Was ist ein Anwendungsregister?
Ein Anwendungsregister ist eine Ubersicht aller Systeme, Software und Tools, die personenbezogene Daten in Ihrer Organisation verarbeiten - vom CRM und der Buchhaltungssoftware bis zum E-Mail-Client und Cloud-Speicher.
Der Unterschied zum Verarbeitungsverzeichnis: Das Verarbeitungsverzeichnis beschreibt die Aktivitaten (was Sie mit Daten tun und warum). Das Anwendungsregister beschreibt die Mittel (welche Systeme Sie verwenden). Zusammen ergeben sie ein vollstandiges Bild.
Warum brauchen Sie eines?
1. Es unterstutzt Ihr Verarbeitungsverzeichnis
Ihr Verarbeitungsverzeichnis muss pro Verarbeitung auflisten, welche Systeme beteiligt sind. Ohne Anwendungsregister raten Sie bei jeder Aktualisierung.
2. Es hilft bei Datenschutzverletzungen
Bei einer Datenschutzverletzung mussen Sie schnell feststellen, welche Systeme betroffen sind. Sie haben 72 Stunden fur die Meldung bei der Aufsichtsbehorde.
3. Es macht Auftragsverarbeitungsvertrage ubersichtlich
Ihr Anwendungsregister zeigt auf einen Blick, wo ein AVV vorhanden ist und wo einer fehlt.
Was pro System dokumentieren
| Feld | Beschreibung | Beispiel |
|---|---|---|
| Name | Name des Systems | HubSpot CRM |
| Anbieter | Firmenname | HubSpot Inc. |
| Kategorie | Systemtyp | CRM |
| Datentypen | Welche Daten verarbeitet werden | Name, E-Mail, Telefon, Interaktionshistorie |
| Betroffene | Wessen Daten betroffen sind | Kunden, Leads |
| Speicherort | Wo die Daten gespeichert sind | EU (Frankfurt) |
| AVV | Auftragsverarbeitungsvertrag vorhanden | Ja, unterzeichnet am 15.03.2024 |
| Interner Verantwortlicher | Wer das System verwaltet | Marketing-Team |
Praxisbeispiel
| System | Anbieter | Datentypen | Speicherort | AVV |
|---|---|---|---|---|
| Google Workspace | Google LLC | E-Mail, Dokumente, Kalender | EU | Ja |
| Exact Online | Exact | Rechnungen, Kundendaten, Bankdaten | NL | Ja |
| Mailchimp | Intuit Inc. | E-Mail, Name, Verhaltensdaten | US (SCC) | Ja |
| Slack | Salesforce | Nachrichten, Dateien | US (SCC) | Nein - Handlungsbedarf |
Der Eintrag zu Slack zeigt sofort einen fehlenden Vertrag. Genau das ist der Wert des Registers.
So starten Sie
- Inventarisieren Sie alle Systeme. Gehen Sie jede Abteilung durch und fragen Sie, welche Tools genutzt werden
- Prufen Sie Ihre Rechnungen. Ihre Buchhaltung zeigt, fur welche Software Sie bezahlen
- Scannen Sie Ihre Website. GDPRWise erkennt automatisch, welche externen Dienste Ihre Website nutzt
- Dokumentieren Sie jedes System. Fullen Sie die oben genannten Felder aus
- Prufen Sie die Auftragsverarbeitungsvertrage. Kontrollieren Sie, ob fur jedes System ein AVV vorliegt
Scannen Sie Ihre Website und GDPRWise kartiert automatisch, welche externen Dienste und Tools personenbezogene Daten verarbeiten.