{"id":14278,"date":"2022-12-05T14:14:11","date_gmt":"2022-12-05T14:14:11","guid":{"rendered":"https:\/\/www.gdprregister.eu\/unkategorisiert\/verzeichnisse-von-verarbeitungstaetigkeiten-gemaess-artikel-30-der-dsgvo\/"},"modified":"2022-12-05T14:14:11","modified_gmt":"2022-12-05T14:14:11","slug":"verzeichnisse-von-verarbeitungstaetigkeiten","status":"publish","type":"post","link":"https:\/\/www.gdprregister.eu\/de\/blog\/verzeichnisse-von-verarbeitungstaetigkeiten\/","title":{"rendered":"Verzeichnisse von Verarbeitungst\u00e4tigkeiten gem\u00e4\u00df Artikel 30 der DSGVO"},"content":{"rendered":"<h2>Was sind die Verzeichnisse von Verarbeitungst\u00e4tigkeiten (VVT)?<\/h2>\n<p>Artikel 30 der Datenschutz-Grundverordnung (DSGVO) der EU verpflichtet Organisationen, interne Aufzeichnungen zu f\u00fchren, die Informationen \u00fcber alle von der Organisation durchgef\u00fchrten Verarbeitungst\u00e4tigkeiten personenbezogener Daten enthalten. Diese Aufzeichnungen helfen Organisationen zu verstehen, welche personenbezogenen Daten sie erheben, woher sie kommen und wie diese Daten verarbeitet werden.<\/p>\n<p>Die Verzeichnisse von Verarbeitungst\u00e4tigkeiten (VVT) m\u00fcssen in schriftlicher oder elektronischer Form gef\u00fchrt werden. Falls erforderlich, kann die Aufsichtsbeh\u00f6rde diese Aufzeichnungen verwenden, um die Rechenschaftspflicht der Organisation zu bewerten. Aus diesem Grund muss der Datensatz der Aufsichtsbeh\u00f6rde auf Anfrage zur Verf\u00fcgung gestellt werden.<\/p>\n<p>Die Verzeichnisse von Verarbeitungst\u00e4tigkeiten sind nicht nur eine formale Anforderung, sondern sie enthalten den Kern der Informationen f\u00fcr die Verwaltung der Compliance der Organisation und die Erstellung anderer erforderlicher Unterlagen wie Datenschutzerkl\u00e4rungen,\u00a0<a href=\"https:\/\/www.gdprregister.eu\/de\/dsgvo\/auftragsverarbeitungsvertrag-avv\/\" target=\"_blank\" rel=\"noopener\">Auftragsverarbeitungsvertr\u00e4ge<\/a>, Richtlinien zur Datenaufbewahrung usw.<\/p>\n<h2>Wer muss die Verzeichnisse von Verarbeitungst\u00e4tigkeiten f\u00fchren?<\/h2>\n<p>Artikel 30 der DSGVO schreibt vor, dass Organisationen, die mehr als 250 Mitarbeiter besch\u00e4ftigen, Verzeichnisse von Verarbeitungst\u00e4tigkeiten aufbewahren m\u00fcssen. Kleinere Organisationen m\u00fcssen nur die Verarbeitungst\u00e4tigkeiten dokumentieren, die:<\/p>\n<ul>\n<li><strong>nicht gelegentlich<\/strong> sind (d. h. mehr als nur ein einmaliges Ereignis oder etwas, das Sie selten tun); oder<\/li>\n<li>wahrscheinlich zu einem <strong>Risiko f\u00fcr die Rechte und Freiheiten von Personen<\/strong> f\u00fchren (z. B. etwas, das aufdringlich sein oder Personen beeintr\u00e4chtigen k\u00f6nnte); oder<\/li>\n<li>Daten einer <strong>besonderen Kategorie oder Daten \u00fcber strafrechtliche Verurteilungen und Straftaten<\/strong> (wie in Artikel 9 und 10 der DSGVO definiert) enthalten.<\/li>\n<\/ul>\n<p>Wichtig!<\/p>\n<p>Das bedeutet, dass Sie, <strong>wenn Sie Kunden und\/oder Mitarbeiter haben, deren personenbezogene Daten regelm\u00e4\u00dfig und periodisch verarbeiten<\/strong>, Verzeichnisse von Verarbeitungst\u00e4tigkeiten in Bezug auf diese Kategorien von betroffenen Personen f\u00fchren m\u00fcssen.