Anleitung für das Verzeichnis von Datenverarbeitungstätigkeiten

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) reguliert grundsätzlich, wie personenbezogene Daten rechtmäßig verarbeitet werden sollten (einschließlich der Art und Weise, wie diese erhoben, verwendet, geschützt oder mit diesen allgemein interagiert wird). Ziel dieser Verordnung ist es, den Datenschutz für alle Personen, deren personenbezogene Daten in ihren Anwendungsbereich fallen, zu stärken und die Kontrolle über die Datenverarbeitung personenbezogener Daten zurückzugeben.

Dies kann jedoch in der konkreten Umsetzung eine technische Herausforderung sein. Dies gilt insbesondere für das interne Datenschutzmanagement. Nutzer müssen in der Lage sein, zu beschreiben, welche Daten sie erfassen, für welche Zwecke, die beteiligten Akteure dieser Erfassung und einige weitere Details für das gesamte Unternehmen, einschließlich der Daten von Mitarbeitern.

Wenn Sie auf der Suche nach weiterführendem Hintergrundwissen zum Thema DSGVO sind, werfen Sie bitte einen Blick auf unseren umfangreichen DSGVO-Guide.

Diese Anleitung dient dazu, Sie Schritt für Schritt durch unser Register der Datenverarbeitungstätigkeiten zu führen.

Bitte beachten Sie: Auch wenn die DSGVO üblicherweise der Anlass ist, mehr Zeit in das interne Datenschutzmanagement zu investieren, ist unser Tool nicht ausschließlich für die Anwendung im Rahmen der DSGVO gedacht. Es kann auch für das interne Datenschutzmanagement allgemein verwendet werden, auch von Unternehmen, die keine Nutzer/Kunden innerhalb der EU haben.

Fahren Sie mit dem Lesen fort oder sehen Sie sich das umfassende Tutorial an (auf Englisch).

Muss mein Unternehmen Verzeichnisse über die Verarbeitungstätigkeiten gemäß der DSGVO aufbewahren? 

Die DSGVO verpflichtet der Verantwortliche und Auftragsverarbeiter, ein Verzeichnis der Verarbeitungsaktivitäten zu führen. Diese Verzeichnisse müssen in schriftlicher Form vorliegen, einschließlich in elektronischer Form.  Der Verzeichnis von Datenverarbeitungstätigkeiten wurde speziell für Verantwortliche und Auftragsverarbeiter entwickelt, um diese Anforderung zu erfüllen.

Das Verzeichnis (auch „Register“ genannt) der Verarbeitungsaktivitäten muss auf Anfrage der Aufsichtsbehörde zugänglich gemacht werden.

Was versteht man unter dem Begriff „Bereich“?

Bereiche sind Perimeter, innerhalb derer die Datenverarbeitungsaktivitäten homogen sind. Beispiele für Bereiche sind Ihre Website, mobile Apps, physische Geschäfte, Mitarbeiter, Personaleinstellung, Produktionsstätte usw. Für jeden Bereich können Sie eine Beschreibung angeben, wie die Daten verarbeitet werden, ähnlich wie Sie dies wahrscheinlich bereits mit unseren Generatoren für die Datenschutzerklärung oder die AGBs handhaben. Kurz gesagt, Bereiche sind Duplikate der Instanz „Website“, die miteinander verbunden sind und die Sie nach Belieben erstellen können.

Wie werden Mitglieder/Rollen definiert?

Auf der Kontoebene können Sie Mitglieder hinzufügen, die dann mit einer bestimmten Rolle (z. B. „Verantwortlicher“, „Auftragsverarbeiter“ usw.) oder in einem bestimmten Bereich verknüpft werden können.

Bei der Zuordnung können Sie wählen, welche Rolle das Mitglied innerhalb der folgenden Optionen hat:

• Verantwortlicher: bezeichnet jede natürliche oder juristische Person, die an der Bestimmung des Zwecks und der Art und Weise der Datenverarbeitung personenbezogener Daten beteiligt ist.
• Mitglieder der Organisation der/des Verantwortlichen: siehe Liste der unten aufgeführten Beispiele
• Auftragsverarbeiter: bezeichnet jede natürliche oder juristische Person, die an der Datenverarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beteiligt ist.
• Betroffener (manchmal auch Nutzer genannt): bezeichnet eine Person, deren personenbezogene Daten von einem Verantwortlichen oder einem Auftragsverarbeiter erfasst werden.

Zum Beispiel kann ein Unternehmen über seine Website Nutzerdaten sammeln und diese über einen Cloud-Dienst eines Dritten speichern. In diesem Szenario ist das Unternehmen online der Datenverantwortliche und die Organisation, die den Cloud-Dienst betreibt, ist der Auftragsverarbeiter.

