Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) reguliert grundsätzlich, wie personenbezogene Daten rechtmäßig verarbeitet werden sollten (einschließlich der Art und Weise, wie diese erhoben, verwendet, geschützt oder mit diesen allgemein interagiert wird). Ziel dieser Verordnung ist es, den Datenschutz für alle Personen, deren personenbezogene Daten in ihren Anwendungsbereich fallen, zu stärken und die Kontrolle über die Datenverarbeitung personenbezogener Daten zurückzugeben.
Dies kann jedoch in der konkreten Umsetzung eine technische Herausforderung sein. Dies gilt insbesondere für das interne Datenschutzmanagement. Nutzer müssen in der Lage sein, zu beschreiben, welche Daten sie erfassen, für welche Zwecke, die beteiligten Akteure dieser Erfassung und einige weitere Details für das gesamte Unternehmen, einschließlich der Daten von Mitarbeitern.
Wenn Sie auf der Suche nach weiterführendem Hintergrundwissen zum Thema DSGVO sind, werfen Sie bitte einen Blick auf unseren umfangreichen DSGVO-Guide.
Diese Anleitung dient dazu, Sie Schritt für Schritt durch unser Register der Datenverarbeitungstätigkeiten zu führen.
Bitte beachten Sie: Auch wenn die DSGVO üblicherweise der Anlass ist, mehr Zeit in das interne Datenschutzmanagement zu investieren, ist unser Tool nicht ausschließlich für die Anwendung im Rahmen der DSGVO gedacht. Es kann auch für das interne Datenschutzmanagement allgemein verwendet werden, auch von Unternehmen, die keine Nutzer/Kunden innerhalb der EU haben.
Fahren Sie mit dem Lesen fort oder sehen Sie sich das umfassende Tutorial an (auf Englisch).
Die DSGVO verpflichtet der Verantwortliche und Auftragsverarbeiter, ein Verzeichnis der Verarbeitungsaktivitäten zu führen. Diese Verzeichnisse müssen in schriftlicher Form vorliegen, einschließlich in elektronischer Form. Der Verzeichnis von Datenverarbeitungstätigkeiten wurde speziell für Verantwortliche und Auftragsverarbeiter entwickelt, um diese Anforderung zu erfüllen.
Das Verzeichnis (auch „Register“ genannt) der Verarbeitungsaktivitäten muss auf Anfrage der Aufsichtsbehörde zugänglich gemacht werden.
Großunternehmen oder Organisationen, die weniger als 250 Personen einstellen, sind von dieser Verpflichtung befreit.
👉 Wenn Sie jedoch weniger als 250 Personen einstellen, aber eine der folgenden Bedingungen erfüllen, sind Sie verpflichtet, diese Anforderung der DSGVO zu erfüllen:
Bereiche sind Perimeter, innerhalb derer die Datenverarbeitungsaktivitäten homogen sind. Beispiele für Bereiche sind Ihre Website, mobile Apps, physische Geschäfte, Mitarbeiter, Personaleinstellung, Produktionsstätte usw. Für jeden Bereich können Sie eine Beschreibung angeben, wie die Daten verarbeitet werden, ähnlich wie Sie dies wahrscheinlich bereits mit unseren Generatoren für die Datenschutzerklärung oder die AGBs handhaben. Kurz gesagt, Bereiche sind Duplikate der Instanz „Website“, die miteinander verbunden sind und die Sie nach Belieben erstellen können.
Auf der Kontoebene können Sie Mitglieder hinzufügen, die dann mit einer bestimmten Rolle (z. B. „Verantwortlicher“, „Auftragsverarbeiter“ usw.) oder in einem bestimmten Bereich verknüpft werden können.
Bei der Zuordnung können Sie wählen, welche Rolle das Mitglied innerhalb der folgenden Optionen hat:
Zum Beispiel kann ein Unternehmen über seine Website Nutzerdaten sammeln und diese über einen Cloud-Dienst eines Dritten speichern. In diesem Szenario ist das Unternehmen online der Datenverantwortliche und die Organisation, die den Cloud-Dienst betreibt, ist der Auftragsverarbeiter.
Sie können es sich im Grunde wie ein Adressbuch vorstellen. Alle aktuellen Nutzer sind gleichzeitig auch Mitglieder.
Bitte beachten Sie: Die Voreinstellungen, die Sie im Bereich Mitglieder vornehmen, werden anschließend standardmäßig auf jeden Dienst angewendet.
