Was ist das Verzeichnis von Verarbeitungstätigkeiten?
Eine der wichtigsten Aufgaben gemäß der DSGVO ist die Erstellung eines "Verzeichnisses von Verarbeitungstätigkeiten" (VVT), das im Allgemeinen als "Verarbeitungsverzeichnis" bezeichnet wird und im Artikel 30 festgelegt ist.
Das Verzeichnis von Verarbeitungstätigkeiten enthält eine Auflistung aller Datenverarbeitungen, die personenbezogene Daten betreffen, und dient in erster Linie der Dokumentation und Transparenz innerhalb des Unternehmens. Nur wer genau weiß, welche Verarbeitungen vorgenommen werden, kann auf Anfragen von Betroffenen schnell und präzise reagieren.
Dass Verzeichnis von Verarbeitungstätigkeiten muss auf Anfrage auch der Aufsichtsbehörde vorgelegt werden. Dabei wird vorausgesetzt, dass es bereits seit geraumer Zeit besteht und kontinuierlich gepflegt wird. Eine lange Frist für die Vorlage des Verzeichnisses sollte man von der Behörde jedoch nicht erwarten.
Die Datenschutzgrundverordnung verpflichtet Unternehmen nach Art. 30 EU-DSGVO dazu, schriftliche Dokumentationen und Übersichten über Prozesse zu führen, in denen personenbezogene Daten verwendet werden.
In dem Verzeichnis von Verarbeitungstätigkeiten (VVT) sollen die wesentlichen Angaben zur Datenverarbeitung aufgeführt werden.
Das VVT ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG).
Welche Unternehmen sind zur Führung eines VVT verpflichtet?
Jeder, der für Datenverarbeitungen verantwortlich ist oder als Auftragsverarbeiter tätig ist, benötigt das Verzeichnis von Verarbeitungstätigkeiten. Die DSGVO gilt ausschließlich für personenbezogene Daten und verlangt dementsprechend, dass sämtliche Verarbeitungen der Daten auch dokumentiert werden müssen.
Ob es sich um die Erfassung, Speicherung oder Nutzung von Angestellten-Daten in einem Unternehmen handelt oder um die Verarbeitung von Kundeninformationen in einer Kundenkartei - all diese Vorgänge fallen unter den Begriff der Datenverarbeitung. Auch Webseitenbetreiber fallen in diese Kategorie, sofern sie IP-Adressen der Webseiten-Besucher erfassen oder E-Mail-Adressen oder andere personenbezogene Daten über ein Kontaktformular sammeln.
Zusammenfassend ergibt sich aus allen dokumentierten Datenverarbeitungen das Verarbeitungsverzeichnis.
Die Einhaltung der DSGVO-Pflichten betrifft alle Verantwortlichen und Auftragsverarbeiter, die ihren Sitz oder eine Niederlassung in Europa haben. Ebenso gilt dies für jene, die Daten verarbeiten, die der DSGVO unterliegen. Sollte der Verantwortliche oder Auftragsverarbeiter außerhalb der EU ansässig sein, so muss er einen Vertreter innerhalb Europas benennen, der für die Einhaltung der DSGVO-Pflichten verantwortlich ist – einschließlich der Verpflichtung zur Erstellung und Führung des Verarbeitungsverzeichnisses.
Welche Unternehmen müssen kein Verzeichnis von Verarbeitungstätigkeiten führen?
In Artikel 30, Absatz 5 der Datenschutzgrundverordnung (DSGVO) sind Ausnahmen definiert, die Unternehmen von der Verpflichtung befreien, ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
Doch Vorsicht ist geboten, denn wer sich freut, dass die Regelung für Unternehmen mit weniger als 250 Mitarbeitern gilt, sollte genau hinsehen.
Denn diese Ausnahme greift nur dann, wenn die Verarbeitung nur gelegentlich stattfindet und keine sensiblen Daten gemäß Artikel 9, Absatz 1 der DSGVO verarbeitet werden - beispielsweise Gesundheitsdaten.
Es lohnt sich also, auch als kleines Unternehmen die Datenschutzregelungen genau zu prüfen und entsprechende Maßnahmen zu ergreifen.
