E-Book, Deutsch, 303 Seiten
Reihe: Datenschutzberater
Roth Verzeichnis von Verarbeitungstätigkeiten
1. Auflage 2023
ISBN: 978-3-8005-9615-7
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Leitfaden für Verantwortliche zur praktischen Umsetzung aus rechtlicher, organisatorischer und technischer Sicht
E-Book, Deutsch, 303 Seiten
Reihe: Datenschutzberater
ISBN: 978-3-8005-9615-7
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Die Führung des Verzeichnisses von Verarbeitungstätigkeiten (VVT) gehört zu den zentralen Organisationspflichten eines datenschutzrechtlich Verantwortlichen im Unternehmen. Das gilt für Verantwortliche innerhalb der EU, aber zunehmend auch für solche außerhalb der EU.
Im Datenschutzmanagement bildet das VVT nach Art. 30 DSGVO einen wichtigen Träger, auf den sich andere Pflichten der DSGVO stützen lassen oder mit ihm verbunden sind. Dieses Werk hat zum Ziel, die verschiedenen Formen, das Potenzial und die Herausforderungen dieser bisher eher im Verborgenen blühende Organisationspflicht aufzuzeigen.
Um für Leserinnen und Leser den dafür größtmöglichen Mehrwert zu schaffen, wurde darauf geachtet, dass der Großteil der Quellen öffentlich zugänglich ist. Herangezogen wurden mehr als 600 Quellen aus mehr als 40 Ländern. Dazu zählen beispielsweise: Entscheidungen von Gerichten und Aufsichtsbehörden, Umfragen und amtliche Prüfungsergebnisse, Landesgesetze und gesetzgeberische Initiativen, Praxis- und Umsetzungsberichte, Binding Corporate Rules (BCR), Verhaltensregeln (CoC) und Normungen.
Mit dem Werk sollen Anwenderinnen und Anwender in der Lage sein, zwei zentrale Fragen beantworten zu können: „Wie machen es denn andere?“ und „Auf was sollte unsere Organisation achten?“. Um darauf Antworten zu finden, werden aus den Quellen greifbare Standard-Anforderungen für die Aufbau- und Ablauforganisation abgeleitet. Sowohl KMU als auch Konzerne sollten sich hier wiederfinden.
Zielgruppe
Datenschutzbeauftragte, Datenschutzkoordinatoren, Datenschutzmanager, Applikationsverantwortliche, Berater, Auditoren, externe Prüfer und andere mit Datenschutzfragen in KMU sowie Konzernen betrauten Personen
Autoren/Hrsg.
Weitere Infos & Material
Verzeichnis: Abbildungen, Diagramme, Tabellen
Abbildung 1: Dokumentations- und Verzeichnispflichten in der ersten und zweiten „Datenschutz-Epoche“ 25 Abbildung 2: Dokumentations- und Verzeichnispflichten in der dritten und vierten „Datenschutz-Epoche“ 26 Abbildung 3: Reaktion des allgemeinen Datenschutzrechts in Deutschland auf Art. 30 DSGVO, Art. 24 JI-RL 51 Abbildung 4: Abgrenzung Kategorien VT, VT, Verarbeitung 111 Abbildung 5: Beispielhafte Anwendung der Makro-, Meso- und Mikro-Ebene (1) 114 Abbildung 6: Merkmalsdreieck zur Abgrenzung einer VT 116 Abbildung 7: Merkmalsdreieck zur Abgrenzung einer VT mit Merkmalsgruppen 116 Abbildung 8: Abgrenzungskriterien zur Bestimmung einer VT und deren Granularität (3) 117 Abbildung 9: Grundgerüst von „Zweck“, „Aufgabe“ und „Verarbeitung“ in Anlehnung an Podlech & Hoffmann (1) 125 Abbildung 10: Grundgerüst von „Zweck“, „Aufgabe“ und „Verarbeitung“ in Anlehnung an Podlech & Hoffmann (2) 125 Abbildung 11: Erweitertes Gerüst für „Zweck“, „Aufgabe“ und „Verarbeitung“ in Anlehnung