DSBextern-Tool Verfahrensverzeichnis

VERFAHRENSANWEISUNGEN = VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN

    • 1

      Kundendaten

    • 2

      Verarbeitungstätigkeit

    • 3

      Verarbeitung von personenbezogenen Daten (pbD) - Teil 1

    • 4

      Verarbeitung von personenbezogenen Daten (pbD) - Teil 2

    • 5

      Verarbeitung von personenbezogenen Daten (pbD) - Teil 3

    • 6

      TOM - Technische und organisatorische Maßnahmen

    • 7

      Sonstige Themen

    1/7

    Kundendaten


    Ihr Name und Vorname

    Ihre E-Mail-Adresse

    Unternehmen/Behörde/Kanzlei/Praxis/Verein

    Kundennummer (diese steht auf der Rechnung)

    Ort und Datum Ihrer Eingabe


    Einleitung:

    Verfahrensverzeichnis

    Die DSGVO kennt die allgemeine Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO i. V. m. Art. 24 Abs. 1, sowie die Pflicht zur Führung eines Verarbeitungsverzeichnisses (genauer gesagt: Verzeichnis von Verarbeitungstätigkeiten, oft auch als „Dateistatut“ bezeichnet) aus Art. 30 DSGVO. Auch ein Verstoß dagegen ist bußgeldbewehrt. Das Verarbeitungsverzeichnis muss Mindestangaben enthalten, die in einer weiteren Betrachtung genauer beleuchtet werden. Dieses Verzeichnis mit ähnlichem Inhalt haben auch die Auftragsverarbeiter zu führen (Art. 30 Abs. 2 DSGVO). Siehe dazu auch Bewertung der Auftragsdatenverarbeitung. Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ist ein Teil der aus dem Accountability-Prinzip nach Art. 5 Abs. 2 i. V. m. Art. 24 resultierenden Pflicht, die Einhaltung der DSGVO nachweisen zu können. Dazu dient nach Art. 82 EG das Verzeichnis von Verarbeitungstätigkeiten in der Zuständigkeit des Verantwortlichen oder Auftragsverarbeiters. Insbesondere soll es der Zusammenarbeit mit den Aufsichtsbehörden dienen, sodass Verarbeitungsvorgänge anhand des Verzeichnisses kontrolliert werden können.


    Bezeichnung der Verarbeitungstätigkeit

    Bitte vergeben Sie hier einen eindeutigen Namen wie zum Beispiel "Anlage und Nutzung einer Geburtstagsliste mit Daten der Mitarbeiter"


    Verfahrensverantwortliche Person für obiges Verfahren

    Geben Sie hier Vorname, Nachname und Funktion an, z.B. Frau Anna Maier, Sekretärin der Geschäftsleitung.


    Vertretung für Verfahrensverantwortliche Person für obiges Verfahren

    Der Verfahrensverantwortliche ist derjenige, der dieses Verfahren betreut, benötigt oder der erste Ansprechpartner organisatorisch zu diesem Verfahren ist. Wir empfehlen zudem die Angabe einer Vertretung der/des Verfahrensverantwortlichen.


    Ansprechpartner für technische Maßnahmen zur Umsetzung

    Dies kann z.B. der IT-Systemadministrator oder das Facility-Management im Hause sein.


    Ansprechpartner für organisatorische Maßnahmen zur Umsetzung (z.B. Abteilungsleiter)

    Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen? Bei technischen Maßnahmen werden die Mitarbeiter der verantwortlichen Stelle durch Systeme oder elektronische Verfahren zur Einhaltung der definierten Vorgaben gezwungen. Organisatorische Maßnahmen beschreiben solche Vorkehrungen, mit denen sich die Mitarbeiter der verantwortlichen Stelle „selbst verpflichten“, durch ihr Verhalten den Belangen des Datenschutzes Rechnung zu tragen. Es besteht kein technischer Zwang, sodass ein (i.d.R. verbotenes) Abweichen von den Vorgaben möglich ist.


    Wie heißt der IT-Sicherheitsbeauftragte im Unternehmen (ISB), falls es diesen gibt?

    Hinweis: DSB ist nicht gleich ISB. Der Datenschutzbeauftragte ist notwendig, der IT-Sicherheitsbeauftragte wird in der Regel bei mittelständischen und Industrieunternehmen eingesetzt, teilweise auch bei größeren Behörden. Sollte Ihnen der Einsatz eines ISB nicht bekannt sein, lassen Sie bitte dieses Feld frei.


    Einleitung:

    Verarbeitung von personenbezogenen Daten (pbD) - Teil 1


    Bitte beschreiben Sie den genauen Zweck für die Datenerhebung und Bearbeitung personenbezogener Daten:


    Gibt es dazu eine Ihnen bekannte Rechtsgrundlage, die Sie angeben können?


    Absatz zur Rechtsgrundlage - falls bekannt


    Sonstige Angaben


    Einleitung:

    Verarbeitung von personenbezogenen Daten (pbD) - Teil 2


    Kategorien der personenbezogenen Daten

    Listen Sie hier einfach die personenbezogenen Daten auf, die für die Bearbeitung bzw. Verarbeitung notwendig sind. Bei einer Gratulation-Liste sind dies zum Beispiel Vorname, Nachname, Tag und Monat. Achten Sie auf die Datensparsamkeit. Es dürfen nur Daten abgefragt und verarbeitet werden, die zu einem bestimmten Zweck notwendig sind. In diesem Beispiel können wir also auf das Geburtsjahr verzichten, außer wir würden als Grund auch das "Gratulieren bei runden Geburtstagen" aufschreiben und so gegenüber den Betroffenen bei Datenaufnahmen kommunizieren. Weitere Kategorien sind: Abteilung, Account, Adresse, Bilddaten, IP-Adressen, E-Mail-Adressen, Username, Familienstand, Staatsangehörigkeit, Telefonnummer etc.


    Beschreiben Sie die betroffenen Personen

    Zum Beispiel namentlich oder nur Angabe der Abteilung


    Einleitung:

    Verarbeitung von personenbezogenen Daten (pbD) - Teil 3


    Welche internen Stellen (Personen, Abteilungen etc.) erhalten diese personenbezogenen Daten?

    Internen Stellen können Abteilungen (zum Beispiel Personalabteilung), aber auch Personen (zum Beispiel der Geschäftsführer) sein.


    Anlass der internen Offenlegung bzw. der Verarbeitung?


    Welche externen Stellen erhalten diese personenbezogenen Daten?

    Welche externen Stellen erhalten diese personenbezogenen Daten? (Zum Beispiel der Steuerberater, falls Sie die Lohnbuchhaltung outgesourct haben ODER die Druckerei, die in Ihrem Auftrag Einladungskarten druckt und versendet)


    Anlass der externen Offenlegung bzw. der Verarbeitung?


    Werden personenbezogene Daten im Rahmen des beschriebenen Verfahrens an Drittländer oder internationale Organisationen übermittelt?


    Falls eine Übermittlung in ein Drittland oder eine internationale Organisation erfolgt, geben Sie hier diese Länder an:

    Hinweis: Bei Übermittlung an ein Drittland oder eine internationale Organisation stellt sich die Frage nach geeigneten Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO.


    Einleitung:

    TOM - Technische und organisatorische Maßnahmen


    Bitte geben Sie die Löschfrist der erhobenen Daten an


    Bitte geben Sie eine etwaige Rechtsgrundlage zur Löschungsfrist an, soweit bekannt und vorhanden


    Gibt es bereits TOMs (Beschreibung der technischen und organisatorischen Maßnahmen)?


    Allgemeine oder zusätzliche Beschreibung der technischen und organisatorischen Maßnahmen


    Einleitung:

    Sonstige Themen


    Allgemeine Beschreibung der Maßnahmen zu den Informationspflichten des Verantwortlichen (Art. 13 und Art. 14 DSGVO)


    Datenschutz-Folgenabschätzung - wie schätzen Sie als Verfahrensverantwortlicher das Risiko für dieses Verfahren ein?

    DSFA: Die Datenschutz-Folgenabschätzung ist eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG). Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten (u.a. Leistungskontrolle). In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Genau wie die Vorabkontrolle dient die Datenschutz-Folgenabschätzung also der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

    Frage: Wann ist eine DSFA zu machen? Antwort: Falls eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat.


    Falls Sie obige DSFA mit HOCH oder SEHR HOCH beantworten, beschreiben Sie hier bitte Ihre Einschätzung genauer