des VVT zum Teil ganz erheblich. | + | Das bedeutet, dass zumindest für Verarbeitungen personenbezogener Daten durch [[Verantwortlicher|Verantwortliche]] mittels IT-Systemen oder wenn die Daten letztlich in IT-Systeme überführt werden sollen, ein VVT zu erstellen ist. Dabei genügt es, wenn es für das IT-System beispielsweise personenbezogene Accounts gibt, die verwaltet werden müssen, was aus Gründen der IT-Sicherheit heutzutage die Regel ist und erst recht wenn es Logdateien gibt, die die Handlungen der personenbezogenen Accounts aufführen. Soweit inhaltlich keine weiteren personenbezogenen Daten verarbeitet werden, wofür ein denkbares Beispiel die Verwaltung nicht personenbezogener Messdaten wie Wetterdaten wäre, kann das VVT inhaltlich natürlich sehr knapp gehalten werden. Wenn es dagegen gerade auf die Verarbeitung personenbezogener Daten ankommt, steigt der erforderliche Aufwand zur Erstellung des VVT zum Teil ganz erheblich. |
+ | Auch kleine Verantwortliche mit weniger als 250 Beschäftigten profitieren in der Praxis kaum von der sogenannten KMU-Ausnahme gemäß [[https:// | ||
===== Formales Vorgehen ===== | ===== Formales Vorgehen ===== | ||
Zeile 26: | Zeile 27: | ||
===== Inhaltliches Vorgehen ===== | ===== Inhaltliches Vorgehen ===== | ||
- | Wichtig ist, dass im VVT das **Verfahren** dokumentiert wird und **nicht** eine Software beziehungsweise ein IT-Dienst. Es geht also darum welche (personenbezogenen) Daten erhoben, gespeichert, | + | Wichtig ist, dass im VVT die **Verarbeitung** dokumentiert wird und **nicht** eine Software beziehungsweise ein IT-Dienst. Es geht also darum welche (personenbezogenen) Daten erhoben, gespeichert, |
+ | Wenn ein IT-System für mehrere Verarbeitungen genutzt wird, sind also grundsätzlich mehrere VVT anzulegen. Das bietet sich vor allem dann an, wenn die Verarbeitungen unterschiedliche Inhalte betreffen oder (innerorganisatorisch) unterschiedliche Stellen zuständig sind. | ||
+ | |||
+ | Dagegen können inhaltlich eng zusammenhängende Verarbeitungen auch in einem einzigen VVT dokumentiert werden. Bei aufeinanderaufbauenden Verarbeitungen ist das sogar regelmäßig zu empfehlen: Das Erheben, Nutzen und Löschen eines Datensatzes sind drei Verarbeitungstätigkeiten, | ||
+ | |||
+ | Die frühere Praxis der Strukturierung nach IT-Systemen kann Anlass sein, in geeigneten Fällen, vor allem mit vielen sehr unterschiedlichen Verarbeitungen durch das gleiche IT-System, gewissermaßen " | ||
===== Verzeichnis von Verarbeitungstätigkeiten bei Verfolgung und Prävention von Straftaten ===== | ===== Verzeichnis von Verarbeitungstätigkeiten bei Verfolgung und Prävention von Straftaten ===== |