Ist ein Anwendungsregister unter der DSGVO Pflicht?

Die DSGVO schreibt kein Anwendungsregister vor, aber ein Verarbeitungsverzeichnis (Artikel 30). Das Anwendungsregister ist die praktische Grundlage dafür. Ohne zu wissen, welche Systeme Sie nutzen, können Sie Ihr Verarbeitungsverzeichnis nicht ordentlich führen.

Wie viele Systeme hat ein durchschnittliches KMU?

Mehr als Sie denken. Ein typisches KMU mit 10-50 Mitarbeitern nutzt 20 bis 40 Tools, die personenbezogene Daten verarbeiten.

Brauche ich für jedes System einen Auftragsverarbeitungsvertrag?

Für jeden Anbieter, der in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV). Ihr Anwendungsregister hilft Ihnen, fehlende Verträge zu erkennen.

Wie halte ich das Register aktuell?

Prüfen Sie mindestens zweimal jährlich. Fügen Sie jedes neue System sofort hinzu. GDPRWise sendet Erinnerungen zur Überprüfung.

Anwendungsregister - Welche Systeme Verarbeiten Personenbezogene Daten? (DSGVO)

Ein Anwendungsregister ist eine Übersicht aller Systeme und Tools, die personenbezogene Daten in Ihrer Organisation verarbeiten. Es unterstützt Ihr Verarbeitungsverzeichnis und ist bei einer Datenschutzverletzung unverzichtbar.

Was ist ein Anwendungsregister?

Ein Anwendungsregister ist eine Übersicht aller Systeme, Software und Tools, die personenbezogene Daten in Ihrer Organisation verarbeiten - vom CRM und der Buchhaltungssoftware bis zum E-Mail-Client und Cloud-Speicher.

Der Unterschied zum Verarbeitungsverzeichnis: Das Verarbeitungsverzeichnis beschreibt die Aktivitäten (was Sie mit Daten tun und warum). Das Anwendungsregister beschreibt die Mittel (welche Systeme Sie verwenden). Zusammen ergeben sie ein vollständiges Bild.

Warum brauchen Sie eines?

1. Es unterstützt Ihr Verarbeitungsverzeichnis

Ihr Verarbeitungsverzeichnis muss pro Verarbeitung auflisten, welche Systeme beteiligt sind. Ohne Anwendungsregister raten Sie bei jeder Aktualisierung.

2. Es hilft bei Datenschutzverletzungen

Bei einer Datenschutzverletzung müssen Sie schnell feststellen, welche Systeme betroffen sind. Sie haben 72 Stunden für die Meldung bei der Aufsichtsbehörde.

3. Es macht Auftragsverarbeitungsverträge übersichtlich

Ihr Anwendungsregister zeigt auf einen Blick, wo ein AVV vorhanden ist und wo einer fehlt.

Was pro System dokumentieren

Feld	Beschreibung	Beispiel
Name	Name des Systems	HubSpot CRM
Anbieter	Firmenname	HubSpot Inc.
Kategorie	Systemtyp	CRM
Datentypen	Welche Daten verarbeitet werden	Name, E-Mail, Telefon, Interaktionshistorie
Betroffene	Wessen Daten betroffen sind	Kunden, Leads
Speicherort	Wo die Daten gespeichert sind	EU (Frankfurt)
AVV	Auftragsverarbeitungsvertrag vorhanden	Ja, unterzeichnet am 15.03.2024
Interner Verantwortlicher	Wer das System verwaltet	Marketing-Team

Praxisbeispiel

System	Anbieter	Datentypen	Speicherort	AVV
Google Workspace	Google LLC	E-Mail, Dokumente, Kalender	EU	Ja
Exact Online	Exact	Rechnungen, Kundendaten, Bankdaten	NL	Ja
Mailchimp	Intuit Inc.	E-Mail, Name, Verhaltensdaten	US (SCC)	Ja
Slack	Salesforce	Nachrichten, Dateien	US (SCC)	Nein - Handlungsbedarf

Der Eintrag zu Slack zeigt sofort einen fehlenden Vertrag. Genau das ist der Wert des Registers.

So starten Sie

Inventarisieren Sie alle Systeme. Gehen Sie jede Abteilung durch und fragen Sie, welche Tools genutzt werden
Prüfen Sie Ihre Rechnungen. Ihre Buchhaltung zeigt, für welche Software Sie bezahlen
Scannen Sie Ihre Website. GDPRWise erkennt automatisch, welche externen Dienste Ihre Website nutzt
Dokumentieren Sie jedes System. Füllen Sie die oben genannten Felder aus
Prüfen Sie die Auftragsverarbeitungsverträge. Kontrollieren Sie, ob für jedes System ein AVV vorliegt

auto_awesome GDPRWise erkennt Ihre Systeme automatisch

Scannen Sie Ihre Website und GDPRWise kartiert automatisch, welche externen Dienste und Tools personenbezogene Daten verarbeiten.

Kostenlosen Scan starten

Anwendungsregister: Welche Systeme Verarbeiten Personenbezogene Daten?