mich würde interessieren, wie Ihr mit folgendem Falls umgeht:
Im Unternehmen U werden auf der Webseite verschiedene Tracking Tools eingesetzt. Im VVT gibt es nur einen Eintrag, für das Betreiben der Webseite allgemein, also wenig feingranular. Die Tracking-Tools sind dort nicht aufgeführt.
Macht es aus Eurer Sicht eher Sinn, einen neuen Eintrag zu erstellen “Tracking” und dort die Tools aufführen? Oder besser für jedes Tool einen separaten Eintrag?
Die Prüfung durch mich auf Datenschutzkonformität muss ja auch für jedes Tool einzeln erfolgen, oder?
Habt Ihr ein Beispiel für einen VVT-Eintrag zum Tracking?
Ja, da jede Verarbeitung aufgenommen werden muss, müssen auch diese aufgenommen werden. In einem Medien-Unternehmen kommen da schnell mal mehr als 100 zusammen. Aber wenn man so viele Dienstleister (Reichweitenmesser, Frequency Capping, Profilierung, DMP, SSP, DSP, Ad-Server etc.) nutzt, dann muss man es eben auch richtig managen. Eine weitere Herausforderung ist es dann, mit den “Dienstleistern” entsprechende AVV oder JCA zu machen, denn die sehen das oft anders oder wollen einfach nicht.
Weder aus dem Artikel 30 noch aus dem Erwägungsgrund 82 zum VVT ergibt sich, dass hierzu die Verarbeitung im Detail beschrieben werden muss - insbesondere also nicht die einzelnen Tools. Im ErwGr ist der Zweck des VVT “beschrieben” - und darum geht’s.
Hallo @bdsb und @haderner ,
vielen Dank für Eure Antworten.
Ich verstehe es so, dass mittels der Tool Verarbeitungstätigkeiten durchgeführt werden, diese sind im VVT aufzuführen. Da die Tools ggf. unterschiedliche Zwecke verfolgen (abgesehen vom gemeinsamen Zweck des Datensammelns ) und ggf. auf unterschiedlichen Rechtsgrundlagen beruhen (Bei dem einen Tool ist es vielleicht Art 6 1 f), bei dem anderen die Einwilligung), war meine Überlegung, ob es Sinn macht, die Verarbeitungstätigkeit, die hinter den Tools steht, mE ist es wohl bei allen “Tracking”, zusammen zu fassen, oder ob man besser getrennt (ggf. nach Rechtsgrundlage und/oder Zweck) dokumentiert.
Bei mir ist das 1 Eintrag. Die geschäftlichen Zwecke des Internet-Auftritts sind zB Außendarstellung des Unternehmens, Werbung, Akquise Aufträge, Akquise Personal. Die Mittel (= Techniken) muss man nicht nennen, die verschiedenen Rechtsgrundlagen ebenfalls nicht - also ist man diesbezüglich frei in der Handhabung
Bei komplexen Verarbeitung (Personalwirtschaft, Buchhaltung) würde man bei zu tiefer Detaillierung untergehen.
Natürlich kann man die Verarbeitungen auch bündeln. Ich finde es meist vorteilhaft, die Sachen einzeln zu erfassen, weil ich dann auch die jeweiligen AVV oder JCA besser nachhalten kann. Das geht aber leider auch nur für die “erste Ebene” - wenn ein Script ein weiteres lädt, das ein weiteres lädt usw., ist es kaum möglich, die ganze Kette, in der die Daten weitergegeben werden, sauber abzudecken. Stark frequentierte Medien-Seiten haben ja nicht selten eine Verschachtelung von 10 Ebenen … übel.
Hallo,
mal nur unter Bezug auf den Sachverhalt: Grds. befürworte ich für jedes Tool einen Eintrag in ein VVT. Für mich ist das VVT die “Mutter” vieler weiterer Pflichtdokument und dadurch wird Einheitlichkeit gewährleistet. Ich habe viele Unternehmen betreut, die weder wussten, was die Tools machen noch einen kompetenten Ansprechpartner für die Webseite überhaupt hatten. Geschweige denn war die Webagentur ein adäquter Ansprechpartner. Stellt man die im VVT genannten Punkte als Fragen, z.B. weil sie sich mit Art. 13, 14 DSGVO decken, um die Datenschutzerklärung für die Webseite zu erstellen, herrscht häufig Schweigen. Also sind bereits die Nachweis- und Dokumentationspflichten in den seltensten Fälle erfüllt. Nach meiner Auffassung müssen für jedes Tool die Voraussetzungen von Art. 5 I DSGVO erfüllt sein. Die dortigen Voraussetzungen korrespondieren mit Angaben im VVT. Von daher würde ich ich es für jedes Tracking-Tool einzeln machen.
Schönen Gruß
Zur Erfüllungg der Obliegenheiten aus Art. 30 dürfte ein eintrag genügen.
Zum Nachweis der Rechtskonformität der Verarbeitung und zur schaffung einer Grundlage für die Prüfung und Verbesserung sollte man hier zwei Verarbeitungen im Verzeichnis erstellen:
Eine für die Verarbeitungen auf 6(1) lit. f
Eine für die, bei denen einen Einwilligung erfroderlich ist
Man könnte, um hier auch differenzierte Rechtsgrundlagen der Auslandsübermittlung oder zur Prüfung der AV bzw. gemeinsamen Verantwortungen hier ggf. im Rahmen der Optimierung dies noch weiter unterteilen, wobei man hier aber dem Risiko der Verarbeitungen Rechnung tragen sollte. (aus z.B. Anzahl und Umfang der Daten.)
Nur so zum Spass: Stellen Sie einmal bei den Kollegen aus dem Marketing die Frage:
“Welche Entscheidungen werden aufgrund der gesammelten Daten gefällt?
Rechtfertigt dies den Aufwand?
Da genügen dorch viel einfacher, anonym erhobene Daten, oder?”
… oft stellt sich dann nämlich heraus, dass die erhobenen Daten garnicht genutzt werden, nieman die Statistiken abruft und es schon garkein Konzept gibt, wie diese bewertet werden.
(Ausnahmen bestätigen die Regel.)
Vielen Dank für den tollen Austausch!
Ich finde es interessant zu sehen, dass es tatsächlich verschiedene Lösungsmöglichkeiten gibt und nehme einige Inspiration mit.
Das ist richtig. Ich habe beides allerdings in die Vorlage fürs VVT mit aufgenommen, da es mir als Grundlage für die Prüfung dient und damit die Arbeit erleichtert.
) und ggf. auf unterschiedlichen Rechtsgrundlagen beruhen (Bei dem einen Tool ist es vielleicht Art 6 1 f), bei dem anderen die Einwilligung), war meine Überlegung, ob es Sinn macht, die Verarbeitungstätigkeit, die hinter den Tools steht, mE ist es wohl bei allen “Tracking”, zusammen zu fassen, oder ob man besser getrennt (ggf. nach Rechtsgrundlage und/oder Zweck) dokumentiert.
