Verzeichnisse von Verarbeitungstätigkeiten gemäß LGPD

Nach dem brasilianischen Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais, kurz LGPD) sind Unternehmen verpflichtet, stets aktuelle Verzeichnisse ihrer Verarbeitungstätigkeiten (VVT) personenbezogener Daten zu führen. Zudem müssen sie dem Grundsatz der Rechenschaftspflicht nachkommen. Das bedeutet, dass sie jederzeit nachweisen können müssen, dass sie die Datenschutzgesetze einhalten.

Um Ihr Unternehmen bei der Erfüllung dieser gesetzlichen Pflicht zu unterstützen, führen wir ein sogenanntes Daten-Mapping durch, um zu verstehen, wie Ihr Unternehmen arbeitet und welche Assets Sie verwalten. Die Analyse der Datenflüsse ist entscheidend, um die Rechtsgrundlage für die Verarbeitung personenbezogener Daten korrekt festzulegen.

Dabei ist die Einhaltung der Grundsätze des LGPD unerlässlich. Vor allem beachten wir den Grundsatz der Datenminimierung (die Erhebung personenbezogener Daten, die für einen bestimmten Zweck nicht erforderlich sind, muss vermieden werden).

Was muss ein VVT enthalten?

Das LGPD beschreibt den Inhalt von Verarbeitungsverzeichnissen nicht im Detail. Als Orientierung dienen uns daher die Datenschutz-Grundverordnung (DSGVO) und die Empfehlungen der europäischen Datenschutzbehörden.

Daraus abgeleitet erstellen wir VVTs, die mindestens folgende Informationen enthalten:

• Name und Kontaktdaten des*der Verantwortlichen sowie ggf. der gemeinsam Verantwortlichen, deren Vertretung und des*der Datenschutzbeauftragten
• Zwecke der Datenverarbeitung
• Detaillierte Beschreibung der Kategorien von betroffenen Personen sowie der Kategorien personenbezogener Daten
• Empfänger*innen der personenbezogenen Daten
• Übersicht über internationale Datenübermittlungen einschließlich des Übermittlungsmechanismus
• Löschfristen für die verschiedenen Datenkategorien
• Dokumentation technischer und organisatorischer Sicherheitsmaßnahmen

Besonders wichtig sind die Dokumentation der Einwilligungen und die Bewertung des berechtigten Interesses, da diese im LGPD ausdrücklich gefordert werden.

Darüber hinaus dokumentieren wir Datenschutzhinweise, Auftragsverarbeitungsverträge, Berichte zu Datenschutz-Folgenabschätzungen (DSFA), Datenschutzverletzungen, Unterlagen zur Aufbewahrung und Löschung personenbezogener Daten.

Um die Erfassung und Aktualisierung neuer Verarbeitungstätigkeiten zu erleichtern, empfehlen wir ausdrücklich die Nutzung von DSN port, unserem multifunktionalen Management-System, das unter dem Modul „Datenschutz“ ein umfassendes Datenschutzmanagement ermöglicht.