an Podlech & Hoffmann 126 Abbildung 12: Beispielhafte Anwendung der Makro-, Meso- und Mikro-Ebene (2) 130 Abbildung 13: Ableitung einer VT aus mehreren Verarbeitungen 131 Abbildung 14: Prozess der „Bündelung“ von Verarbeitungen zu einer VT 137 Abbildung 15: Datenerhebung bei EUI, quantitative Verteilung der Einträge (2) 155 Abbildung 16: Reifegrad und risikobasierter Ansatz 233 Abbildung 17: Vergleich der Reifegradmodelle mit Blick auf das VVT (CNIL, bitkom e.V.) 240 Abbildung 18: Aufzählung von Metriken zu VVT-Prozessen 247 Diagramm 1: Regelungen zu Inhalten und zur Prozessorganisation des VVT im deutschen Landesrecht 59 Diagramm 2: Auswertung der Datenbasis von GDPRHub (1) 96 Diagramm 3: Auswertung der Datenbasis von EDPB (OSS-Entscheidungen) 96 Diagramm 4: Auswertung der Datenbasis von GDPRHub (2) 97 Diagramm 5: Auswertung der Datenbasis von GDPRHub (3) 97 Tabelle 1: Umfragen zur Umsetzung von Art. 30 DSGVO 16 Tabelle 2: Gegenüberstellung der Erwägungsgründe aus DSGVO, EU-DSVO, JI-RL. 22 Tabelle 3: Änderungen der Pflichtangaben in Registern/Verzeichnissen Meldungen im Zeitverlauf 24 Tabelle 4: Rückmeldungen der Aufsichtsbehörden zu Meldelisten nach BDSG a.F. 32 Tabelle 5: Gegenüberstellung der Anwendungsbereiche nach DSGVO, EU-DSVO, JI-RL 34 Tabelle 6: Gegenüberstellung der Pflichtangaben im VVT nach DSGVO, EU-DSVO, JI-RL 42 Tabelle 7: Querverbindungen der Pflichtangaben im VVT zu anderen Normen der DSGVO. 43 Tabelle 8: Querverbindungen der Pflicht zur Führung des VVT zu anderen Normen der DSGVO. 45 Tabelle 9: Regelungen zu Inhalten und zur Prozessorganisation des VVT im deutschen Landesrecht 57 Tabelle 10: Analyse der Gesetzgebung in EU-Mitgliedstaaten (1) 61 Tabelle 11: Analyse der Gesetzgebung in EU-Mitgliedstaaten (2) 67 Tabelle 12: Abweichungen von Art. 30 Abs. 1 DSGVO in BE, ES, SK, EE 69 Tabelle 13: Gesetzgebung in Staaten abseits der EU 72 Tabelle 14: Synopse zwischen Artt. 30, 13, 14, 15 DSGVO 81 Tabelle 15: Vergleich zwischen den Empfehlungen der ASB Thüringen und der DSK zu den Angaben im VVT 89 Tabelle 16: Datenbasis von GDPRHub (November 2022) 90 Tabelle 17: Datenbasis von GDPRHub (Juni 2023) 92 Tabelle 18: OSS-Entscheidungen (EDPB-Datenbank) 93 Tabelle 19: Übersicht der freien Recherche zu den Aktivitäten der ASB mit Bezug zu Art. 30 DSGVO 94 Tabelle 20: Zusammenfassende Auswertung der Datenbasis von GDPRHub, EDPB, freier Recherche (1) 98 Tabelle 21: Zusammenfassende Auswertung der Datenbasis von GDPRHub, EDPB, freier Recherche (2) 101 Tabelle 22: Abgrenzungskriterien zur Bestimmung einer VT und deren Granularität (1) 118 Tabelle 23: Abgrenzungskriterien zur Bestimmung einer VT und dessen Granularität (2) 119 Tabelle 24: Beispiele für „Kategorie von VT“, „VT“, „Verarbeitung“ 132 Tabelle 25: Datenerhebung bei EUI, Einzeldarstellung 148 Tabelle 26: Datenerhebung bei EUI, Status der Veröffentlichung 154 Tabelle 27: Datenerhebung bei EUI, quantitative Verteilung der Einträge (1) 155 Tabelle 28: Aufgabenbezogene Gruppierung der VVT-Einträge 157 Tabelle 29: Angaben-Gruppen und Einzelangaben der VVT-Einträge 158 Tabelle 30: Hinweis-Gruppen und Einzelhinweise zum Ablaufprozess des VVT 160 Tabelle 31: Ausgewählte Schnittstellen des VVT im...
