Was ist ein Bearbeitungsregister und wie kann man es sicher einrichten?

Seit dem 25. Mai 2018 ist die Allgemeine Datenschutzverordnung in Kraft. Ein Unterschied zum bisherigen Recht ist die Verarbeitung von personenbezogenen Daten und der damit verbundene Datenschutz. Daher kann die Verarbeitung personenbezogener Daten für Unternehmen eine Herausforderung darstellen. Ein Verarbeitungsverzeichnis gibt den Unternehmen einen Einblick in die Verarbeitung personenbezogener Daten. Darüber hinaus zeigt ein Verarbeitungsverzeichnis auch, warum diese personenbezogenen Daten verarbeitet werden, wo sie verarbeitet werden und ob eine Verarbeitungsvereinbarung besteht.

Wenn die Aufsichtsbehörde für personenbezogene Daten eine Kontrolle durchführt, sollten Sie immer in der Lage sein, sich als Organisation zu rechtfertigen. Die unsachgemäße Verarbeitung personenbezogener Daten kann als Verletzung der Privatsphäre der Person angesehen werden, zu der die Daten gehören. Die Arbeit mit einem gut geführten Verarbeitungsregister verhindert eine unkorrekte Verarbeitung personenbezogener Daten und damit mögliche Geldbußen.

Das Verarbeitungsregister

Für die Verarbeitung personenbezogener Daten in einem Verarbeitungsregister muss es immer einen legitimen Grund geben. Personenbezogene Daten dürfen nur verarbeitet werden, wenn die betreffende Person selbst eingewilligt hat. Darüber hinaus muss mindestens eine der folgenden Grundlagen vorliegen, um personenbezogene Daten verarbeiten zu dürfen.

Die Verarbeitung von Daten ist notwendig, um...

• Zur Einhaltung der Vorschriften über die obligatorische Verarbeitung personenbezogener Daten;
• Denken Sie an die Verarbeitung personenbezogener Daten durch die Steuerbehörden.
• Schließen Sie einen Vertrag ab;
• Lebenswichtige Interessen schützen;
• Wahrnehmung einer Aufgabe von öffentlichem Interesse oder einer öffentlichen Behörde;
• Verfolgung der berechtigten Interessen.

Was beinhaltet ein Verarbeitungsregister?

Wenn Sie für die Verarbeitung personenbezogener Daten verantwortlich sind, müssen Sie gemäß der AVG-Gesetzgebung die folgenden Informationen in Ihr Register aufnehmen:

1. Name und Kontaktinformationen
   1. Von Ihrer Organisation oder dem Vertreter Ihrer Organisation;
   2. Von anderen Organisationen, mit denen Sie gemeinsame Ziele verfolgt haben oder mit denen Sie gemeinsam Daten verarbeiten;
   3. Vom ernannten Datenschutzbeauftragten Ihrer Organisation;
   4. Von den internationalen Organisationen, mit denen Sie personenbezogene Daten austauschen.
2. Verwendungszwecke
   1. Es sollte immer klar sein, warum Sie personenbezogene Daten verarbeiten. Dies kann für die Einstellung und Auswahl, aber auch für die Bereitstellung von Produkten oder Marketingaktivitäten sein.
3. Beteiligte Parteien
   1. Nennen Sie die Kategorien von Personen, deren Daten verarbeitet werden. Das können Kunden, Patienten oder Klienten sein. Denken Sie aber auch an eingestellte externe Mitarbeiter.
4. Persönliche Informationen
   1. Geben Sie an, welche Art von personenbezogenen Daten Sie verarbeiten. Zum Beispiel Sozialversicherungsnummern, Namen und Adressangaben, Telefonnummern und E-Mail-Adressen, Bildmaterial (Fotos, Videos) und/oder IP-Adressen.
5. Aufbewahrungsfristen
   1. Es sollte klar sein, wann Sie Daten löschen werden
6. Empfänger
   1. An wen geben Sie personenbezogene Daten weiter? Teilen Sie diese Empfänger auch in Kategorien ein.
7. Außerhalb der EU
   1. Wenn Sie personenbezogene Daten mit Ländern oder internationalen Organisationen außerhalb der EU austauschen, sollte dies ebenfalls beschrieben werden. Dies ist unbedingt zu beachten, da außerhalb der EU andere Gesetze gelten, die personenbezogene Daten anders behandeln.
8. Sicherheit
   1. Nennen Sie die Art und Weise, wie Ihre Organisation sicherstellt, dass die von Ihnen verarbeiteten personenbezogenen Daten sicher verarbeitet werden. Dabei kann es sich um technische oder organisatorische Maßnahmen handeln.

Ist Ihre Organisation ein Informationsverarbeiter, weil Sie mit personenbezogenen Daten im Auftrag anderer arbeiten? Dann müssen Sie in Ihrem Verarbeitungsverzeichnis lediglich Name und Kontaktdaten, Verarbeitungsvorgänge, internationale Übermittlung, außerhalb der EU und Sicherheit angeben.

Der Komfort und die Vorteile der Arbeit mit spezialisierter Software

Da es wichtig ist, alle gespeicherten Informationen genau zu verwalten, ist es sinnvoll, mit einer Software zu arbeiten, die auf die sichere Speicherung von Dokumenten spezialisiert ist. Schließlich sollten Sie nicht daran denken, dass all Ihre datenschutzrechtlich sensiblen persönlichen Daten aufgrund einer Datenpanne versehentlich auf der Straße landen könnten, oder?

Das bedeutet, dass die Software, mit der Sie arbeiten, Ihnen helfen sollte, Datenschutzverletzungen zu verhindern, zum Beispiel durch die Verschlüsselung von Dokumenten.

Darüber hinaus muss auch die Software selbst der AVG-Gesetzgebung entsprechen. Damit meinen wir, dass es z. B. wichtig ist, dass personenbezogene Daten nicht an Server in den Vereinigten Staaten gesendet werden. Dort gelten ganz andere Datenschutzgesetze als in der EU, was bedeutet, dass eine Software, die diese Daten sendet, nicht dem AVG entspricht.

Es ist auch sehr gut, wenn ein korrektes Dokumentenmanagement angewandt wird. Denn wenn die Behörde für personenbezogene Daten an Ihre Tür klopft und um Text und Erklärung bittet, möchten Sie schnell und ohne Zweifel die genaueste und aktuellste Version der Dokumente erstellen können. Das erspart Ihnen Zeit und Sorgen und vermeidet das Risiko von Geldstrafen.