<\/p>\n<p><button type=\"button\"><br \/>\n\u00d7<br \/>\nDismiss alert<br \/>\n<\/button><\/p>\n<h2>Welche Informationen sollten in den Verzeichnissen von Verarbeitungst\u00e4tigkeiten enthalten sein?<\/h2>\n<p>Wenn Ihre Organisation als f\u00fcr die Verarbeitung Verantwortlicher handelt, sind Sie gem\u00e4\u00df Artikel 30 der DSGVO verpflichtet, mindestens Folgendes zu dokumentieren:<\/p>\n<ul>\n<li>den Namen und die Kontaktdaten des f\u00fcr die Verarbeitung Verantwortlichen und des\/der gemeinsam f\u00fcr die Verarbeitung Verantwortlichen (falls vorhanden);<\/li>\n<li>wenn die Organisation einen Datenschutzbeauftragten ernannt hat, seinen Namen und seine Kontaktdaten;<\/li>\n<li>den Zweck der Verarbeitung \u2013 wof\u00fcr Sie die personenbezogenen Daten verwenden (Kundenbetreuung, Besch\u00e4ftigung, Marketing, Produktentwicklung, Verkauf);<\/li>\n<li>Kategorien von betroffenen Personen (z. B. Mitarbeiter, Kunden, Kontaktpersonen von Verk\u00e4ufern);<\/li>\n<li>Kategorien der verarbeiteten personenbezogenen Daten (z. B. pers\u00f6nliche Daten, Kontaktinformationen, Gesundheitsdaten);<\/li>\n<li>Kategorien von Empf\u00e4ngern personenbezogener Daten (z. B. Partner, Dritte, Beh\u00f6rden, Verwaltung);<\/li>\n<li>gegebenenfalls eine Liste der Drittl\u00e4nder oder internationalen Organisationen, an die die personenbezogenen Daten \u00fcbermittelt werden;<\/li>\n<li>im Falle der \u00dcbermittlung personenbezogener Daten in ein Drittland die Einzelheiten der \u00dcbermittlung, einschlie\u00dflich des Namens des Landes und anderer Informationen \u00fcber die Umst\u00e4nde der \u00dcbermittlung und die Garantien;<\/li>\n<li>soweit m\u00f6glich, die Aufbewahrungsfristen f\u00fcr die verschiedenen Kategorien personenbezogener Daten;<\/li>\n<li>eine Beschreibung der technischen und organisatorischen Sicherheitsma\u00dfnahmen (z. B. Verschl\u00fcsselung, Mitarbeiterschulung, Beschr\u00e4nkung des Zugriffs auf Dokumente und andere personenbezogene Daten, Anonymisierung).<\/li>\n<\/ul>\n<p>Gem\u00e4\u00df Artikel 30 der DSGVO sind auch Auftragsverarbeiter verpflichtet, Verzeichnisse von Verarbeitungst\u00e4tigkeiten zu f\u00fchren. In diesem Fall enthalten die Aufzeichnungen die folgenden Informationen:<\/p>\n<ul>\n<li>die Namen und Kontaktdaten des Auftragsverarbeiters, seines f\u00fcr die Verarbeitung Verantwortlichen und der Unterauftragsverarbeiter;<\/li>\n<li>wenn die Organisation einen eigenen Datenschutzbeauftragten ernannt hat, seinen Namen und seine Kontaktangaben;<\/li>\n<li>Kategorien der im Auftrag des f\u00fcr die Verarbeitung Verantwortlichen durchgef\u00fchrten Verarbeitungen<\/li>\n<li>wenn personenbezogene Daten in ein Drittland \u00fcbermittelt werden, die Einzelheiten der \u00dcbermittlung, einschlie\u00dflich des Namens des Landes und anderer Informationen \u00fcber die Umst\u00e4nde der \u00dcbermittlung und die Garantien;<\/li>\n<li>eine Beschreibung der technischen und organisatorischen Sicherheitsma\u00dfnahmen (z. B. Verschl\u00fcsselung, Mitarbeiterschulung, Beschr\u00e4nkung des Zugriffs auf Dokumente und andere personenbezogene Daten, Anonymisierung).