Dokumentationspflichten im Datenschutz
Willkommen zu unserem dritten und letzten Teil unseres Datenschutz ABCs. In Teil 1 und 2 unserer Serie haben wir bereits die Notwendigkeit von Dokumentation sowie die Grundsätze zum Umgang mit personenbezogenen Daten beleuchtet. Jetzt wollen wir uns dem etwas unbequemen Thema der Dokumentationspflichten widmen.
Datenschutz – ein Grundrecht
DSGVO hin oder her – Datenschutz ist und bleibt ein zentrales Thema unserer Zeit. Es ist ein Grundrecht und wird uns auch in Zukunft verstärkt begleiten. Die DSGVO hat den Datenschutz nicht erfunden, tatsächlich gab es auch vor Inkrafttreten der EU-weiten Verordnung ein Datenschutzgesetz. Auch hier war die Dokumentation in einem Verzeichnis von Verarbeitungstätigkeiten verpflichtend, es gab lediglich noch keine Rechenschaftspflicht. Diese neue gesetzliche Situation bringt also jeden, der sich bis jetzt ohne ein Verzeichnis von Verarbeitungstätigkeiten „durchgewurschtelt“ hat, in echte Bedrängnis. Schon allein das Fehlen eines solchen Verzeichnisses kann jetzt zu Bußgeldern führen. Doch zurück zum Thema. Schauen wir mal, was das DSGVO denn nun genau fordert.
Was gehört in das Verzeichnis von Verarbeitungsfähigkeiten?
Jeder Verantwortliche bzw. sein Vertreter müssen laut Art. 30 DSGVO Abs. 1 ein Verzeichnis über alle Verarbeitungstätigkeiten führen. Darin müssen sämtliche Angaben wie Namen und Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, die Beschreibung von Kategorien betroffener Personen oder personenbezogener Daten, Kategorien von Empfängern, denen gegenüber personenbezogene Daten offengelegt werden, die Übermittlung von Daten an Drittländer oder internationale Organisationen sowie die Fristen für die Löschung von Daten und eine Beschreibung der technischen und organisatorischen Maßnahmen benannt sein. Auch ein Auftragsverarbeiter ist verpflichtet, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen (Art. 30, Abs. 2). Die Dokumentation muss schriftlich erfolgen und bei Bedarf den Behörden zur Verfügung gestellt werden.
Doch damit ist der Forderungskatalog leider noch nicht am Ende. Um die geforderte transparente Datenverarbeitung zu garantieren, müssen dem Betroffenen bei jeder Erhebung noch weitere Informationen zur Verfügung gestellt werden. Welche das sind, bleibt dann im Einzelfall zu prüfen.
Fazit
Wer schon in der Vergangenheit ein Verzeichnis von Verarbeitungstätigkeiten geführt hat, ist hier klar im Vorteil. Denn zu wissen, wohin Daten zu welchem Zweck fließen, ist nicht nur eine lästige Erfüllung von Dokumentationspflichten, sondern bringt Mitarbeiter und Verantwortliche auf Kurs. Daten verschwinden nicht einfach ins Nirgendwo und die Verarbeitung kann klar nachvollzogen werden – und das nicht nur für die Behörden.
Kontaktieren Sie uns
Sind Sie noch auf der Suche nach einem neuen Büro dann kontaktieren Sie uns und machen Sie einen kostenlosen Probetag in einem unserer Büros oder in unserer Co-Working Area.
Kontaktieren Sie uns entweder per Mail an office@businesscenter.at oder unter +43 1 361 44 1000 oder füllen Sie einfach unser Anfrageformular aus.
Schreibe einen Kommentar