Kundendaten
Verarbeitungstätigkeit
Verarbeitung von personenbezogenen Daten (pbD) - Teil 1
Verarbeitung von personenbezogenen Daten (pbD) - Teil 2
Verarbeitung von personenbezogenen Daten (pbD) - Teil 3
TOM - Technische und organisatorische Maßnahmen
Sonstige Themen
1/7
Verfahrensverzeichnis
Die DSGVO kennt die allgemeine Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO i. V. m. Art. 24 Abs. 1, sowie die Pflicht zur Führung eines Verarbeitungsverzeichnisses (genauer gesagt: Verzeichnis von Verarbeitungstätigkeiten, oft auch als „Dateistatut“ bezeichnet) aus Art. 30 DSGVO. Auch ein Verstoß dagegen ist bußgeldbewehrt. Das Verarbeitungsverzeichnis muss Mindestangaben enthalten, die in einer weiteren Betrachtung genauer beleuchtet werden. Dieses Verzeichnis mit ähnlichem Inhalt haben auch die Auftragsverarbeiter zu führen (Art. 30 Abs. 2 DSGVO). Siehe dazu auch Bewertung der Auftragsdatenverarbeitung. Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ist ein Teil der aus dem Accountability-Prinzip nach Art. 5 Abs. 2 i. V. m. Art. 24 resultierenden Pflicht, die Einhaltung der DSGVO nachweisen zu können. Dazu dient nach Art. 82 EG das Verzeichnis von Verarbeitungstätigkeiten in der Zuständigkeit des Verantwortlichen oder Auftragsverarbeiters. Insbesondere soll es der Zusammenarbeit mit den Aufsichtsbehörden dienen, sodass Verarbeitungsvorgänge anhand des Verzeichnisses kontrolliert werden können.
Bitte vergeben Sie hier einen eindeutigen Namen wie zum Beispiel "Anlage und Nutzung einer Geburtstagsliste mit Daten der Mitarbeiter"
Geben Sie hier Vorname, Nachname und Funktion an, z.B. Frau Anna Maier, Sekretärin der Geschäftsleitung.
Der Verfahrensverantwortliche ist derjenige, der dieses Verfahren betreut, benötigt oder der erste Ansprechpartner organisatorisch zu diesem Verfahren ist. Wir empfehlen zudem die Angabe einer Vertretung der/des Verfahrensverantwortlichen.
Dies kann z.B. der IT-Systemadministrator oder das Facility-Management im Hause sein.
Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen? Bei technischen Maßnahmen werden die Mitarbeiter der verantwortlichen Stelle durch Systeme oder elektronische Verfahren zur Einhaltung der definierten Vorgaben gezwungen. Organisatorische Maßnahmen beschreiben solche Vorkehrungen, mit denen sich die Mitarbeiter der verantwortlichen Stelle „selbst verpflichten“, durch ihr Verhalten den Belangen des Datenschutzes Rechnung zu tragen. Es besteht kein technischer Zwang, sodass ein (i.d.R. verbotenes) Abweichen von den Vorgaben möglich ist.
Hinweis: DSB ist nicht gleich ISB. Der Datenschutzbeauftragte ist notwendig, der IT-Sicherheitsbeauftragte wird in der Regel bei mittelständischen und Industrieunternehmen eingesetzt, teilweise auch bei größeren Behörden. Sollte Ihnen der Einsatz eines ISB nicht bekannt sein, lassen Sie bitte dieses Feld frei.
BDSG (Bundesdatenschutzgesetz)DSGVO (EU-Datenschutzgrundverordnung)AO (Abgabenordnung)HGB (Handelsgesetzbuch)HochschulgesetzAufenthV (Aufenthaltsverordnung)BAföG (Bundesausbildungsförderungsgesetz)
Listen Sie hier einfach die personenbezogenen Daten auf, die für die Bearbeitung bzw. Verarbeitung notwendig sind. Bei einer Gratulation-Liste sind dies zum Beispiel Vorname, Nachname, Tag und Monat. Achten Sie auf die Datensparsamkeit. Es dürfen nur Daten abgefragt und verarbeitet werden, die zu einem bestimmten Zweck notwendig sind. In diesem Beispiel können wir also auf das Geburtsjahr verzichten, außer wir würden als Grund auch das "Gratulieren bei runden Geburtstagen" aufschreiben und so gegenüber den Betroffenen bei Datenaufnahmen kommunizieren. Weitere Kategorien sind: Abteilung, Account, Adresse, Bilddaten, IP-Adressen, E-Mail-Adressen, Username, Familienstand, Staatsangehörigkeit, Telefonnummer etc.
Zum Beispiel namentlich oder nur Angabe der Abteilung
Internen Stellen können Abteilungen (zum Beispiel Personalabteilung), aber auch Personen (zum Beispiel der Geschäftsführer) sein.
Welche externen Stellen erhalten diese personenbezogenen Daten? (Zum Beispiel der Steuerberater, falls Sie die Lohnbuchhaltung outgesourct haben ODER die Druckerei, die in Ihrem Auftrag Einladungskarten druckt und versendet)
JaNein
Hinweis: Bei Übermittlung an ein Drittland oder eine internationale Organisation stellt sich die Frage nach geeigneten Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO.
Personenbezogene Daten werden DIREKT bei der betroffenen Person erhoben.Personenbezogene Daten werden NICHT bei der betroffenen Person erhoben, sondern über Dritte.Die/der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten bei der betroffenen Person erhoben wurden oder sonst erlangt wurden.
Sehr niedrigNiedrigDurchschnittlichHochSehr hoch
DSFA: Die Datenschutz-Folgenabschätzung ist eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG). Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten (u.a. Leistungskontrolle). In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Genau wie die Vorabkontrolle dient die Datenschutz-Folgenabschätzung also der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.
Frage: Wann ist eine DSFA zu machen? Antwort: Falls eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat.
Zurück