Sie können es sich im Grunde wie ein Adressbuch vorstellen. Alle aktuellen Nutzer sind gleichzeitig auch Mitglieder.

Bitte beachten Sie: Die Voreinstellungen, die Sie im Bereich Mitglieder vornehmen, werden anschließend standardmäßig auf jeden Dienst angewendet.

Die folgenden Mitglieder sind automatisch verfügbar:

• Mitarbeiter
• Nutzer
• EU Nutzer
• Marketing-Abteilung
• Personalabteilung
• Finanzabteilung
• Kundenbetreuung
• Sales-Abteilung
• R&D-Abteilung
• Entwicklungsabteilung
• Produkt-Abteilung
• Rechtsabteilung
• PR-Abteilung
• Intelligence-Abteilung

Wie können Dienste mit den neuen Feldern entsprechend konfiguriert werden?

Ihre Datenschutzerklärung muss an die Datenerfassungspraktiken Ihrer Website oder App angepasst werden. Dies erreichen Sie, indem Sie einen Dienst hinzufügen.

Dienste fallen im Allgemeinen in zwei Kategorien:

• Dienste im Zusammenhang mit Ihren eigenen Datenerfassungsaktivitäten (z. B. Kontaktformulare)
• Dienste im Zusammenhang mit Datenerfassungsaktivitäten Dritter (z. B. Google Analytics)

Bei der Überlegung, welche grundlegenden Dienste Sie in Ihr Dokument aufnehmen sollten, kann es hilfreich sein, sich die folgenden Fragen zu stellen:

• Welche Nutzerdaten werden erfasst und wie werden diese erfasst?
  (z. B. Newsletter-Formulare, Kontaktformulare, Kommentarsysteme)
• Welche Dienste von Dritten werden auf der Website/App verwendet? Höchstwahrscheinlich verarbeiten auch diese Dienste in gewisser Weise Nutzerdaten und müssen daher in Ihr Dokument aufgenommen werden.

Im folgenden Abschnitt gehen wir die neuen Felder durch, die wir zur Erleichterung Ihrer internen Datenschutzverwaltung veröffentlicht haben (Sie finden diese Felder im benutzerdefinierten Fenster, das angezeigt wird, wenn Sie einen Dienst hinzufügen). Dies geschieht Schritt für Schritt, um Sie bei der Auswahl der richtigen Option für Ihre persönliche Situation zu unterstützen.

Label und Beschreibung

Diese 2 Felder dienen lediglich dazu, dass Sie den jeweiligen Dienst beschreiben können. Ein Beispiel für eine Bezeichnung könnte „DE-Rechenzentrum“ sein und die entsprechende Beschreibung könnte „Frankfurter Rechenzentrum“ lauten.

Region

Dies ist ein Feld, das nur für einige Dienste gilt, bei denen Sie angeben können, ob Sie Daten in der EU speichern. Ein gutes Beispiel hierfür ist „Amazon Web Services“ (oft als „AWS“ abgekürzt).

Benutzerdefinierte personenbezogene Daten

Ein Feld, über das nur einige Dienste verfügen und das es Ihnen ermöglicht, die Art der personenbezogenen Daten anzugeben, die über diesen Dienst erfasst werden.

Rechtliche Grundlage für die Datenverarbeitung

Nach der DSGVO dürfen Daten nur verarbeitet werden, wenn es mindestens eine rechtmäßige Grundlage dafür gibt.

Die rechtmäßigen Grundlagen sind:

• Der Nutzer hat seine Einwilligung für einen oder mehrere bestimmte Zwecke gegeben.
• Die Datenverarbeitung ist für die Erfüllung eines Vertrages, an dem der Nutzer beteiligt ist, erforderlich oder notwendig, um (vom Nutzer gewünschte) Schritte vor Abschluss des Vertrages zu unternehmen.
• Die Datenverarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, zu der der Datenverantwortliche verpflichtet ist.
• Die Datenverarbeitung ist zum Schutz der grundlegenden Interessen des Nutzers oder einer anderen Person erforderlich.
• Die Datenverarbeitung ist für die Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse oder im Rahmen einer dem Datenverantwortlichen erteilten behördlichen Befugnis ausgeführt wird.
• Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen, Rechte und Freiheiten des Nutzers überwiegen, insbesondere wenn der Nutzer ein Kind ist.