Doch welche Bedeutung steckt hinter dem Wort "gelegentlich" im Kontext der Datenverarbeitung? In der heutigen Welt ist die Verarbeitung von Daten längst zur Regel geworden und nicht mehr nur eine gelegentliche Angelegenheit. Selbst Handwerker betreiben Webseiten und verwalten Kundentelefonnummern auf ihren Smartphones. Kleine Produktionsbetriebe führen Mitarbeiterdaten in elektronischen Akten und erledigen ihre Geschäfte per E-Mail.
All diese Prozesse sind mehr als bloße Gelegenheitsanwendungen und erfordern regelmäßig die Erstellung von Verfahrensverzeichnissen (VVT), selbst in kleinen Unternehmen.
Wenn man mit höchst vertraulichen Daten arbeitet, wie zum Beispiel ein Hausarzt, der Gesundheitsdaten aufbewahrt, oder eine kleine Beratungsstelle, die beispielsweise bei Diskriminierungsfällen unterstützt, können schnell auch Daten bezüglich ethnischer Herkunft oder weltanschaulicher Überzeugungen verarbeitet werden.
Für den Fall, dass besondere Datenkategorien verarbeitet werden, ist es unumgänglich, ein Verarbeitungsverzeichnis anzulegen - unabhängig davon, wie häufig die Verarbeitung stattfindet oder wie viele Mitarbeiter involviert sind.
Gesetzliche Grundlagen
Sobald eine Verarbeitung der Daten stattfindet, ist man gesetzlich dazu verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Laut der DSGVO findet eine Verarbeitung statt, sobald personenbezogene Daten manuell oder automatisch verarbeitet werden. Im Gesetz werden die Tätigkeiten sehr umfassend aufgezählt:
[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung,
das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.
Was ist das Verzeichnis von Verarbeitungstätigkeiten und was muss im VVT stehen?
Die genauen Inhalte des Verzeichnisses von Verarbeitungstätigkeiten sind in Art. 30 DSGVO niedergeschrieben. Die dort festgehaltenen Inhalte ähneln im Wesentlichen dem bisherigen Verfahrensverzeichnis nach § 4g Abs. 2, 4e BDSG.
Ähnlich wie beim Verfahrensverzeichnis müssen auch im Verzeichnis von Verarbeitungstätigkeiten alle wesentlichen Angaben zur Verarbeitung, wie die Datenkategorien, der Zweck der Verarbeitung, die Datenempfänger oder die betroffenen Personen enthalten sein. Wer die Führung des Verzeichnisses von Verarbeitungstätigkeiten übernimmt, und wie detailliert es sein muss, sollte sich an der Unternehmensgröße, dem Aufbau und der Komplexität orientieren.
Um den ganzen Prozess etwas zu vereinfachen, ist es durchaus erlaubt, verschiedene Verarbeitungen gebündelt in einem Eintrag zu führen.
Das Verzeichnis von Verarbeitungstätigkeiten sollte sowohl mit der Arbeitsweise und den Anforderungen des Datenschutzbeauftragten übereinstimmen als auch den Anforderungen der Rechenschaftspflicht nach Art. 5 Abs 2. DSGVO genügen. Die folgenden Inhalte gehören zwingend in das Verzeichnis:
- die Kontaktdaten des/r Verantwortlichen,
- Beschreibung der betroffenen Personen,
- die Kontaktinformationen des Datenschutzbeauftragten,
- die beabsichtigte Übermittlung von personenbezogenen Daten in ein Drittland,
- Kategorien von Empfängern,
- der Zweck der Verarbeitung,
- Beschreibung der Kategorien der personenbezogenen Daten, die verarbeitet werden,
- Löschfristen der verschiedenen Datenkategorien,
- Kategorien vom Empfänger,
- Rechtsgrundlage der Verarbeitung nach Art. 6 DSGVO
- Soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO
Was versteht man unter Verarbeitungstätigkeiten?
Die Verarbeitungstätigkeit geht in der Praxis über die reine Datenverarbeitung hinaus und umfasst alle Datenverarbeitungen mit einem bestimmten Zweck. Selbst in einer kleinen Organisationseinheit kann beispielsweise die Personalabteilung als eine Verarbeitungstätigkeit betrachtet werden.