<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.gdprregister.eu\/wp-content\/uploads\/2022\/03\/RoPA-min.png\" sizes=\"auto, (max-width: 790px) 100vw, 790px\" srcset=\"https:\/\/www.gdprregister.eu\/wp-content\/uploads\/2022\/03\/RoPA-min.png 790w, https:\/\/www.gdprregister.eu\/wp-content\/uploads\/2022\/03\/RoPA-min-274x300.png 274w, https:\/\/www.gdprregister.eu\/wp-content\/uploads\/2022\/03\/RoPA-min-768x841.png 768w\" alt=\"\" width=\"790\" height=\"865\" \/><\/p>\n<h2>Wie erstelle ich Verzeichnisse von Verarbeitungst\u00e4tigkeiten?<\/h2>\n<p>Die Aufzeichnungen m\u00fcssen in elektronischer Form gespeichert und regelm\u00e4\u00dfig aktualisiert werden. Wenn die Organisation verpflichtet ist, einen Datenschutzbeauftragten (DSB) zu ernennen, liegt die Verpflichtung, ein Verzeichnis der Verarbeitungst\u00e4tigkeiten zu f\u00fchren, in der Verantwortung des Datenschutzbeauftragten. Wenn die Organisation keinen benannten DSB hat, kann die Zuordnung der Verzeichnisse von Verarbeitungst\u00e4tigkeiten auch von einem Mitarbeiter vorgenommen werden, der \u00fcber die entsprechenden Qualifikationen verf\u00fcgt, um diesen Vorgang durchzuf\u00fchren. Es ist durchaus \u00fcblich, externe Berater mit der anf\u00e4nglichen Zuordnung der VTTs zu beauftragen und einen DSB-Dienstleister zu engagieren, der den Rest der laufenden Aufgaben des DSB \u00fcbernimmt.<\/p>\n<p>Sie k\u00f6nnten damit beginnen, Informationssysteme und personenbezogene Daten zu kartieren, um herauszufinden, welche Informationen Ihre Organisation besitzt und wo. Es ist wichtig, dass verschiedene Interessengruppen aus dem gesamten Unternehmen in den Prozess einbezogen werden. So k\u00f6nnen Sie verhindern, dass personenbezogene Daten oder Prozesse \u00fcbersehen werden. Ebenso wichtig ist es, die Gesch\u00e4ftsleitung einzubeziehen, damit Ihr Mapping-Projekt unterst\u00fctzt und seine Bedeutung allen Beteiligten vermittelt wird.<\/p>\n<p>Sobald Sie einen \u00dcberblick \u00fcber die Menge der personenbezogenen Daten und deren Standorte haben, k\u00f6nnen Sie mit der Zusammenstellung der Verzeichnisse von Verarbeitungst\u00e4tigkeiten beginnen. Es bleibt Ihnen \u00fcberlassen, wie Sie dies tun \u2013 in einer Tabellenkalkulation oder mit modernen Tools. Wir hoffen jedoch, dass die folgenden drei Schritte Ihnen helfen, leichter zum Endergebnis zu gelangen.<\/p>\n<p>Erstellen Sie einen Fragebogen zu Datenverarbeitungsaktivit\u00e4ten<\/p>\n<p>Sie k\u00f6nnen den Fragebogen zwischen den Beteiligten und den Abteilungen, die personenbezogene Daten verarbeiten, austauschen. Die Fragen k\u00f6nnten lauten:<\/p>\n<ul>\n<li>Wof\u00fcr werden die personenbezogenen Daten verwendet?<\/li>\n<li>Wer sind die Personen, f\u00fcr die personenbezogene Daten gesammelt werden?<\/li>\n<li>Welche personenbezogenen Daten werden \u00fcber sie gespeichert?<\/li>\n<li>An wen werden diese personenbezogenen Daten weitergegeben?<\/li>\n<li>Wie lange werden diese personenbezogenen Daten gespeichert?<\/li>\n<li>Wie werden diese personenbezogenen Daten gesch\u00fctzt?<\/li>\n<\/ul>\n<h3>Befragen Sie die Stakeholder<\/h3>\n<p>Erstellen Sie auf der Grundlage dieser Daten die Verzeichnisse von Verarbeitungst\u00e4tigkeiten und befragen Sie die Stakeholder, um die Daten zu verfeinern und ein besseres Verst\u00e4ndnis der Prozesse zu erhalten.