Die folgenden Mitglieder sind automatisch verfügbar:
Ihre Datenschutzerklärung muss an die Datenerfassungspraktiken Ihrer Website oder App angepasst werden. Dies erreichen Sie, indem Sie einen Dienst hinzufügen.
Dienste fallen im Allgemeinen in zwei Kategorien:
Bei der Überlegung, welche grundlegenden Dienste Sie in Ihr Dokument aufnehmen sollten, kann es hilfreich sein, sich die folgenden Fragen zu stellen:
Im folgenden Abschnitt gehen wir die neuen Felder durch, die wir zur Erleichterung Ihrer internen Datenschutzverwaltung veröffentlicht haben (Sie finden diese Felder im benutzerdefinierten Fenster, das angezeigt wird, wenn Sie einen Dienst hinzufügen). Dies geschieht Schritt für Schritt, um Sie bei der Auswahl der richtigen Option für Ihre persönliche Situation zu unterstützen.
Diese 2 Felder dienen lediglich dazu, dass Sie den jeweiligen Dienst beschreiben können. Ein Beispiel für eine Bezeichnung könnte „DE-Rechenzentrum“ sein und die entsprechende Beschreibung könnte „Frankfurter Rechenzentrum“ lauten.
Dies ist ein Feld, das nur für einige Dienste gilt, bei denen Sie angeben können, ob Sie Daten in der EU speichern. Ein gutes Beispiel hierfür ist „Amazon Web Services“ (oft als „AWS“ abgekürzt).
Ein Feld, über das nur einige Dienste verfügen und das es Ihnen ermöglicht, die Art der personenbezogenen Daten anzugeben, die über diesen Dienst erfasst werden.
Nach der DSGVO dürfen Daten nur verarbeitet werden, wenn es mindestens eine rechtmäßige Grundlage dafür gibt.
Die rechtmäßigen Grundlagen sind:
In unserem Tool können Sie aus den folgenden Optionen wählen:
Dies gilt nur, wenn Sie Daten außerhalb der EU übertragen, weshalb Sie bitte entsprechend eine Auswahl treffen.
Sie können zwischen den folgenden Optionen wählen:
Verantwortlicher
Bezeichnet jede natürliche oder juristische Person, die an der Bestimmung des Zwecks und der Art und Weise der Datenverarbeitung der personenbezogenen Daten beteiligt ist.
Auftragsverarbeiter
Bezeichnet jede natürliche oder juristische Person, die an der Datenverarbeitung im Auftrag des für die Verarbeitung Verantwortlichen beteiligt ist.
Mitglieder der Organisation der/des Verantwortlichen
Ein gängiges Beispiel hierfür sind die Mitarbeiter des jeweiligen Unternehmens/Organisation.
Betroffene
Können zum Beispiel die Nutzer der gegebenen Website oder App, Besucher eines physischen Geschäfts oder zahlende Kunden sein.
Unter normalen Umständen müssen bei Sachverhalten, die „Einwilligung“ als Rechtsgrundlage für die Datenverarbeitung haben, alle Rechte ausgewählt werden. Unsere Lösung bietet Ihnen die folgenden Optionen:
Dieses Feld bezieht sich darauf, wie lange die Daten gespeichert werden. Die Standardoption ist „Daten werden bis zur Erreichung der Zwecke, für die sie erhoben wurden, gespeichert“ und sollte für die meisten Fälle gelten. Ansonsten können Sie aus einem Zeitraum von 1 bis 5 Jahren wählen.
Gängige Beispiele sind hier die verwendete Verschlüsselungsmethode oder Schwachstellenanalysen/Penetration-Tests, was bedeutet, dass Ihre elektronischen Systeme in regelmäßigen Abständen getestet werden sollten, um die Sicherheit und Widerstandsfähigkeit Ihrer Systeme zu bewerten.
Eine weitere wichtige Maßnahme ist die sogenannte „Sicherung und Aufbewahrung von Backup-Medien“. Das bedeutet, dass es ratsam ist, die Backup-Medien an einem speziellen Ort aufzubewahren, der nur für das zuständige Personal zugänglich ist. Die Sicherheit des Ortes sollte dabei mindestens jährlich überprüft werden.