In größeren Unternehmen bezieht sich die Verarbeitungstätigkeit in der Regel auf spezifische Prozesse, die wiederum aus mehreren Datenverarbeitungen bestehen können.
Wer ist für die Erstellung des Verarbeitungsverzeichnis im Unternehmen verantwortlich?
Der Verantwortliche trägt die persönliche Verantwortung für das Führen und Erstellen des Verarbeitungsverzeichnisses. Dies ist in der Praxis der Inhaber oder gesetzliche Vertreter eines Unternehmens. Falls das Unternehmen außerhalb der EU ansässig ist, ist der in der EU benannte Vertreter dafür zuständig.
Der Datenschutzbeauftragte oder externe Datenschutzbeauftragte des Unternehmens steht in allen datenschutzrelevanten Fragen mit Rat und Tat zur Seite. Die Geschäftsleitung, also der Geschäftsführer oder Inhaber, ist jedoch für das Verzeichnis von Verarbeitungstätigkeiten verantwortlich.
Insbesondere die Fachabteilungen müssen die Inhalte des Verzeichnisses, also welche Daten in welcher Abteilung verarbeitet werden, zur Verfügung stellen.
Außerhalb der Abteilungen fehlt oft das Detailwissen darüber, wie die Verarbeitung von Daten in bestimmten Bereichen durchgeführt wird. Daher ist das Verzeichnis von Verarbeitungstätigkeiten eine gemeinsame Aufgabe für das gesamte Unternehmen.
Was passiert, wenn ich kein VVT habe oder es unvollständig ist?
Sollte eine Aufsichtsbehörde nach einem Verarbeitungsverzeichnis, bzw. Verzeichnis von Verarbeitungstätigkeiten fragen und dieses nicht vorgelegt werden, kann dies schwerwiegende Konsequenzen haben. Gemäß Art. 83 Abs. 4 a DSGVO droht in diesem Fall ein Bußgeld.
Die Höhe der möglichen Sanktionen orientiert sich am Rahmen der DSGVO und kann bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes betragen.
Ein aktuelles Beispiel hierfür liefert die italienische Datenschutzaufsicht, die im September 2021 ein Bußgeld in Höhe von 800.000 Euro verhängte. Grund hierfür waren chaotische Datenflüsse bei den Betreiberunternehmen von Parkuhren, die zudem kein Verzeichnis von Verarbeitungstätigkeiten vorlegen konnten.
Ein solches Verhalten kann nicht nur finanzielle Strafen nach sich ziehen, sondern auch das Vertrauen von Kunden und Geschäftspartnern nachhaltig schädigen.
Wie starte ich mit der Erstellung eines VVT?
Laut Artikel 30 der Datenschutz-Grundverordnung ist es die Pflicht jedes Verantwortlichen, schriftliche Dokumentationen und Überblicke über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden.
Der Begriff "Verarbeitung" umfasst eine Vielzahl von Tätigkeiten, wie zum Beispiel das Sammeln, Speichern, Entfernen, Ändern, Verbinden, Abrufen oder Vergleichen von Daten. All diese Vorgänge werden in einem Verzeichnis erfasst.
Bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten erfasst man im ersten Schritt alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Bei folgenden Prozessen werden in der Regel in einem Unternehmen personenbezogene Daten verarbeitet, die Liste ist nicht vollständig:
- Elektronischer Zahlungsverkehr,
- Finanzbuchhaltung,
- Reisekostenabrechnung,
- E-Mail Kommunikation,
- Kalender- und Terminverwaltung,
- Verwendung von Bürosoftware (Microsoft Office, Open Office usw.),
- Verwendung von Cloud Diensten zur Speicherung (z.B. Dropbox, Google Drive, Microsoft Azure),
- Customer Relationship Management,
- Kontaktanfragen über Webformulare,
- Webtracking,
- Telefonanlage.
Das Verzeichnis der Verarbeitungstätigkeiten bietet eine umfassende Übersicht über die verschiedenen Verarbeitungsvorgänge innerhalb des Unternehmens. Es stellt darüber hinaus ein unverzichtbares Instrument dar, um sich schnell und einfach einen Einblick in die betrieblichen Abläufe zu verschaffen und zu evaluieren, ob diese dem aktuellen Stand der Technik entsprechen.