<\/p>\n<h3>Finden Sie vorhandene Dokumentation<\/h3>\n<p>Wenn ein Teil der geforderten Dokumentation bereits im Unternehmen vorhanden war, finden Sie diese und \u00fcberpr\u00fcfen Sie die Richtlinien, Verfahren und Vereinbarungen \u2013 dies wird Ihnen helfen, die zuvor erstellte Dokumentation mit den geplanten Aufzeichnungen zu vergleichen und eventuelle Unstimmigkeiten mit der tats\u00e4chlichen Situation zu erkennen.<\/p>\n<p>Es ist offensichtlich, dass das VTT-Projekt keine leichte Aufgabe ist. Es wird erhebliche Zeitressourcen und die Zusammenarbeit mit Interessengruppen und anderen Beteiligten erfordern. Um diese Aufgabe zu vereinfachen, haben wir ein hilfreiches Tool erstellt \u2013 GDPR Register.<\/p>\n<h2>Pflegen Sie VTT effektiv mit GDPR Register<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.gdprregister.eu\/wp-content\/uploads\/2022\/03\/laptop1.png\" sizes=\"auto, (max-width: 926px) 100vw, 926px\" srcset=\"https:\/\/www.gdprregister.eu\/wp-content\/uploads\/2022\/03\/laptop1.png 926w, https:\/\/www.gdprregister.eu\/wp-content\/uploads\/2022\/03\/laptop1-300x161.png 300w, https:\/\/www.gdprregister.eu\/wp-content\/uploads\/2022\/03\/laptop1-768x413.png 768w\" alt=\"Dashboard f\u00f6r GDPR Register\" width=\"926\" height=\"498\" \/><\/p>\n<p>Mit GDPR Register k\u00f6nnen Sie folgendes tun:<\/p>\n<ul>\n<li>ein Mapping-Projekt zu organisieren und Aufgaben zu teilen;<\/li>\n<li>schnell und effizient Verzeichnisse von Verarbeitungst\u00e4tigkeiten mit Hilfe von professionell vorbereiteten Vorlagen zusammenstellen;<\/li>\n<li>ein Register von Auftragsverarbeitungsvertr\u00e4gen zu erstellen und diese mit VTTs zu verkn\u00fcpfen;<\/li>\n<li>Berichte mit ein paar Klicks erstellen;<\/li>\n<li>Registrierung von Betroffenenanfragen;<\/li>\n<li>ein Register \u00fcber Verletzungen des Schutzes personenbezogener Daten f\u00fchren;<\/li>\n<li>alle Unterlagen, die sich auf personenbezogene Daten beziehen, in einer sicheren Umgebung aufbewahren.<\/li>\n<\/ul>\n<p><a role=\"button\" href=\"https:\/\/calendly.com\/gdprregister\/60_minute_demo\"><br \/>\nEINE DEMO BUCHEN<br \/>\n<\/a><\/p>\n<p>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Was sind die Verzeichnisse von Verarbeitungst\u00e4tigkeiten (VVT)? Artikel 30 der Datenschutz-Grundverordnung (DSGVO) der EU verpflichtet Organisationen, interne Aufzeichnungen zu f\u00fchren, [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":10887,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[],"tags":[],"class_list":["post-14278","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/posts\/14278","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/comments?post=14278"}],"version-history":[{"count":0,"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/posts\/14278\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/media\/10887"}],"wp:attachment":[{"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/media?parent=14278"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/categories?post=14278"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gdprregister.eu\/de\/wp-json\/wp\/v2\/tags?post=14278"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}