Die seit 2018 geltende Datenschutz-Grundverordnung (DSGVO) sieht zum Nachweis ihrer Einhaltung ein Verzeichnis der Verarbeitungstätigkeiten (VVT) (Art. 30 DSGVO) vor. Dabei handelt es sich um eine spezielle Dokumentationspflicht des Verantwortlichen. In der Praxis ist das VVT der zentrale Bestandteil der Dokumentation. Es kann zwar nicht von jeder Person offen eingesehen werden, doch die zuständige Aufsichtsbehörde kann die Vorlage im Rahmen der behördlichen Kontrolle jederzeit anfragen. Im Rahmen des Pilotprojekts „Umsetzung der DSGVO an der RUB“ wurden bereits diverse Dokumente zu den verschiedenen Verarbeitungstätigkeiten der teilnehmenden Organisationseinheiten aus Wissenschaft und Verwaltung erstellt. Nachdem nun erfolgten Abschluss des Projekts und Auswertung der Ergebnisse, soll das VVT jetzt um alle anderen Bereiche der RUB erweitert werden. Ein guter Anlass, um sich die grundlegenden Informationen noch einmal vor Augen zu führen:
Neben der gesetzlichen Pflicht, geht es zunächst um die eigene Übersicht, die z.B. hilft, wenn betroffene Personen Auskunftsrechte geltend machen. Weiterhin unterstützt es dabei, die Datenschutzerklärung etwa auf einer Website vollständig zu halten. In diesem Zusammenhang ist die Klarstellung wichtig, dass es sich beim Aufbau des VVT nicht um ein (zeitlich begrenztes) Projekt handelt, sondern um einen fortlaufenden Prozess.
Grundsätzlich gehören alle Verfahren und Prozesse, bei denen personenbezogene Daten verarbeitet werden, in das Verzeichnis der Verarbeitungstätigkeiten. Personenbezogene Daten sind solche, die sich auf eine natürliche Person beziehen und diese zumindest identifizierbar machen. Verpflichtet sind diejenigen Stellen oder Personen, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden.
Kann die verantwortliche Stelle auf Verlangen der Aufsichtsbehörde kein VVT vorlegen oder ist dies unvollständig, so droht der RUB als öffentliche Stelle zwar nicht direkt ein Bußgeld, jedoch ist zum Beispiel im Rahmen von Schadensersatzprozessen der betroffenen Personen die Wahrscheinlichkeit hoch, dass bei einem Fehlen des VVT zuungunsten der Hochschule von einer mangelhaften Dokumentation auszugehen ist..
Eine Verarbeitungstätigkeit ist ein Vorgang, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Unter einer Verarbeitung versteht man digitalisierte, aber auch nicht automatisierte Abläufe, bei denen mit personenbezogenen Daten umgegangen wird. Möchte man mit der Eintragung der Verarbeitungstätigkeiten beginnen, kann man sich einen Überblick darüber verschaffen, was im eigenen Bereich bearbeitet wird.
Das Team des Datenschutzbeauftragten der RUB hilft Ihnen bei Fragen und Problemen gerne weiter.
RUBinform 01/2021 | Sabine Sonneborn
Stabsstelle Datenschutz