Die Identifikation von Strukturen ermöglicht es zudem, gezielt Bereiche zu identifizieren, die einer Überarbeitung bedürfen.
Neben der Beschreibung der Verarbeitungstätigkeit müssen u.A. Angaben zur verantwortlichen Person, gegebenenfalls den Datenschutzbeauftragten, Datum der Einführung der Verarbeitung sowie deren Rechtsgrundlage.
Finden Sie hier eine Mustervorlage für Ihr Verzeichnis der Verarbeitungstätigkeiten zum Download:
Form und Sprache für das Verzeichnis der Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist schriftlich zu führen, wobei auch eine elektronische Variante wie eine Excel-Tabelle zulässig ist (Art. 30 Abs. 3 DSGVO). Betroffene Personen haben kein Recht auf Einsicht in das VVT und es muss auch nicht öffentlich zugänglich sein. Allerdings muss der Aufsichtsbehörde das VVT auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO).
Dabei kann die Behörde zwischen einer elektronischen oder gedruckten Version wählen. Die DSGVO legt keinen bestimmten Detaillierungsgrad des VVT fest, aber es sollte der Aufsichtsbehörde eine erste Prüfung erleichtern.
Daher empfiehlt es sich, die Informationen geordnet nach Verarbeitungskategorien bereitzuhalten. Das VVT sollte zudem in deutscher Sprache geführt werden, da andernfalls eine Übersetzung auf Anforderung der Behörde notwendig wäre (§ 23 Abs. 1 und Abs. 2 Satz 1 VwVfG).
Beispiele für Kategorien eines Verzeichnisses von Verarbeitungstätigkeiten nach DSGVO
Der Gesetzgeber hat vorgesehen, dass personenbezogene Daten unterschiedlich geschützt werden müssen, abhängig von ihrer Schutzbedürftigkeit. Es ist daher notwendig, einige Informationen strenger zu sichern als andere. Schließlich lassen sich aus der Augenfarbe eines Menschen andere Schlüsse ziehen als aus seiner Sozialversicherungsnummer. Diese Tatsache ist durchaus nachvollziehbar.
Es gibt verschiedene Kategorien von personenbezogenen Daten, die als beispielhaft genannt werden können:
- Kunden-, Lieferantenstammdaten,
- Mitarbeiterdaten,
- Nutzerdaten,
- Kommunikationsdaten,
- Vertragsdaten,
- Kontaktdaten,
- Metadaten,
- Patientendaten,
- Biometrische Daten.
Der Zweck der Verarbeitungstätigkeit: Warum ist er so wichtig?
Bevor Sie personenbezogene Daten verarbeiten, sollten Sie den Zweck so exakt wie möglich definieren. Wenn eine angemessene rechtliche Grundlage besteht und die Datenverarbeitung den geltenden gesetzlichen Bestimmungen entspricht, gilt der Zweck als legitim.
Sie sollten berücksichtigen, dass der Zweck bestimmt, welche Daten erhoben werden und wie lange sie gespeichert werden dürfen. Es existieren Ausnahmen für die Weiterverarbeitung von Daten für Archive, wissenschaftliche oder statistische Zwecke sowie im öffentlichen Interesse.
Bevor Unternehmen Daten erheben, sollten sie sicherstellen, dass eine Zweckbeschreibung für die betroffene Person vorliegt. Eine ehrliche Vorgehensweise erleichtert die Zustimmung, Akzeptanz und Verhinderung möglicher Datenschutzverletzungen.
Sollte der Zweck für die Verwendung personenbezogener Daten unzureichend oder gar nicht beschrieben sein, so besteht die Notwendigkeit, diese Daten zu löschen. Werden die Verantwortlichen in Unternehmen nicht an die Zweckbindung gebunden, so müssen sie damit rechnen, durch hohe Bußgelder belangt zu werden.
Sollten personenbezogene Daten für andere Zwecke verarbeitet werden, als zuvor vereinbart, bedarf es gemäß Art. 6 DSGVO einer neuen Erlaubnis. Gleiches gilt für die Übermittlung der Daten an Dritte.
In diesen Fällen ist es gemäß Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO erforderlich, dass die verantwortliche Person die betroffenen Personen informiert. Wenn eine Person beispielsweise für eine Angebotserstellung bestimmte Daten bereitstellt, ist es nicht zulässig, diese für den regelmäßigen Newsletter zu verwenden.