In unserem Tool können Sie aus den folgenden Optionen wählen:

• Einwilligung: Einwilligung bedeutet, dem Einzelnen eine wirkliche Wahl und Kontrolle zu geben. Eine echte Einwilligung sollte den Einzelnen in die Verantwortung nehmen, Vertrauen und Engagement aufbauen und Ihren Ruf verbessern. Dies bezieht sich auf alle Tracking-Tools, die Cookie-basiert sind und für die Sie die Einwilligung über den Cookie-Banner einholen.
• Vertrag: Alles, was Sie zur Erbringung der Dienstleistung (Hosting usw.) tun müssen. Sie können sich auf diese Rechtsgrundlage berufen, wenn Sie die personenbezogenen Daten von jemandem verarbeiten müssen:
  • um Ihre vertraglichen Verpflichtungen gegenüber diesen zu erfüllen; oder
  • weil man Sie vor Abschluss eines Vertrages um etwas gebeten hat (z. B. um ein Angebot).
• Gesetzliche Verpflichtung: Sie können sich auf diese Rechtsgrundlage berufen, wenn Sie die personenbezogenen Daten verarbeiten müssen, um einer allgemeinen gesetzlichen oder rechtlichen Verpflichtung nachzukommen. Dies bezieht sich zum Beispiel auf die Rechnungsstellung.
• Lebenswichtiges Interesse: Sie können sich wahrscheinlich auf die sogenannten lebenswichtigen Interessen als Rechtsgrundlage berufen, wenn Sie die personenbezogenen Daten verarbeiten müssen, um das Leben von jemandem zu schützen. Diese Verarbeitung muss notwendig sein. Wenn Sie die lebenswichtigen Interessen der Person vernünftigerweise auf eine andere, weniger einschneidende Weise schützen könnten, wird diese Grundlage nicht auf Ihren Fall zutreffen.
• Öffentliche Aufgabe: Dies ist vor allem für Behörden relevant, kann aber für jede Organisation gelten, die öffentliche Gewalt ausübt oder Aufgaben im allgemeinen öffentlichen Interesse wahrnimmt.
• Berechtigtes Interesse: Das berechtigte Interesse ist sicherlich die flexibelste Rechtsgrundlage für die Datenverarbeitung; Sie können jedoch nicht davon ausgehen, dass sie in Ihrem Fall immer die geeignetste ist. Sie ist wahrscheinlich am angemessensten, wenn Sie die Daten von Personen auf eine Art und Weise verwenden, die diese vernünftigerweise erwarten würden und die eine minimale Auswirkung auf die Privatsphäre hat, bzw. wenn es eine zwingende Rechtfertigung für die Datenverarbeitung gibt.
• besondere Kategorien personenbezogener Daten: Daten der besonderen Kategorie sind personenbezogene Daten, die nach der DSGVO sensibler sind und daher mehr Schutz benötigen. Dazu gehören zum Beispiel Informationen über die ethnische Herkunft, Religion oder Gesundheit einer Person.
• Daten über Straftaten: Um personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten zu verarbeiten, müssen Sie sowohl eine Rechtsgrundlage nach Artikel 6 als auch entweder eine gesetzliche Befugnis oder eine behördliche Genehmigung für die Datenverarbeitung nach Artikel 10 vorweisen können.

Rechtsgrundlage für die Datenübertragung außerhalb der EU

Dies gilt nur, wenn Sie Daten außerhalb der EU übertragen, weshalb Sie bitte entsprechend eine Auswahl treffen.

Sie können zwischen den folgenden Optionen wählen:

• Keine Übermittlung von Daten: selbsterklärend.
• Angemessenheitsbeschlüsse: Ein von der Europäischen Kommission auf der Grundlage der Richtlinie 95/46/EG erlassener Beschluss, der festlegt, dass ein Nicht-EU-Land aufgrund seiner innerstaatlichen Rechtsvorschriften oder den von dort eingegangenen internationalen Verpflichtungen ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet.
• Verbindliche interne Datenschutzvorschriften: Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) sollen es multinationalen Unternehmen ermöglichen, personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) an ihre außerhalb des EWR ansässigen Tochtergesellschaften zu übermitteln, und zwar in Übereinstimmung mit dem achten Datenschutzprinzip und Artikel 25 der Richtlinie 95/46/EG. Das Verfahren soll vermeiden, dass Sie sich an jede einzelne Datenschutzbehörde separat wenden müssen. Weitere Informationen finden Sie unter Artikel 47.
• Angemessene Garantien: Liegt keine Entscheidung nach Artikel 45 Absatz 3 vor, darf ein für die Datenverarbeitung Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermitteln, wenn der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen zur Verfügung stehen. Weitere Informationen finden Sie unter Artikel 46.
• Einwilligung: Einwilligung bedeutet, dem Einzelnen eine wirkliche Wahl und Kontrolle zu geben. Eine echte Einwilligung sollte dem Einzelnen Verantwortung geben, Vertrauen und Engagement aufbauen sowie Ihren Ruf verbessern. Dies bezieht sich auf alle Tracking-Tools, die Cookie-basiert sind und für die Sie die Einwilligung über den Cookie-Banner einholen.
• Von der EU Kommission erlassene Standarddatenschutzklauseln: Die Europäische Kommission kann entscheiden, dass Standardvertragsklauseln ausreichende Datenschutzgarantien für die international zu übertragenden Daten bieten. Die Kommission hat bisher zwei Standardvertragsklauseln für Datenübertragungen von für die Datenverarbeitung Verantwortlichen in der EU an für die Datenverarbeitung Verantwortliche mit Sitz außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) erlassen. Dies sind die Entscheidung 2001/497/EG und die Entscheidung 2004/915/EG.
• Öffentliches Interesse: Dies ist vor allem für Behörden relevant, kann aber für jede Organisation gelten, die öffentliche Gewalt ausübt oder Aufgaben im allgemeinen öffentlichen Interesse wahrnimmt.
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
• Lebenswichtiges Interesse: Sie können sich wahrscheinlich auf die sogenannten lebenswichtigen Interessen als Rechtsgrundlage berufen, wenn Sie die personenbezogenen Daten verarbeiten müssen, um das Leben von jemandem zu schützen. Diese Datenverarbeitung muss notwendig sein. Wenn Sie die lebenswichtigen Interessen der Person vernünftigerweise auf eine andere, weniger einschneidende Weise schützen können, wird diese Grundlage nicht auf Ihren Fall zutreffen.

Bezeichnungen, die sich auf die Datenverarbeitung personenbezogener Daten beziehen

Verantwortlicher
Bezeichnet jede natürliche oder juristische Person, die an der Bestimmung des Zwecks und der Art und Weise der Datenverarbeitung der personenbezogenen Daten beteiligt ist.

Auftragsverarbeiter
Bezeichnet jede natürliche oder juristische Person, die an der Datenverarbeitung im Auftrag des für die Verarbeitung Verantwortlichen beteiligt ist.

Mitglieder der Organisation der/des Verantwortlichen
Ein gängiges Beispiel hierfür sind die Mitarbeiter des jeweiligen Unternehmens/Organisation.

Betroffene
Können zum Beispiel die Nutzer der gegebenen Website oder App, Besucher eines physischen Geschäfts oder zahlende Kunden sein.

Verfügbare Rechte

Unter normalen Umständen müssen bei Sachverhalten, die „Einwilligung“ als Rechtsgrundlage für die Datenverarbeitung haben, alle Rechte ausgewählt werden. Unsere Lösung bietet Ihnen die folgenden Optionen:

• Information: Einzelpersonen haben das Recht, über die Erhebung und Verwendung ihrer personenbezogenen Daten informiert zu werden. Dies ist eine wichtige Transparenzanforderung gemäß der DSGVO.
• Zugang: Einzelpersonen haben das Recht, auf ihre personenbezogenen Daten und ergänzende Informationen zuzugreifen. Das Auskunftsrecht ermöglicht es dem Einzelnen, sich über die Rechtmäßigkeit der Datenverarbeitung zu informieren und diese zu überprüfen.
• Berichtigung: Die DSGVO umfasst ein Recht für Einzelpersonen, unrichtige personenbezogene Daten berichtigen oder vervollständigen zu lassen, wenn diese unvollständig sind. Eine Person kann einen Antrag auf Berichtigung mündlich oder schriftlich stellen.
• Löschung: Die DSGVO enthält auch ein Recht auf die Löschung personenbezogener Daten (auch „Recht auf Vergessenwerden“ genannt). Einzelpersonen können einen Antrag auf Löschung mündlich oder schriftlich stellen.
• Einschränkung der Verarbeitung: Einzelpersonen haben das Recht, die Einschränkung oder Löschung ihrer personenbezogenen Daten zu verlangen. Dies ist jedoch kein absolutes Recht und gilt nur unter bestimmten Umständen.
• Datenübertragbarkeit: Das Recht auf Datenübertragbarkeit ermöglicht es Einzelpersonen, ihre personenbezogenen Daten für ihre eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden. Es erlaubt ihnen, personenbezogene Daten einfach und sicher von einer IT-Umgebung in eine andere zu verschieben, zu kopieren oder zu übertragen, ohne dass die Nutzbarkeit beeinträchtigt wird.
• Einspruch: Einzelpersonen haben das Recht, Einspruch zu erheben gegen:
  • Verarbeitung auf der Grundlage berechtigter Interessen oder der Wahrnehmung einer Aufgabe im öffentlichen Interesse/Ausübung öffentlicher Gewalt (einschließlich Profiling);
  • Direktmarketing (einschließlich Profiling); und
  • Verarbeitung zu Zwecken der wissenschaftlichen/historischen Forschung und Statistik.

