Vorbereiten der Dokumentation der Verarbeitung

Die für die Verarbeitung Verantwortlichen müssen stets bedenken, dass bei der Entwicklung von IoT-Lösungen häufig verschiedene Datensätze verwendet werden. Die Rückverfolgbarkeit der Verarbeitung, die Informationen über die mögliche Wiederverwendung von Daten und die Verwendung von Daten, die zu verschiedenen Datensätzen gehören, in verschiedenen oder in denselben Phasen des Lebenszyklus müssen durch die Aufzeichnungen sichergestellt werden, da der für die Verarbeitung Verantwortliche für die Einhaltung von Artikel 5 der DSGVO verantwortlich ist und dies auch nachweisen kann (siehe “Grundsatz der Rechenschaftspflicht” im Abschnitt “Grundsätze” in Teil II dieser Leitlinien). Wer auch immer personenbezogene Daten verarbeitet (einschließlich der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter), muss seine Tätigkeiten in erster Linie für qualifizierte/zuständige Aufsichtsbehörden dokumentieren (siehe “Dokumentation der Verarbeitung” im Abschnitt “Wichtigste Instrumente und Maßnahmen” in Teil II dieser Leitlinien), aber gegebenenfalls auch für betroffene Personen und andere Interessengruppen.

Dies muss unter anderem durch Aufzeichnungen über die Verarbeitungstätigkeiten geschehen, die von der Organisation zentral für alle ihre Verarbeitungstätigkeiten geführt werden, sowie durch zusätzliche Dokumentation, die sich auf eine einzelne Datenverarbeitungstätigkeit bezieht (siehe den Abschnitt “Dokumentation der Verarbeitung” im Abschnitt “Wichtigste Instrumente und Maßnahmen”, Teil II dieser Leitlinien).

Die ersten Phasen der Projektentwicklung sind der ideale Zeitpunkt, um eine systematische Erfassung der erforderlichen Unterlagen einzurichten, da dies die Zeit ist, in der die Organisation die Verarbeitungstätigkeit^[1] konzipiert und plant.

Checkliste. Dokumentation

Wenden Sie sich an die Stelle/Person, die die Aufzeichnungen über die Bearbeitung für Ihre Organisation führt.
- Falls erforderlich, kann Ihr Datenschutzbeauftragter bei der Kontaktaufnahme behilflich sein.
Informieren Sie sie frühzeitig darüber, dass Sie beabsichtigen, personenbezogene Daten zu verarbeiten.
- Ihre Verarbeitungstätigkeit muss in den Datensätzen eingetragen werden, bevor die Verarbeitung beginnt.
Befolgen Sie ihre Anweisungen von
- welche Informationen Sie für die Aufzeichnungen über die Verarbeitung bereitstellen müssen,
- wenn Sie Aktualisierungen dieser Informationen übermitteln müssen.

Zusätzliche Unterlagen zu einer einzelnen Verarbeitungstätigkeit).
Die folgenden Punkte müssen dokumentiert werden:

Bewertung, ob die Verarbeitungstätigkeit wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Eine Datenschutz-Folgenabschätzung, wenn die obige Bewertung zu einem positiven Ergebnis führt.
Mögliche Konsultation der zuständigen Aufsichtsbehörde vor der Verarbeitung.
Anforderungen und Akzeptanztests für den Kauf und/oder die Entwicklung der eingesetzten Software, Hardware und Infrastruktur.
Umsetzung von technischen und organisatorischen Maßnahmen.
Regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen.
Anforderungen und Akzeptanztests für die Auswahl von Verarbeitern.
Mit den Verarbeitern geschlossene Verträge.
Mögliche Inspektionen und Audits des Verarbeiters.
Methode zur Einholung der Zustimmung.
Demonstration von individuellen Zustimmungserklärungen.
Informationen für die betroffenen Personen.
Umsetzung der Rechte der betroffenen Personen.
Tatsächlicher Umgang mit den Rechten der Betroffenen.
Mögliche Meldungen von Verstößen an die zuständige Aufsichtsbehörde.
Mögliche Mitteilung von Datenverletzungen an die betroffene Person.
Jede andere Mitteilung an die zuständige Aufsichtsbehörde.

In Artikel 25 Absatz 1 der Datenschutz-Grundverordnung wird dies als “Zeitpunkt der Festlegung der Mittel für die Verarbeitung” bezeichnet. ↑