Was ist ein Verzeichnis der Verarbeitungstätigkeiten?

Die Datenschutz-Grundverordnung spezifiziert den Begriff "Verarbeitungstätigkeit" nicht, so dass nicht ganz klar ist, was in den Aufzeichnungen dokumentiert werden sollte. Dies kann als eine Reihe von Schritten zur Erreichung eines bestimmten Ziels im Unternehmen verstanden werden. Sowohl die Art der Aktivitäten als auch der Grad ihrer Detailliertheit hängen weitgehend von der Branche und dem Profil des Unternehmens ab.

Beispiele für Verarbeitungstätigkeiten sind unter anderem:

• Die Nutzung von Software, die personenbezogene Daten erfasst und speichert (z. B. Arbeitszeitregistrierungssystem, elektronische Zugangskarten oder Videoüberwachung)
• Rekrutierung von Mitarbeitern
• Verwaltung der Ausbildung
• Lohn- und Gehaltsabrechnung
• Versand von Newslettern an Kunden

In Bezug auf diese Art von Tätigkeit muss der für die Verarbeitung personenbezogener Daten Verantwortliche folgende Informationen in das Protokoll aufnehmen:

• Name und Kontaktdaten des Verwalters und des Kontrolleurs der personenbezogenen Daten
• Zweck der Verarbeitung personenbezogener Daten
• Beschreibung der Kategorien von Personen, die von den Daten betroffen sind
• Kategorien von Empfängern, an die die Daten weitergegeben werden
• Eventuelle Informationen über die Übermittlung der Daten an ein Drittland oder eine internationale Organisation
• Geplante Termine für die Löschung der Kategorien personenbezogener Daten
• Beschreibung der Sicherheitsmaßnahmen, die für die verarbeiteten personenbezogenen Daten gelten

Obwohl das Verzeichnis der Verarbeitungstätigkeiten ein internes Dokument ist, muss es von jeder Organisation mit mindestens 250 Mitarbeitern geführt werden. Kleinere Unternehmen können ebenfalls dazu verpflichtet werden, vorausgesetzt, dass:

• Die Verarbeitung personenbezogener Daten, für die die Organisation verantwortlich ist, kann eine Gefahr für die Rechte und Freiheiten der betroffenen Personen darstellen
• Die Datenverarbeitung durch die Organisation erfolgt dauerhaft und nicht nur gelegentlich
• Die Organisation verarbeitet besondere Kategorien personenbezogener Daten (z. B. im Zusammenhang mit Straftaten oder medizinischen Daten).

Sie müssen auch daran denken, dass die Aufzeichnung der Verarbeitungstätigkeiten alle Bilder und Videos enthalten sollte, auf denen Gesichter von Personen bei und in der Nähe Ihres Unternehmens zu sehen sind (z. B. aus der Videoüberwachung). Mit Gallio können Sie alle Videodateien schnell anonymisieren, ohne dass Sie die Daten an Dritte weitergeben oder sie irgendwo online hochladen müssen. Außerdem beeinträchtigt das Verfahren die Qualität Ihrer Videodateien nicht und bietet eine Genauigkeit von 98%.

Zusammenfassend lässt sich sagen, dass die Aufzeichnung von Verarbeitungstätigkeiten eines der grundlegenden Elemente für die Sicherung personenbezogener Daten in einer Organisation ist. Es ermöglicht Ihnen eine bequeme und wirksame Verwaltung Ihrer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung. Es erleichtert auch die laufende Überprüfung von Prozessen mit personenbezogenen Daten in Ihrem Unternehmen - sowohl in rechtlicher als auch in geschäftlicher Hinsicht.