Datenaufbewahrungs-Richtlinien

Dieses Feld bezieht sich darauf, wie lange die Daten gespeichert werden. Die Standardoption ist „Daten werden bis zur Erreichung der Zwecke, für die sie erhoben wurden, gespeichert“ und sollte für die meisten Fälle gelten. Ansonsten können Sie aus einem Zeitraum von 1 bis 5 Jahren wählen.

Sicherheitsmaßnahmen

Gängige Beispiele sind hier die verwendete Verschlüsselungsmethode oder Schwachstellenanalysen/Penetration-Tests, was bedeutet, dass Ihre elektronischen Systeme in regelmäßigen Abständen getestet werden sollten, um die Sicherheit und Widerstandsfähigkeit Ihrer Systeme zu bewerten.

Eine weitere wichtige Maßnahme ist die sogenannte „Sicherung und Aufbewahrung von Backup-Medien“. Das bedeutet, dass es ratsam ist, die Backup-Medien an einem speziellen Ort aufzubewahren, der nur für das zuständige Personal zugänglich ist. Die Sicherheit des Ortes sollte dabei mindestens jährlich überprüft werden.

Außerdem ist es empfehlenswert, eine Firewall zu installieren und zu betreiben. Es ist ratsam, die aktuellen Konfigurationen zu überprüfen, die Berechtigungen für Systemnutzer zu verwalten, sowie die Aktualität des Systems zu überprüfen und schließlich mit der Installation auf mobilen Geräten fortzufahren. Eine bestehende Firewall ist jedoch offensichtlich nichts Neues in Bezug auf die DSGVO und sollte als eine Mindestsicherheitsmaßnahme betrachtet werden, die bereits von den aktuellen Standards vorgesehen ist.

Im Tool können Sie zwischen den folgenden Optionen wählen:

• Verschlüsselung: Verschlüsselung ist ein weit verbreiteter Prozess, bei dem Daten mit Hilfe von Verschlüsselungsalgorithmen und einem Verschlüsselungscode in eine verschlüsselte und unverständliche Version umgewandelt werden. Mit einem Entschlüsselungscode oder -schlüssel können andere die Daten wieder entschlüsseln.
• Anonymisierung: Erwägungsgrund 26 der DSGVO definiert anonymisierte Daten als „Daten, die in einer Weise anonymisiert werden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist“.
• Pseudonymisierung: Pseudonymisierung ist die Trennung der Daten von direkten Identifikatoren, so dass eine Verknüpfung mit einer Identität nicht ohne zusätzliche, separat gehaltene Informationen möglich ist. Dadurch können die mit der Datenverarbeitung verbundenen Risiken reduziert werden, während gleichzeitig der Nutzen der Daten erhalten bleibt.
• Wirtschaftsprüfung: Regelmäßige Datenüberprüfungen sowie Überprüfungen und Datenmanagementübungen sind laufende Anforderungen, um die Einhaltung der DSGVO zu gewährleisten.
• Zugriffsbeschränkung: Dies bezieht sich auf den eingeschränkten Zugriff auf alle personenbezogenen Daten, die von jeder Person in der Europäischen Union erhoben oder gespeichert werden.

Welche Bedeutung hat der Button „Hinzufügen von Alternativen“?

Um die Datenverarbeitung gemäß der DSGVO umfassend zu beschreiben, müssen Sie bei der Beschreibung Ihrer Datenerhebungspraktiken sehr präzise sein. Ein häufiges Szenario ist das einer Website mit mehreren Kontaktformularen, wobei jedes Formular an verschiedene Personen gerichtet ist oder die Daten an verschiedene Parteien weitergegeben werden. Ein anderes Beispiel ist, dass Sie zwei verschiedene Newsletter für unterschiedliche Nutzergruppen oder Kunden haben.

Unser Verzeichnis von Datenverarbeitungstätigkeiten ermöglicht es Ihnen daher, verschiedene Versionen desselben Dienstes hinzuzufügen.

Praktische Beispiele

Lassen Sie uns nun eine Reihe konkreter Beispiele durchspielen, um die oben genannten Informationen praktischer zu erläutern, einschließlich unserer „alternativen Optionen“: