Verarbeitungsverzeichnis

Veröffentlicht 27. januar 2022
#Protokoll #Zweck #Artikel 30
This post thumbnail

Alle Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, ein Verarbeitungsverzeichnis über alle Verarbeitungen zu führen. Dies ist in Artikel 30 der Datenschutzgrundverordnung (DSGVO) beschrieben.

Was ist eine Verarbeitung?

Jede Form der Speicherung und Verwendung personenbezogener Daten ist eine Verarbeitung. Und wenn Sie eine personenbezogene Daten für verschiedene Zwecke verwenden, sind dies unterschiedliche Verarbeitungen. Zweck und Rechtmäßigkeit der Verarbeitung sind in der DSGVO sehr zentral. Hier ist ein kleines Beispiel für unterschiedliche Verarbeitungen der gleichen Daten:

Behandlungsgrundlage des Unternehmens bei der Verarbeitung von personenbezogenen Daten

  • Das Unternehmen empfängt und speichert Daten über den Kunden beim Kauf. Ein Kauf ist eine Vereinbarung zwischen dem Unternehmen und dem Kunden, daher ist die Rechtsgrundlage für die Speicherung dieser Daten, dass es "notwendig ist, um einen Vertrag zu erfüllen, an dem die betroffene Person beteiligt ist".
  • Das Unternehmen möchte auch Informationen darüber nutzen, wo der Kunde wohnt, um verschiedene Produkte zu bewerben, die nur für Kunden in bestimmten Teilen des Landes verfügbar sind. Die Rechtsgrundlage hierfür kann Einwilligung oder das berechtigte Interesse des Unternehmens sein.
  • Das Unternehmen möchte Analysen über seinen Verkauf erstellen und verwendet unter anderem die Adresse der Kunden, um zu sehen, wie viel an verschiedenen Orten im Land verkauft wird. Die Rechtsgrundlage hierfür ist das berechtigte Interesse des Unternehmens.
  • Das Unternehmen möchte eine Website erstellen, die sich an den Kunden anpasst, und verwendet unter anderem die Adresse des Kunden, um den Inhalt der Website anzupassen. Die Rechtsgrundlage hierfür ist das berechtigte Interesse des Unternehmens.

Im obigen Beispiel führt das Unternehmen verschiedene Behandlungen für verschiedene Zwecke durch. Jeder Zweck ist eine separate Behandlung und muss daher im Behandlungsprotokoll dokumentiert werden. In diesem Fall ist die Kundenadresse an allen Behandlungen beteiligt. Es reicht also nicht aus, nur die Behandlung zu dokumentieren, die die Daten speichert, sondern alle Behandlungen, die die Daten verwenden, müssen ebenfalls dokumentiert werden.

Wie wird dies in der Praxis umgesetzt?

Das Allereinfachste, wenn Sie nicht sehr viele Behandlungen haben, ist die Verwendung der Vorlage des Datenschutzamtes für die Behandlungsübersicht. Ein Tipp ist, die Behandlungsübersicht online in Office 365, Google Docs oder ähnlichem zu erstellen und allen Mitarbeitern Lesezugriff zu gewähren. Nur Mitarbeiter, die die Behandlungsübersicht ändern müssen, sollten Schreibzugriff haben. Allen Mitarbeitern Lesezugriff zu geben, ist gut für das Bewusstsein und die Schulung in der Datenschutzarbeit, und es führt oft dazu, dass Mitarbeiter Fehler und Mängel entdecken und melden. Vergessen Sie nicht, regelmäßige Meetings einzurichten, bei denen überprüft wird, ob die Behandlungsübersicht auf dem neuesten Stand ist.

© 2023 GDPRControl. Von Anders Svensson und Jan Ove Skogheim.