Ist ein Anwendungsregister unter der DSGVO Pflicht?

Die DSGVO schreibt kein Anwendungsregister vor, aber ein Verarbeitungsverzeichnis (Artikel 30). Das Anwendungsregister ist die praktische Grundlage dafur. Ohne zu wissen, welche Systeme Sie nutzen, konnen Sie Ihr Verarbeitungsverzeichnis nicht ordentlich fuhren.

Wie viele Systeme hat ein durchschnittliches KMU?

Mehr als Sie denken. Ein typisches KMU mit 10-50 Mitarbeitern nutzt 20 bis 40 Tools, die personenbezogene Daten verarbeiten.

Brauche ich fur jedes System einen Auftragsverarbeitungsvertrag?

Fur jeden Anbieter, der in Ihrem Auftrag personenbezogene Daten verarbeitet, benotigen Sie einen Auftragsverarbeitungsvertrag (AVV). Ihr Anwendungsregister hilft Ihnen, fehlende Vertrage zu erkennen.

Wie halte ich das Register aktuell?

Prufen Sie mindestens zweimal jahrlich. Fugen Sie jedes neue System sofort hinzu. GDPRWise sendet Erinnerungen zur Uberprufung.

Anwendungsregister - Welche Systeme Verarbeiten Personenbezogene Daten? (DSGVO)

Ein Anwendungsregister ist eine Ubersicht aller Systeme und Tools, die personenbezogene Daten in Ihrer Organisation verarbeiten. Es unterstutzt Ihr Verarbeitungsverzeichnis und ist bei einer Datenschutzverletzung unverzichtbar.

Was ist ein Anwendungsregister?

Ein Anwendungsregister ist eine Ubersicht aller Systeme, Software und Tools, die personenbezogene Daten in Ihrer Organisation verarbeiten - vom CRM und der Buchhaltungssoftware bis zum E-Mail-Client und Cloud-Speicher.

Der Unterschied zum Verarbeitungsverzeichnis: Das Verarbeitungsverzeichnis beschreibt die Aktivitaten (was Sie mit Daten tun und warum). Das Anwendungsregister beschreibt die Mittel (welche Systeme Sie verwenden). Zusammen ergeben sie ein vollstandiges Bild.

Warum brauchen Sie eines?

1. Es unterstutzt Ihr Verarbeitungsverzeichnis

Ihr Verarbeitungsverzeichnis muss pro Verarbeitung auflisten, welche Systeme beteiligt sind. Ohne Anwendungsregister raten Sie bei jeder Aktualisierung.

2. Es hilft bei Datenschutzverletzungen

Bei einer Datenschutzverletzung mussen Sie schnell feststellen, welche Systeme betroffen sind. Sie haben 72 Stunden fur die Meldung bei der Aufsichtsbehorde.

3. Es macht Auftragsverarbeitungsvertrage ubersichtlich

Ihr Anwendungsregister zeigt auf einen Blick, wo ein AVV vorhanden ist und wo einer fehlt.

Was pro System dokumentieren

Feld	Beschreibung	Beispiel
Name	Name des Systems	HubSpot CRM
Anbieter	Firmenname	HubSpot Inc.
Kategorie	Systemtyp	CRM
Datentypen	Welche Daten verarbeitet werden	Name, E-Mail, Telefon, Interaktionshistorie
Betroffene	Wessen Daten betroffen sind	Kunden, Leads
Speicherort	Wo die Daten gespeichert sind	EU (Frankfurt)
AVV	Auftragsverarbeitungsvertrag vorhanden	Ja, unterzeichnet am 15.03.2024
Interner Verantwortlicher	Wer das System verwaltet	Marketing-Team

Praxisbeispiel

System	Anbieter	Datentypen	Speicherort	AVV
Google Workspace	Google LLC	E-Mail, Dokumente, Kalender	EU	Ja
Exact Online	Exact	Rechnungen, Kundendaten, Bankdaten	NL	Ja
Mailchimp	Intuit Inc.	E-Mail, Name, Verhaltensdaten	US (SCC)	Ja
Slack	Salesforce	Nachrichten, Dateien	US (SCC)	Nein - Handlungsbedarf

Der Eintrag zu Slack zeigt sofort einen fehlenden Vertrag. Genau das ist der Wert des Registers.

So starten Sie

Inventarisieren Sie alle Systeme. Gehen Sie jede Abteilung durch und fragen Sie, welche Tools genutzt werden
Prufen Sie Ihre Rechnungen. Ihre Buchhaltung zeigt, fur welche Software Sie bezahlen
Scannen Sie Ihre Website. GDPRWise erkennt automatisch, welche externen Dienste Ihre Website nutzt
Dokumentieren Sie jedes System. Fullen Sie die oben genannten Felder aus
Prufen Sie die Auftragsverarbeitungsvertrage. Kontrollieren Sie, ob fur jedes System ein AVV vorliegt

auto_awesome GDPRWise erkennt Ihre Systeme automatisch

Scannen Sie Ihre Website und GDPRWise kartiert automatisch, welche externen Dienste und Tools personenbezogene Daten verarbeiten.

Kostenlosen Scan starten

Anwendungsregister: Welche Systeme Verarbeiten Personenbezogene Daten?