Außerdem ist es empfehlenswert, eine Firewall zu installieren und zu betreiben. Es ist ratsam, die aktuellen Konfigurationen zu überprüfen, die Berechtigungen für Systemnutzer zu verwalten, sowie die Aktualität des Systems zu überprüfen und schließlich mit der Installation auf mobilen Geräten fortzufahren. Eine bestehende Firewall ist jedoch offensichtlich nichts Neues in Bezug auf die DSGVO und sollte als eine Mindestsicherheitsmaßnahme betrachtet werden, die bereits von den aktuellen Standards vorgesehen ist.
Im Tool können Sie zwischen den folgenden Optionen wählen:
Um die Datenverarbeitung gemäß der DSGVO umfassend zu beschreiben, müssen Sie bei der Beschreibung Ihrer Datenerhebungspraktiken sehr präzise sein. Ein häufiges Szenario ist das einer Website mit mehreren Kontaktformularen, wobei jedes Formular an verschiedene Personen gerichtet ist oder die Daten an verschiedene Parteien weitergegeben werden. Ein anderes Beispiel ist, dass Sie zwei verschiedene Newsletter für unterschiedliche Nutzergruppen oder Kunden haben.
Unser Verzeichnis von Datenverarbeitungstätigkeiten ermöglicht es Ihnen daher, verschiedene Versionen desselben Dienstes hinzuzufügen.
Lassen Sie uns nun eine Reihe konkreter Beispiele durchspielen, um die oben genannten Informationen praktischer zu erläutern, einschließlich unserer „alternativen Optionen“:
Example AG fügt einen Website-Bereich hinzu und konfiguriert die Datenschutzerklärung, Cookie-Richtlinie, Privacy Controls and Cookie Solution und die AGBs.
Bei der Datenschutzerklärung wird wie folgt vorgegangen:
Mitglieder: Hier legen wir für jede Rolle die globalen Mitglieder fest, die für den gesamten Bereich gelten. Die Mitglieder können auch pro Dienst festgelegt werden.
Verantwortliche: Example AG (der Anbieter)
Mitglieder der verantwortlichen Organisation: employees
Auftragsverarbeiter:
Betroffene: Nutzer der Website
Name: Example AG
Label: DE-Rechenzentrum
Beschreibung: Rechenzentrum Frankfurt
Region: EU
Rechtsgrundlage für die Verarbeitung: Vertrag
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter (diejenigen, die auf Standortebene festgelegt wurden)
Betroffene: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: keine Datenübermittlung
Verfügbare Rechte: keine (da es nicht möglich wäre, die Dienstleistung zu erbringen, wenn diese der Verarbeitung durch Example AG widersprechen würden.)
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Zeit, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd
Label: Rechenzentrum NL
Beschreibung: Rechenzentrum Amsterdam
Region: EU
Rechtsgrundlage für die Verarbeitung: Vertrag
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter (diejenigen, die auf Standortebene festgelegt wurden)
Betroffene: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: keine Datenübermittlung
verfügbare Rechte: keine (da es nicht möglich wäre, die Dienstleistung zu erbringen, wenn sie der Verarbeitung durch Example AG widersprechen würden. )
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Zeit, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd
(wenn Sie Google Analytics nicht auf Ihrer Website oder App verwenden, können Sie hier einfach ein anderes Analysetool einfügen)
Name: Google Analytics
Label: Google Analytics
Beschreibung: Tracking-Tool Google Analytics
Rechtsgrundlage für die Verarbeitung: Einwilligung
Personen, die die personenbezogenen Daten verarbeiten:Anbieter, Mitarbeiter (des jeweiligen Unternehmens)
Betroffene: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: Einwilligung
Verfügbare Rechte: Auskunft, Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die zur Erfüllung des Zwecks erforderliche Zeit (Standardoption)
name: Mailingliste und Newsletter
Label: Haupt-Newsletter (denken Sie daran, dass Sie mehr als einen Newsletter oder eine Mailingliste haben können)
Beschreibung: Haupt-Newsletter-Mailingliste
Personenbezogene Daten: E-Mail
Rechtsgrundlage für die Verarbeitung: Einwilligung
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter (des jeweiligen Unternehmens)
Betroffene: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: keine Datenübermittlung
Verfügbare Rechte: Auskunft, Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Dauer, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Label: Haupt-Drip (bezieht sich auf Drip-Kampagnen und nicht auf den Standard-Newsletter)
Beschreibung: Drip-Kampagnen
Personenbezogene Daten: E-Mail
Rechtsgrundlage für die Verarbeitung: Einwilligung
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter
Betroffene: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: keine Datenübermittlung
Verfügbare Rechte: Auskunft, Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die zur Erfüllung des Zwecks erforderliche Zeit (Standardoption)
Sicherheitsmaßnahmen: tbd
Label: Nebenprodukt-Newsletter
Beschreibung: “”
Personenbezogene Daten: E-Mail
Rechtsgrundlage für die Verarbeitung: Einwilligung
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter
Betroffene Personen: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: keine Datenübertragung
Verfügbare Rechte: Information, Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenportabilität, Widerspruch
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Zeit, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd
Label: Nebenprodukt Drip
Beschreibung: “”
Personenbezogene Daten:E-Mail
Rechtsgrundlage für die Verarbeitung: Einwilligung
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter
Betroffene: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: keine Datenübertragung
Verfügbare Rechte: Auskunft, Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenportabilität, Widerspruch
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Zeit, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd
Label: Newsletter für Partner
Beschreibung: Newsletter für die Partner
Personenbezogene Daten: E-Mail
Rechtsgrundlage für die Verarbeitung: Einwilligung
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter, Agentur x (die die Partnerkampagnen verwaltet)
Betroffene: Nutzer der Website
Grundlage für die Datenübermittlung: keine Datenübermittlung
Verfügbare Rechte: Auskunft, Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Zeit, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd
Name: Referral Candy
Label: Hauptkonto von Referral Candy
Beschreibung: “”
Rechtsgrundlage für die Verarbeitung: Einwilligung
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter, Agentur x (die die Affiliate-Kampagnen betreut)
Betroffene: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: Einwilligung
Verfügbare Rechte: Auskunft, Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Zeit, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd
Label: Referral Candy Account für Zweitprodukt
Beschreibung: “”
Rechtsgrundlage für die Verarbeitung: Einwilligung
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter, Agentur x (die die Partner-Kampagnen betreut)
Betroffene: Nutzer der Website
Rechtsgrundlage für die Datenübermittlung: Einwilligung
Verfügbare Rechte: Auskunft, Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die zur Erfüllung des Zwecks erforderliche Zeit (Standardoption)
Sicherheitsmaßnahmen: tbd
Der Nutzer fügt einen benutzerdefinierten Bereich hinzu und nennt ihn „Mitarbeiter“, um die personenbezogenen Daten, die das Unternehmen von Mitarbeitern verarbeitet, und die Zwecke zu beschreiben.
Mitglieder:
Verantwortlicher: Beispiel Inc. (der Anbieter)
Mitglieder der verantwortlichen Organisation:
Name: Gehaltsabrechnung Ausarbeitung
Rechtsgrundlage für die Verarbeitung: gesetzliche Verpflichtung
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter, Personalabteilung, Herr X, Herr Y
Betroffene: Mitarbeiter, Berater
Rechtsgrundlage für die Datenübermittlung: keine Datenübertragung
Verfügbare Rechte: keine
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Zeit, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd
Name: „Timely“ (Zeiterfassungssoftware für Mitarbeiter)
Rechtsgrundlage für die Verarbeitung: Vertrag
Personen, die die personenbezogenen Daten verarbeiten: Anbieter, Mitarbeiter, Personalabteilung, Herr X, Herr Y
Betroffene: Mitarbeiter, Berater
Rechtsgrundlage für die Datenübermittlung: Einwilligung
Verfügbare Rechte: keine
Datenaufbewahrungs-Richtlinien: Aufbewahrung der Daten für die Zeit, die zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd
Der Nutzer fügt einen benutzerdefinierten Bereich hinzu und nennt diesen “Vorstellungsgespräch”, um zu beschreiben, welche persönlichen Daten von Kandidaten verwendet werden und zu welchem Zweck.
Mitglieder:
Verantwortlicher: Beispiel Inc. (der Anbieter)
Mitglieder der verantwortlichen Organisation: Mitarbeiter, Personalabteilung
Verarbeiter:
Betroffene: Bewerber
Name: Kandidatenbewertung
Rechtsgrundlage für die Verarbeitung: Einwilligung
Wer die personenbezogenen Daten verarbeitet: Anbieter, Mitarbeiter, Personalabteilung
Betroffene Personen: Kandidaten
Rechtsgrundlage für die Datenübermittlung: keine Datenübertragung
Verfügbare Rechte:keine
Datenaufbewahrungs-Richtlinien:die Daten werden so lange aufbewahrt, wie es zur Erfüllung des Zwecks erforderlich ist (Standardoption)
Sicherheitsmaßnahmen: tbd