Hauptnavigation: Datenschutz

Verzeichnis der Verarbeitungstätigkeiten (Verfahrensverzeichnis) verwalten

Das Verzeichnis der Verarbeitungstätigkeiten ist das zentrale Dokument zum Nachweis des Datenschutzes in einer Organisation. Es ist daher Pflicht für jede Art von Organisation. Es ist zweckmäßig, dieses Verzeichnis digital zu führen.

Hintergrund

Jede Organisation ist gemäß Art. 30 DSGVO verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Im allgemeinen Sprachgebrauch wird es auch als sogenanntes „Verfahrensverzeichnis“ bezeichnet.

Im Verfahrensverzeichnis werden alle Prozesse der Organisation analysiert, in denen personenbezogene Daten verarbeitet werden. Wie detailliert diese Analyse durchgeführt wird, hängt vom Prozess und den Risiken der Verarbeitung der personenbezogenen Daten ab.

Verfahren fassen daher nicht selten einzelne Detailprozesse in einem größeren Kontext zusammen.  Zum Beispiel wird das "Bewerbermanagement" häufig nicht unterteilt die Teilprozesse:

  1.  Eingang der Bewerbung
  2. Verarbeitung der Bewerbung
  3. Verteilung der Bewerbung
  4.  Ausfall des Bewerbers
  5. usw.

 vielmehr interessiert bei der Definition des Verfahrens,

  • welche personenbezogene Daten (sogenannte „Datenkategorien")
  • zu welchem Zweck (z. B. "Durchführung eines Bewerbungsverfahrens")
  • auf welcher Rechtsgrundlage (hier: Einwilligung des Bewerbers, Anbahnung eines Arbeitsvertrages und berechtigtes Interesse des Arbeitgebers)
  • wie verarbeitet wird (hier z. B.: per E-Mail, per Datei-Server) 
  • und wer diese Daten empfängt (hier: Personalabteilung, relevante Fachabteilung, Geschäftsleitung) 

Durch die Betrachtung dieser und noch weiterer Aspekte wird dem Verarbeiter eines solchen Verfahrens klar, ob die Verarbeitung rechtmäßig und zweckmäßig ist, ob Risiken für die Betroffenen bestehen und vielleicht auch, an welcher Stelle ein solches Verfahren bzw. dessen Teilprozesse optimiert werden können.

Ferner bekommt man durch das Verzeichnis der Verarbeitungstätigkeit einen guten Überblick, welche IT-Systeme bzw. Dokumente in der Organisation verwendet werden, um personenbezogene Daten zu verarbeiten.

Diese Fragestellung ist wichtig, um zu klären, ob in die Verarbeitung ein sogenannter Auftragsverarbeiter einbezogen worden ist. Mit diesem müssten dann spezielle vertragliche Regelungen getroffen werden. 

Weitere Informationen zum Verzeichnis der Verarbeitungstätigkeiten finden Sie in unserem Wiki-Artikel zum Thema.

Verzeichnis der Verarbeitungstätigkeiten verwalten

Die Verwaltung des Verzeichnis der Verarbeitungstätigkeiten erreichen Sie im Hauptmenü unter: 

  • Datenschutz > Verzeichnis der Verarbeitungstätigkeiten

Zunächst öffnet sich die Tabellenansicht. Die allgemein Funktionalität der Tabellensicht wird in dem Artikel Tabellensicht verwenden beschrieben.

In der Tabellenansicht sehen Sie die Übersicht der aktuell bereits angelegten Verarbeitungstätigkeiten.

 

Das Video ist aktuell nur in Deutsch verfügbar

Verarbeitungstätigkeit importieren

Um eine Verarbeitungstätigkeit zu importieren, klicken Sie in der Tabellenansicht Datenschutz > Verzeichnis der Verarbeitungstätigkeiten auf den Button: Verarbeitungstätigkeit. Es öffnet sich der Slider, über den Verarbeitungstätigkeiten aus der Datenbank importiert werden können. 