Wann benötige man einen Auftragsverarbeitungsvertrag?
Wenn ein Unternehmen personenbezogene Daten an eine andere Firma zur Verarbeitung weitergibt, ist es erforderlich, einen Auftragsverarbeitungsvertrag abzuschließen. Dieser Vertrag regelt die Details der Datenverarbeitung zwischen dem Auftragsverarbeiter und dem Auftraggeber.
Bei der Auftragsverarbeitung handelt es sich um einen Vorgang, bei dem der externe Dienstleister im Auftrag des Auftraggebers tätig wird und als dessen „verlängerte Werkbank“ agiert.
In diesem Zusammenhang ist es die Aufgabe des Dienstleisters, personenbezogene Daten von Dritten weisungsgebunden zu verarbeiten.
Im Gegensatz dazu steht die Funktionsübertragung, bei der der Auftragsverarbeiter nicht weisungsgebunden handelt und somit frei entscheiden kann, was mit den Unternehmensdaten geschieht.
Es besteht die Möglichkeit, dass Auftragsverarbeiter unterschiedliche Aufgaben übernehmen, wie beispielsweise die Buchhaltung und Personalverwaltung. Darüber hinaus können Auftragsverarbeiter auch als Anbieter von Marketing-Tools oder Software agieren. In ihrer Funktion als Auftragsverarbeiter sind sie immer an Weisungen gebunden. Sie erheben und verarbeiten Daten von Dritten, dürfen diese jedoch keineswegs für eigene Interessen nutzen.
Die Rechtsgrundlage der Verarbeitung: Eine essentielle Grundlage für datenschutzkonforme Geschäftsprozesse
Die grundlegenden Regeln der Datenverarbeitung, welche die DSGVO prägen, sind im Art. 5 Abs. 1 festgehalten. Ein wichtiger Grundsatz ist hierbei der "Grundsatz der Rechtmäßigkeit", welcher in Art. 6 DSGVO näher ausgeführt wird.
Demnach ist eine Datenverarbeitung nur dann legal, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Zusätzlich betont EG 40, dass die Verarbeitung entweder auf Basis einer Einwilligung oder einer anderen Rechtsgrundlage erfolgen muss, um als rechtmäßig zu gelten.
Gemäß Artikel 5 Absatz 1 a der Datenschutz-Grundverordnung (DSGVO) wird durch die Umsetzung von Artikel 8 Absatz 2 Satz 1 der Europäischen Grundrechte-Charta (GRCh) sichergestellt, dass die Verarbeitung personenbezogener Daten des Betroffenen nur auf Basis seiner Einwilligung oder einer anderen gesetzlich geregelten Legitimation erfolgen darfst
Verbot mit Erlaubnisvorbehalt
Im Allgemeinen ist festgelegt, dass gemäß Artikel 6 Absatz 1 der DSGVO jede Verarbeitung von personenbezogenen Daten untersagt ist, es sei denn, sie wird ausdrücklich genehmigt. Diese Vorgehensweise wird als "Verbot mit Erlaubnisvorbehalt" bezeichnet.
Kategorien von Empfängern nach DSGVO: Wer darf Ihre Daten erhalten?
In einem Unternehmen kann eine Abteilung oder eine Zweigstelle ebenfalls als Empfänger betrachtet werden. Neben Angaben zum Empfänger müssen auch Zugriffsberechtigte in Form eindeutiger Rollenbeschreibungen aufgeführt werden. Falls keine Empfänger in Drittländern existieren, sollte dies deutlich gemacht werden. Vorhandene Empfänger müssen explizit benannt werden. Ein Empfänger kann auch ein Server in einem Drittland sein, auf dem Daten gespeichert werden, beispielsweise bei der Nutzung von Webseiten oder Cloud-Lösungen. Die Auflistung der Empfänger umfasst nicht nur die aktuellen und zukünftigen, sondern auch die ehemaligen.
Um personenbezogene Daten ordnungsgemäß zu verwalten, müssen Empfänger in spezifische Kategorien eingeteilt und benannt werden. Hier sind einige Beispiele für Empfängerkategorien:
- Steuerberater
- Banken
- Mitarbeiter
- Kunden
- Lieferanten
- Vertriebsmitarbeiter
- Webmaster / Webagentur
- Finanzamt
Eine sorgfältige Kategorisierung der Empfänger Ihrer personenbezogenen Daten ist von größter Bedeutung, um Ihre Daten sicher und geschützt zu halten.
Datenschutzkonformität herstellen: Löschfristen der einzelnen Verarbeitungstätigkeiten
Es ist erforderlich anzugeben, wie lange die einzelnen Datenkategorien gespeichert werden und wann sie gelöscht werden. Nach dem Grundsatz der Speicherbegrenzung sollten personenbezogene Daten gelöscht werden, wenn sie nicht mehr für ihre ursprünglichen Zwecke benötigt werden. Es ist auch wichtig, gesetzliche Aufbewahrungsfristen zu berücksichtigen und gegebenenfalls genau zu benennen, wenn man die Löschfristen bestimmt.
Wenn es um lohnabrechnungsrelevante Daten der Mitarbeiterin Frau Mustermann geht, darf die Mustermann Consulting GmbH diese Daten zumindest so lange speichern und verarbeiten, wie es notwendig ist, Gehalt an Frau Mustermann auszuzahlen - also solange, wie das Beschäftigungsverhältnis besteht.
Das Unternehmen kann auch gesetzlich verpflichtet sein, bestimmte Unterlagen oder personenbezogene Daten von Frau Mustermann über das Beschäftigungsverhältnis hinaus aufzubewahren, zum Beispiel weil sie steuerrechtliche Informationen enthalten, die gesetzlichen Aufbewahrungsfristen unterliegen.
Es ist wichtig, entsprechende gesetzliche Aufbewahrungspflichten zu identifizieren und diese im Verarbeitungsverzeichnis bei der Nennung der Speicherdauer zu dokumentieren.
Datenschutzkonformität herstellen: Löschfristen der einzelnen Verarbeitungstätigkeiten
Es ist erforderlich anzugeben, wie lange die einzelnen Datenkategorien gespeichert werden und wann sie gelöscht werden.
Nach dem Grundsatz der Speicherbegrenzung sollten personenbezogene Daten gelöscht werden, wenn sie nicht mehr für ihre ursprünglichen Zwecke benötigt werden. Es ist auch wichtig, gesetzliche Aufbewahrungsfristen zu berücksichtigen und gegebenenfalls genau zu benennen, wenn man die Löschfristen bestimmt.
Wenn es um lohnabrechnungsrelevante Daten der Mitarbeiterin Frau Mustermann geht, darf die Mustermann Consulting GmbH diese Daten zumindest so lange speichern und verarbeiten, wie es notwendig ist, Gehalt an Frau Mustermann auszuzahlen - also solange, wie das Beschäftigungsverhältnis besteht.
Das Unternehmen kann auch gesetzlich verpflichtet sein, bestimmte Unterlagen oder personenbezogene Daten von Frau Mustermann über das Beschäftigungsverhältnis hinaus aufzubewahren, zum Beispiel weil sie steuerrechtliche Informationen enthalten, die gesetzlichen Aufbewahrungsfristen unterliegen.
Es ist wichtig, entsprechende gesetzliche Aufbewahrungspflichten zu identifizieren und diese im Verarbeitungsverzeichnis bei der Nennung der Speicherdauer zu dokumentieren.
Datenschutz im Fokus: Was Sie bei der Übermittlung von personenbezogenen Daten an ein Drittland beachten sollten
Sollte ein Drittlandtransfer anhand der genannten Kriterien festgestellt werden, so sind die spezifischen Vorgaben aus Kapitel V. der DSGVO zu erfüllen. Hierzu zählt die Verpflichtung des Datenexporteurs, den Datentransfer auf einem geeigneten Transfermechanismus zu basieren. Darüber hinaus sind sämtliche weiteren Bestimmungen der DSGVO vom Datenexporteur zu beachten. Neben einem angemessenen Transfermechanismus bedarf es also auch einer rechtlichen Grundlage für die Datenauslieferung sowie einer ausreichenden Information der betroffenen Person über den Drittlandtransfer.
