„Alle Verarbeitungen von personenbezogenen Daten, die in einem Unternehmen vorkommen, sind in einem Verzeichnis vorzuhalten, dem sogenannten Verzeichnis der Verarbeitungstätigkeiten.“
Was heißt das nun konkret?
Sobald das Unternehmen Auftragsdatenverarbeitungen durchführt, ist nicht nur das Verfahren selbst zu dokumentieren, sondern auch der Verantwortliche (juristische Person), in dessen Auftrag die Verarbeitung stattfindet.
In der Regel haben Unternehmen Ihre Datenschutzteams seit dem Inkrafttreten der neuen DSGVO aufgebaut und führen bereits ein aktuelles Verzeichnis der Verarbeitungstätigkeiten, da dies vom Gesetzgeber gefordert wird. Es wird allerdings nicht vorgegeben welche Form das Verzeichnis haben muss – weder die inhaltliche Form noch ob es elektronisch oder in Papierform sein soll.
Das Verzeichnis der Verarbeitungstätigkeiten muss folgende Kriterien erfüllen:
- Alle Speicherorte von personenbezogenen Daten, d.h. IT-Systeme, Papierarchive, Videodaten, etc. sind zum aktuellen Zeitpunkt bekannt.
- Der Zweck der Verarbeitung ist bekannt.
- Alle Arten der Weiterleitung von personenbezogenen Daten innerhalb als auch außerhalb des Unternehmens zwischen Systemen und Empfängern sind bekannt
- Für alle Verarbeitungen von personenbezogenen Daten ist die Rechtsgrundlage bekannt und es wurde eine Interessenabwägung durchgeführt.
- Alle personenbezogenen Daten wurden in Kategorien eingeteilt und entsprechend in der organisatorischen Struktur zugeordnet.
- Zu jeder Verarbeitung wurde eine Risikoanalyse durchgeführt.
- Zu jeder Verarbeitung deren Risikoanalyse es notwendig gemacht wurde im Nachgang eine „ausführlichere Risikoanalyse“, die Datenschutzfolgeabschätzung, durchgeführt.
Um alle diese Kriterien zu erfüllen, stellt es für Unternehmen einen enormen zeitlichen als auch kostentechnischen Aufwand dar, bis ein hohes Maß an Rechtssicherheit gewährleistet ist.
Mit der Integration von loggg, können die o.g. Kriterien in loggg abgebildet werden. Es sorgt für eine lückenlose, einfache Dokumentation bezüglich der Änderungen durch die Entscheidungsträger und die entsprechend operativ Verantwortlichen.