 

Slider Verarbeitungstätigkeit importieren

Zum Vergrößern des Bildes bitte Klicken

 

Der Slider weist folgende Datenbereiche auf:

  • Branche: Wählen Sie aus über 350 Branchen die auf Ihr Unternehmen zutreffende Branche aus
  • Suche: Über die Suche können Sie nach Verarbeitungstätigkeiten aus Ihrem Unternehmen suchen
  • Tabelle:
    • Checkboxen: In der Tabelle finden Sie in der ersten Spalte ein Checkboxen, über die Sie Verarbeitungstätigkeiten auswählen können.
    • Bezeichnung: In der Spalte "Bezeichnung" finden Sie die Verarbeitungstätigkeiten
    • Gilt in Funktionsbereichen: In der letzten Spalte auf der rechten Seite wird Ihnen angezeigt, in welchem Funktionsbereich die Verarbeitungstätigkeit gilt.
  • Zeilen pro Seite: Stellen Sie ein wie viele Zeilen Sie pro Seite angezeigt bekommen möchten. Standardmäßig vor eingestellt sind 25 Zeilen pro Seite.
  • Paginierung: Wechseln Sie zwischen den verschiedenen Seiten.
  • Alle zeigen / nicht vorhanden zeigen: Insofern Sie bereits Verarbeitungstätigkeiten importiert haben, können Sie die bereits importierten Verarbeitungstätigkeiten aus der Tabelle ausblenden, indem Sie den Button nach rechts auf "Zeige nicht vorhandene" klicken.
  • Importieren: Mit Klick auf "Importieren" werden die über die Checkboxen in der Tabelle ausgewählten Verarbeitungstätigkeiten in Ihre Datenschutz-Dokumentation übertragen.

Sie sind Kunde von Robin Data und Ihnen fehlt eine Verarbeitungstätigkeit in unser Datenbank?

 

Robin Data bietet Kunden an, fehlende Verarbeitungstätigkeiten auf Anfrage zu erstellen. Bitte nehmen Sie in diesem Fall über support@robin-data.io Kontakt mit uns auf und beschreiben Sie uns in kurzer Form die fehlende Verarbeitungstätigkeit.

 

Verarbeitungstätigkeit erstellen

Um eine Verarbeitungstätigkeit zu erstellen, klicken Sie im Hauptmenü Datenschutz > Verzeichnis der Verarbeitungstätigkeiten auf den Button: Verarbeitungstätigkeit. Es öffnet sich zunächst der Slider zum Import von Verarbeitungstätigkeiten aus der Datenbank von Robin Data. Oben rechts im Slider finden Sie den Button "Verarbeitungstätigkeit erstellen". Durch Klick auf diesen Button öffnet sich die leere Eingabemaske mit dem Formular zur Erstellung der Verarbeitungstätigkeit.

 

Eingabemaske Verarbeitungstätigkeit erstellen

Zum Vergrößern des Bildes bitte Klicken

 

Das Formular weist folgende Datenbereiche auf:

  • Spezifikation: Bearbeiten Sie den Titel, die Beschreibung und die organisatorische Verankerung der Verarbeitungstätigkeit.
  • Rechtsgrundlage: Definieren Sie die Zweckmäßigkeit der Verarbeitungstätigkeit, dessen Rechtsgrundlagen und begründen Sie eigene Interessen zur Nutzung dieses Verfahrens.
  • Betroffene: Erfassen Sie, welche Daten von wem in dieser Verarbeitungstätigkeit erfasst werden.
  • Empfänger: Analysieren Sie, wohin die Daten aus diesem Verfahren fließen.
  • Risikobewertung: Bewerten Sie nach einer Checkliste das Risiko der Datenverarbeitung für die Betroffenen.
  • Technisch-organisatorische Maßnahmen: Wählen Sie aus dem Dropdown-Menü eine zutreffende TOM aus.
  • Status & Freigabe: Erfassen Sie den Status und den Freigabezyklus der Verarbeitungstätigkeit.
  • Notizen: Machen Sie sich Notizen zu der Verarbeitungstätigkeit.

Durch Klicken auf die jeweiligen Registereinträge am linken Bildrand, können Sie zwischen diesen Datenbereichen wechseln.

Datenbereich: Spezifikation

Dieser Datenbereich weist folgende Formularfelder auf:

  • Bezeichnung:  Geben Sie einen kurzen Titel an (zum Beispiel Bewerbungseingang, Social-Media-Aktivitäten), der angibt, welche Verarbeitungstätigkeit sie dokumentieren.
  • Beschreibung: Beschreiben Sie kompakt, wie das Verfahren (bspw. der Bewerbungseingang) in Ihrer Organisation abläuft. In dieser Beschreibung sollten die Teilschritte des Prozesses, der dem Verfahren zu Grunde liegt, beschrieben werden.
  • Gilt an Standorten: Geben Sie an, an welchen Standorten der Organisation diese Verarbeitungstätigkeit gilt. Es können ein oder mehrere Standorte angegeben werden. Gerade Verfahren, die auf zentral organisierten Prozessen beruhen (z.B. "Personalverwaltung"), sind für mehrere oder alle Standorte einer Organisation gleich.
  • Gilt in Funktionsbereichen: Geben Sie an, in welchen Funktionsbereichen (z.B. Abteilungen oder Dezernaten) der obigen Standorte diese Verarbeitungstätigkeit gilt.
  • Verantwortlicher: Geben Sie den Verantwortlichen (Prozessbesitzer) des Verfahrens ein. Dieses ist eine Person, die Sie unter Datenschutz > Personen (Hilfeseite "Personen verwalten") bereits erstellt haben oder noch erstellen müssen.
  • Verarbeitungstätigkeit gemeinsam Verantwortlicher: Geben Sie ein, ob es sich um ein Verfahren handelt, welches gemäß Art. 26 DSGVO durch gemeinsam Verantwortliche betrieben wird.

Datenbereich: Rechtsgrundlage

Dieser Datenbereich weist folgende Formularfelder auf:

  • Zweck der Verarbeitung: Geben Sie an, zu welchem Zweck das Verfahren betrieben wird. Der Zweck muss gemäß Art. 5 Abs. 1 lit. c DSGVO angemessen und erheblich, sowie auf das, für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Als Faustregel könnte man sagen, dass Zwecke, die man selbst nicht gutheißt, nicht geeignet sind, um eine Verarbeitung personenbezogener Daten zu begründen.
  • Rechtsgrundlage im Datenschutzrecht: Geben Sie die datenschutzbezogene Rechtsgrundlage der Verarbeitung an. Neben staatlichen Datenschutzgesetzen (DSGVO, BDSG) können hier sowohl spezifische Datenschutzgesetze der Bundesländer als auch der katholischen und evangelischen Kirche sowie anderer religiöser Organisationen zum Tragen kommen. Anerkannte religiöse Gemeinschaften haben nach 140 GG die Möglichkeit eigene Datenschutzgesetze oder Datenschutzordnungen zu erlassen. Artikel 91 DSGVO bestätigt diesen Tatbestand.
  • Spezielle Rechtsgrundlagen: Basiert die Datenverarbeitung der Verarbeitungstätigkeit auf Art. 6 Abs. 1 lit. c DSGVO (einer rechtlichen Verpflichtung, z. B. Übermittlung von Lohndaten an das Finanzamt) und Art. 6 Abs. 1 lit. e DSGVO (Aufgabe des öffentlichen Interesses oder in Ausübung öffentlicher Gewalt, z. B. Lebensmittelkontrollen durch bestellte Kontrolleure), sollen die konkret angewendeten Rechtsgrundlagen hier spezifiziert werden. Diese sind nach Branche der Organisation sehr vielfältig. Fehlt Ihnen eine Rechtsgrundlage freuen wir uns über eine E-Mail an: support@robin-data.io.

Datenbereich: Betroffene

Dieser Datenbereich weist folgende Formularfelder auf:

  • Betroffene: Geben Sie die Betroffenen an, deren persönliche Daten in dieser Verarbeitungstätigkeit verarbeitet werden. 
  • Datenarten: Geben Sie die in diesem Verfahren verwendeten Datenarten ein. Datenarten fassen Datenkategorien zusammen und sind in der Regel konkrete Dokumente wie: Zeugnisse, Geschäftsbriefe etc. Durch die Wahl der Datenart werden die zugehörigen Datenkategorien automatisch ausgewählt.
  • Datenkategorie: Geben Sie die Kategorien personenbezogener Daten (z. B. Name, Vorname, E-Mail-Adresse etc.) ein, die in diesem Verfahren verarbeitet werden. 

Datenbereich: Empfänger

Dieser Datenbereich weist folgende Formularfelder auf:

  • Interne Empfänger: Wählen Sie aus, welche internen Empfänger innerhalb Ihrer Organisation personenbezogene Daten aus diesem Verfahren erhalten und verarbeiten.
  • Externe Empfänger: Wählen Sie aus, welche externen Empfänger innerhalb Ihrer Organisation personenbezogene Daten aus diesem Verfahren erhalten und verarbeiten. Sofern die Liste leer ist, müssen Sie unter Datenschutz > Externe Empfänger die für Sie relevanten, externen Empfänger einzufügen. 
  • Dienstleistungsservice: Geben Sie an, welcher Dienstleister oder welches Produkt der externen Kontakte in diesem Verfahren zum Einsatz kommt.
  • Datenübertragung in Länder: Geben Sie an, in welche Länder personenbezogene Daten des Verfahrens übertragen werden. Eine Übertragung personenbezogener Daten in ein Drittland (Land außerhalb der EU oder ein Land ohne angemessene Datenschutzgarantien, sowie das Privacy-Shield) ist eine weitere Maßnahme, für die Robin Data eine entsprechende Tätigkeit zur späteren Bearbeitung erstellt.
  • Zugeordneter Vertrag: Wählen Sie einen oder mehrere, dem Verfahren zugeordnete Verträge aus. Sollte in dieser Liste kein Vertrag erscheinen, müssen Sie unter Datenschutz > Verträge einen entsprechenden Vertrag einstellen.

Datenbereich: Risikobewertung

In diesem Datenbereich bewerten Sie, welche Risiken für die Betroffenen von diesem Verfahren ausgehen. Gegebenenfalls ist es erforderlich, eine Datenschutz-folgenabschätzung unter Datenschutz > Datenschutz-folgenabschätzung zu erstellen.

Als Faustregel gilt, dass eine Datenschutz-folgenabschätzung erforderlich ist, wenn mindestens 2 oder mehr der folgenden Kriterien erfüllt sind. Allerdings ist jede Risikoabwägung eine Einzelfallentscheidung des verantwortlichen Verarbeiters.

  • Automatisierte Einzelfallentscheidungen werden durchgeführt: Beispiele sind die Schufa oder Kreditentscheidungen bei Banken
  • Daten schutzbedürftiger Betroffener werden verarbeitet: Beispiele sind die Verarbeitung von Kindern oder behinderten Menschen. Siehe auch Glossar-Datenschutz.
  • Übermittlung von Personendaten außerhalb der EU findet statt: Beispiel ist die Übermittlung dieser Daten in unsichere Drittländer wie China außerhalb eines Unternehmens
  • Neuartige Technologien werden eingesetzt: Beispiele sind der Einsatz von Data Mining, Big-Data oder maschinellem Lernen 
  • Scoring, Profiling, Evaluation von Personen wird durchgeführt: Beispiele sind die Auswertung von Leistungsdaten am Arbeitsplatz oder Sport, Scoring zur Ermittlung der Kreditwürdigkeit 
  • Datenbestände von Personendaten werden verglichen oder zusammengeführt: Beispiele sind Profile in sozialen Netzwerken oder die Auswertung verschiedener Datenquellen am Arbeitsplatz 
  • Systematische Überwachung von Personen wird durchgeführt: Beispiel sind die Kameraüberwachung von Arbeitsplätzen oder das GPS-Tracking von Kraftfahrzeugen oder Lastkraftwagen bzw. deren Fahrer
  • Personendaten großen Umfangs werden verarbeitet: Beispiele sind Unternehmen die Daten im großen Stil sammeln (Post, Google, Facebook) oder viele Kunden aufweisen (E-Commerce-Händler)
  • Erschwerte Ausübung von Betroffenenrechten liegt vor: Beispiele sind die Datenverarbeitung in unterschiedlichen Ländern oder mit Sprachbarrieren
  • Sensitive Personendaten werden verarbeitet: Beispiele sind die Verarbeitung großer Mengen an Gesundheitsdaten (z. B. Krankenhaus) oder Verarbeitung von Finanzdaten in einem Finanzamt

Abschließend nehmen Sie eine Bewertung der Risiken vor und legen fest, ob eine Datenschutz-Folgenabschätzung für diese Verarbeitungstätigkeit erforderlich ist:

  • Risikobewertung: Die Bewertung der Risiken in dieser Verarbeitungstätigkeit hängt davon ab, wie die einzelnen Kriterien eingeschätzt wurden. Sie ist in der Regel sehr stark vom Kontext abhängig und sollte im Idealfall in der Datenschutzorganisation gemeinsam getroffen werden.  Sind mindestens zwei der obigen Kriterien erfüllt, so ist das Risiko mindestens als medium einzuschätzen.  Sind mehr als zwei Kriterien erfüllt, so ist Risiko als hoch einzuschätzen.
  • Datenschutz-folgenabschätzung erforderlich:  Ist das Risiko als medium bewertet, kann eine Datenschutz-Folgenabschätzung notwendig werden. Ist das Risiko als hoch bewertet ist eine Datenschutz-Folgenabschätzung zwingend erforderlich. Sie können unter Datenschutz > Datenschutz-Folgenabschätzung eine DSFA durchführen.

Datenbereich: Technisch-organisatorische Maßnahmen

  • Technisch-organisatorische Maßnahme: Verwenden Sie die Suche oder scrollen Sie durch die Liste an TOMs, um eine entsprechende Technisch-organisatorische Maßnahme zu hinterlegen.

Datenbereich: Status & Freigabe

In diesem Datenbereich ist es möglich, den Status eines Dokumentes zu verwalten und das Freigabeverfahren des Dokumentes abzubilden.

  • Eine Verarbeitungstätigkeit wird in der Regel von einer Person, zum Beispiel dem Mitarbeiter einer Fachabteilung, erstellt.
  • Neben dieser Person sollte eine weitere Person prüfen, ob das Verfahren gesetzeskonform ist. Dieses kann zum Beispiel der Datenschutzbeauftragte vornehmen. 
  • Am Ende der Kette muss jemand die Verarbeitungstätigkeit offiziell freigeben. Dieses kann zum Beispiel durch den Vorgesetzten erledigt werden.

Dieser Datenbereich weist folgende Formularfelder auf:

  • Status: Geben Sie den aktuellen Bearbeitungsstatus der Verarbeitungstätigkeit an.
  • Erstellt von: Geben Sie die Person an, die diese Verarbeitungstätigkeit erstellt hat.
  • Erstellt am: Geben Sie das Datum ein, an dem die Erstellung dieser Verarbeitungstätigkeit abgeschlossen wurde.
  • Geprüft von: Geben Sie die Person an, die diese Verarbeitungstätigkeit geprüft hat.
  • Geprüft am: Geben Sie das Datum ein, an dem die Prüfung dieser Verarbeitungstätigkeit abgeschlossen wurde.
  • Freigegeben von: Geben Sie die Person an, die diese Verarbeitungstätigkeit freigegeben hat.
  • Freigegeben am: Geben Sie das Datum ein, an dem diese Verarbeitungstätigkeit zur Nutzung freigegeben wurde.

Datenbereich: Notizen

In diesem Feld ist Raum für Ihre Notizen zu dieser Verarbeitungstätigkeit.

Verarbeitungstätigkeiten bearbeiten

Bereits angelegt Verarbeitungstätigkeiten können in der Tabelle unter Hauptmenü Datenschutz > Verzeichnis der Verarbeitungstätigkeiten bearbeitet werden. Dazu klicken Sie auf einen der Inhalte der Spalten Key / Company Key / Bezeichnung. Anschließend öffnet sich die Verarbeitungstätigkeit, die verschiedenen Datenbereich sind im Punkt Verarbeitungstätigkeit erstellen näher erläutert. Zusätzlich finden Sie auf der rechten Seite der Eingabemaske die Datenbereiche "Tätigkeit" und "Referenz".

Eingabeformular Verarbeitungstätigkeit bearbeiten

Zum Vergrößern des Bildes bitte Klicken

Datenbereich: Tätigkeit

In diesem Datenbereich werden alle Tätigkeiten angezeigt, die mir Ihrer Verarbeitungstätigkeit verknüpft sind. Zum erstellen einer Tätigkeit klicken Sie den Button oben rechts "Tätigkeit erstellen". Darauf hin öffnet sich ein neues Eingabeformular, eine nähere Erläuterung dazu finden Sie im Artikel Tätigkeiten-Manager.

Datenbereich: Referenzen

In diesem Datenbereich werden alle Löschklassen angezeigt, die mir Ihrer Verarbeitungstätigkeit verknüpft sind. Zum erstellen einer Löschklassen klicken Sie den Button oben rechts "Löschklasse erzeugen". Weitere Erläuterung zum Erzeugen von Löschklassen finden Sie im Artikel Löschkonzept.

Weiterführende Links

Weitere Frage? - Wir sind für Sie da.

Bei Fragen zur Software können Sie sich gern an unseren Support wenden. Sie erreichen uns unter support@robin-data.io