Grundsätzlich gilt als zulässig der Transfer personenbezogener Daten in ein Drittland, sofern sämtliche Anforderungen der DSGVO erfüllt sind und die Bedingungen aus Kapitel V. der DSGVO erfüllt werden. Ein solcher Transfer bedarf der Umsetzung eines der Transfermechanismen, welche im Folgenden dargelegt sind:
Geeignete Garantien
Sollte kein Beschluss über die Angemessenheit vorliegen, ist es erforderlich, den Transfer von Daten in Drittländer durch geeignete Absicherungen gemäß Artikel 46 der Datenschutz-Grundverordnung zu schützen. Hierbei wird zwischen Garantien unterschieden, die für jeden Einzelfall von der zuständigen Aufsichtsbehörde ausdrücklich genehmigt werden müssen, und denen, für die eine solche Genehmigung nicht erforderlich ist. Die zweite Kategorie beinhaltet insbesondere folgende Garantien:
- Standarddatenschutzklauseln;
- verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR);
- genehmigte Verhaltensregeln;
- genehmigte Zertifizierungsmechanismen.
In der Praxis ist die Verwendung von Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer in Form von Standarddatenschutzklauseln (SCC) der am häufigsten genutzte Mechanismus. Allerdings bieten sich für den Transfer von Daten innerhalb eines Konzerns auch Binding Corporate Rules als geeigneter Transfermechanismus an. Die Genehmigung durch die zuständige Aufsichtsbehörde ist jedoch erforderlich und aufgrund des höheren Aufwands finden sie in der Praxis weniger häufig Anwendung.
Angemessenheitsbeschluss
Gemäß Artikel 45 der Datenschutz-Grundverordnung (DSGVO) ist es gestattet, personenbezogene Daten in ein Drittland zu übermitteln, sofern die Europäische Kommission feststellt, dass in diesem Land, Gebiet oder Sektor ein angemessenes Datenschutzniveau herrscht. Es gibt bereits Angemessenheitsbeschlüsse für Länder wie Japan, Kanada, Schweiz, Südkorea und Vereinigtes Königreich, welche auf der Website der Kommission abrufbar sind. In Bezug auf die USA gestaltet sich die Lage jedoch momentan etwas komplex.
Es gibt spezielle Ausnahmen, die auf bestimmte Fälle zutreffen.
Sofern kein Angemessenheitsbeschluss vorliegt und auch keine geeigneten Garantien für einen Datentransfer vorhanden sind, kann in speziellen Fällen auf den Artikel 49 der Datenschutz-Grundverordnung zurückgegriffen werden. Dieser ermöglicht unter anderem einen Transfer in ein Drittland, sofern die betroffene Person über die Risiken des Transfers informiert wurde und ihre Einwilligung erteilt hat oder wenn der Transfer zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen notwendig ist. Allerdings ist zu beachten, dass diese Ausnahmen lediglich in Einzelfällen Anwendung finden können und somit kein kontinuierlicher Transfer auf diesem Mechanismus basieren kann.
TOM: Sicherheit durch effektive technische und organisatorische Maßnahmen
Wenn Unternehmen personenbezogene Daten verarbeiten, sind sie verpflichtet, sicherzustellen, dass diese Informationen angemessen geschützt werden. Hierfür müssen Verantwortliche im Unternehmen geeignete technisch und organisatorische Maßnahmen (TOM) ergreifen. Diese Maßnahmen dienen dazu, die Sicherheit der erhobenen und verarbeiteten personenbezogenen Daten zu gewährleisten. Sobald es um besonders sensible personenbezogene Daten geht, steigt auch die Verantwortung für die technischen und organisatorischen Maßnahmen, die von Ihnen umgesetzt werden müssen. Ein konkretes Beispiel hierfür wäre die Verwaltung von Mitarbeiterdaten in der Personalabteilung.
Um den Grundsätzen des Datenschutzes durch Technik und datenschutzfreundlichen Voreinstellungen (Privacy by Design und Privacy by Default) gerecht zu werden, sollten gemäß Art. 32 Abs. 1 DSGVO folgende Maßnahmen ergriffen werden:
- Anonymisierung und Verschlüsselung personenbezogener Daten
- Kontinuierliche Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
- Gewährleistung der Verfügbarkeit der personenbezogenen Daten
- Wiederherstellung des Zugangs zu den personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen