Hauptnavigation: Datenschutz

Verzeichnis der Verarbeitungstätigkeiten (Verfahrensverzeichnis) verwalten

Das Verzeichnis der Verarbeitungstätigkeiten ist das zentrale Dokument zum Nachweis des Datenschutzes in einer Organisation. Es ist daher Pflicht für jede Art von Organisation. Es ist zweckmäßig, dieses Verzeichnis digital zu führen.

Hintergrund

Jede Organisation ist gemäß Art. 30 DSGVO verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Im allgemeinen Sprachgebrauch wird es auch als sogenanntes „Verfahrensverzeichnis“ bezeichnet.

Im Verfahrensverzeichnis werden alle Prozesse der Organisation analysiert, in denen personenbezogene Daten verarbeitet werden. Wie detailliert diese Analyse durchgeführt wird, hängt vom Prozess und den Risiken der Verarbeitung der personenbezogenen Daten ab.

Verfahren fassen daher nicht selten einzelne Detailprozesse in einem größeren Kontext zusammen.  Zum Beispiel wird das "Bewerbermanagement" häufig nicht unterteilt die Teilprozesse:

  1.  Eingang der Bewerbung
  2. Verarbeitung der Bewerbung
  3. Verteilung der Bewerbung
  4.  Ausfall des Bewerbers
  5. usw.

 vielmehr interessiert bei der Definition des Verfahrens,

  • welche personenbezogene Daten (sogenannte „Datenkategorien")
  • zu welchem Zweck (z. B. "Durchführung eines Bewerbungsverfahrens")
  • auf welcher Rechtsgrundlage (hier: Einwilligung des Bewerbers, Anbahnung eines Arbeitsvertrages und berechtigtes Interesse des Arbeitgebers)
  • wie verarbeitet wird (hier z. B.: per E-Mail, per Datei-Server) 
  • und wer diese Daten empfängt (hier: Personalabteilung, relevante Fachabteilung, Geschäftsleitung) 

Durch die Betrachtung dieser und noch weiterer Aspekte wird dem Verarbeiter eines solchen Verfahrens klar, ob die Verarbeitung rechtmäßig und zweckmäßig ist, ob Risiken für die Betroffenen bestehen und vielleicht auch, an welcher Stelle ein solches Verfahren bzw. dessen Teilprozesse optimiert werden können.

Ferner bekommt man durch das Verzeichnis der Verarbeitungstätigkeit einen guten Überblick, welche IT-Systeme bzw. Dokumente in der Organisation verwendet werden, um personenbezogene Daten zu verarbeiten.

Diese Fragestellung ist wichtig, um zu klären, ob in die Verarbeitung ein sogenannter Auftragsverarbeiter einbezogen worden ist. Mit diesem müssten dann spezielle vertragliche Regelungen getroffen werden. 

Weitere Informationen zum Verzeichnis der Verarbeitungstätigkeiten finden Sie in unserem Wiki-Artikel zum Thema.

Verzeichnis der Verarbeitungstätigkeiten verwalten

Die Verwaltung des Verzeichnis der Verarbeitungstätigkeiten erreichen Sie im Hauptmenü unter: 

  • Datenschutz > Verzeichnis der Verarbeitungstätigkeiten

Zunächst öffnet sich die Tabellenansicht. Die allgemein Funktionalität der Tabellensicht wird in dem Artikel Tabellensicht verwenden beschrieben.

In der Tabellenansicht sehen Sie die Übersicht der aktuell bereits angelegten Verarbeitungstätigkeiten.

Verarbeitungstätigkeit der erstellen

Um eine Verarbeitungstätigkeit zu erstellen, drücken Sie in der Tabellenansicht Datenschutz > Verzeichnis der Verarbeitungstätigkeiten auf den Button: Verarbeitungstätigkeit erstellen. Es öffnet sich die leere Eingabemaske mit dem Formular zur Erstellung der Verarbeitungstätigkeit.

Das Formular weist folgende Datenbereiche auf:

  • Spezifikation: Bearbeiten Sie den Titel, die Beschreibung und die organisatorische Verankerung der Verarbeitungstätigkeit.
  • Rechtsgrundlage: Definieren Sie die Zweckmäßigkeit der Verarbeitungstätigkeit, dessen Rechtsgrundlagen und begründen Sie eigene Interessen zur Nutzung dieses Verfahrens.
  • Betroffene: Erfassen Sie, welche Daten von wem in dieser Verarbeitungstätigkeit erfasst werden.
  • Empfänger: Analysieren Sie, wohin die Daten aus diesem Verfahren fließen.
  • Risikobewertung: Bewerten Sie nach einer Checkliste das Risiko der Datenverarbeitung für die Betroffenen.
  • Status & Freigabe: Erfassen Sie den Status und den Freigabezyklus der Verarbeitungstätigkeit.
  • Notizen: Machen Sie sich Notizen zu der Verarbeitungstätigkeit.

Durch Klicken auf die jeweiligen Registereinträge am linken Bildrand, können Sie zwischen diesen Datenbereichen wechseln.

Datenbereich: Spezifikation

Dieser Datenbereich weist folgende Formularfelder auf:

  • Bezeichnung:  Geben Sie einen kurzen Titel an (zum Beispiel Bewerbungseingang, Social-Media-Aktivitäten), der angibt, welche Verarbeitungstätigkeit sie dokumentieren.
  • Beschreibung: Beschreiben Sie kompakt, wie das Verfahren (bspw. der Bewerbungseingang) in Ihrer Organisation abläuft. In dieser Beschreibung sollten die Teilschritte des Prozesses, der dem Verfahren zu Grunde liegt, beschrieben werden.
  • Gilt an Standorten: Geben Sie an, an welchen Standorten der Organisation diese Verarbeitungstätigkeit gilt. Es können ein oder mehrere Standorte angegeben werden. Gerade Verfahren, die auf zentral organisierten Prozessen beruhen (z.B. "Personalverwaltung"), sind für mehrere oder alle Standorte einer Organisation gleich.
  • Gilt in Abteilungen: Geben Sie an, in welchen Funktionsbereichen (z.B. Abteilungen oder Dezernaten) der obigen Standorte diese Verarbeitungstätigkeit gilt.
  • Verantwortlicher der Verarbeitungstätigkeit: Geben Sie den Verantwortlichen (Prozessbesitzer) des Verfahrens ein. Dieses ist eine Person, die Sie unter Datenschutz > Personen (Hilfeseite "Personen verwalten") bereits erstellt haben oder noch erstellen müssen.
  • Verfahren gemeinsam Verantwortlicher: Geben Sie ein, ob es sich um ein Verfahren handelt, welches gemäß Art. 26 DSGVO durch gemeinsam Verantwortliche betrieben wird.

Datenbereich: Rechtsgrundlage

Dieser Datenbereich weist folgende Formularfelder auf:

  • Zweck der Verarbeitung: Geben Sie an, zu welchem Zweck das Verfahren betrieben wird. Der Zweck muss gemäß Art. 5 Abs. 1 lit. c DSGVO angemessen und erheblich, sowie auf das, für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Als Faustregel könnte man sagen, dass Zwecke, die man selbst nicht gutheißt, nicht geeignet sind, um eine Verarbeitung personenbezogener Daten zu begründen.
  • Rechtsgrundlage im Datenschutzrecht: Geben Sie die datenschutzbezogene Rechtsgrundlage der Verarbeitung an. Neben staatlichen Datenschutzgesetzen (DSGVO, BDSG) können hier sowohl spezifische Datenschutzgesetze der Bundesländer als auch der katholischen und evangelischen Kirche sowie anderer religiöser Organisationen zum Tragen kommen. Anerkannte religiöse Gemeinschaften haben nach 140 GG die Möglichkeit eigene Datenschutzgesetze oder Datenschutzordnungen zu erlassen. Artikel 91 DSGVO bestätigt diesen Tatbestand.
  • Spezielle Rechtsgrundlagen: Basiert die Datenverarbeitung der Verarbeitungstätigkeit auf Art. 6 Abs. 1 lit. c DSGVO (einer rechtlichen Verpflichtung, z. B. Übermittlung von Lohndaten an das Finanzamt) und Art. 6 Abs. 1 lit. e DSGVO (Aufgabe des öffentlichen Interesses oder in Ausübung öffentlicher Gewalt, z. B. Lebensmittelkontrollen durch bestellte Kontrolleure), sollen die konkret angewendeten Rechtsgrundlagen hier spezifiziert werden. Diese sind nach Branche der Organisation sehr vielfältig. Fehlt Ihnen eine Rechtsgrundlage freuen wir uns über eine E-Mail an: support@robin-data.io.
  • Begründung eines berechtigten Interesses: Sofern dieses Verfahren auf einem berechtigten Interesse gemäß Art. 6. Abs. 1 lit. f DSGVO beruht, führen Sie bitte aus, worin dieses berechtigte Interesse in diesem Verfahren begründet liegt. Näheres zum Berechtigten Interesse finden Sie in unserem Datenschutz-Glossar.

Datenbereich: Betroffene

Dieser Datenbereich weist folgende Formularfelder auf:

  • Betroffene: Geben Sie die Betroffenen an, deren persönliche Daten in dieser Verarbeitungstätigkeit verarbeitet werden. 
  • Datenarten: Geben Sie die in diesem Verfahren verwendeten Datenarten ein. Datenarten fassen Datenkategorien zusammen und sind in der Regel konkrete Dokumente wie: Zeugnisse, Geschäftsbriefe etc. Durch die Wahl der Datenart werden die zugehörigen Datenkategorien automatisch ausgewählt.
  • Datenkategorie: Geben Sie die Kategorien personenbezogener Daten (z. B. Name, Vorname, E-Mail-Adresse etc.) ein, die in diesem Verfahren verarbeitet werden. 

Datenbereich: Empfänger

Dieser Datenbereich weist folgende Formularfelder auf:

  • Interne Empfänger: Wählen Sie aus, welche internen Empfänger innerhalb Ihrer Organisation personenbezogene Daten aus diesem Verfahren erhalten und verarbeiten.
  • Externe Empfänger: Wählen Sie aus, welche externen Empfänger innerhalb Ihrer Organisation personenbezogene Daten aus diesem Verfahren erhalten und verarbeiten. Sofern die Liste leer ist, müssen Sie unter Datenschutz > Externe Empfänger die für Sie relevanten, externen Empfänger einzufügen. 
  • Dienstleistungsservice: Geben Sie an, welcher Dienstleister oder welches Produkt der externen Kontakte in diesem Verfahren zum Einsatz kommt.
  • Datenübertragung in Drittländer: Geben Sie an, in welche Länder personenbezogene Daten des Verfahrens übertragen werden. Eine Übertragung personenbezogener Daten in ein Drittland (Land außerhalb der EU oder ein Land ohne angemessene Datenschutzgarantien, sowie das Privacy-Shield) ist eine weitere Maßnahme, für die Robin Data eine entsprechende Tätigkeit zur späteren Bearbeitung erstellt.
  • Zugeordneter Vertrag: Wählen Sie einen oder mehrere, dem Verfahren zugeordnete Verträge aus. Sollte in dieser Liste kein Vertrag erscheinen, müssen Sie unter Datenschutz > Verträge einen entsprechenden Vertrag einstellen.

Datenbereich: Risikobewertung

In diesem Datenbereich bewerten Sie, welche Risiken für die Betroffenen von diesem Verfahren ausgehen. Gegebenenfalls ist es erforderlich, eine Datenschutzfolgeabschätzung unter Datenschutz > Datenschutzfolgeabschätzung zu erstellen.

Als Faustregel gilt, dass eine Datenschutzfolgeabschätzung erforderlich ist, wenn mindestens 2 oder mehr der folgenden Kriterien erfüllt sind. Allerdings ist jede Risikoabwägung eine Einzelfallentscheidung des verantwortlichen Verarbeiters.

  • Automatisierte Einzelfallentscheidungen werden durchgeführt: Beispiele sind die Schufa oder Kreditentscheidungen bei Banken
  • Daten schutzbedürftiger Betroffener werden verarbeitet: Beispiele sind die Verarbeitung von Kindern oder behinderten Menschen. Siehe auch Glossar-Datenschutz.
  • Datenbestände von Personendaten werden verglichen oder zusammengeführt: Beispiele sind Profile in sozialen Netzwerken oder die Auswertung verschiedener Datenquellen am Arbeitsplatz 
  • Erschwerte Ausübung von Betroffenenrechten liegt vor: Beispiele sind die Datenverarbeitung in unterschiedlichen Ländern oder mit Sprachbarrieren
  • Neuartige Technologien werden eingesetzt: Beispiele sind der Einsatz von Data Mining, Big-Data oder maschinellem Lernen 
  • Personendaten großen Umfangs werden verarbeitet: Beispiele sind Unternehmen die Daten im großen Stil sammeln (Post, Google, Facebook) oder viele Kunden aufweisen (E-Commerce-Händler)
  • Scoring, Profiling, Evaluation von Personen wird durchgeführt: Beispiele sind die Auswertung von Leistungsdaten am Arbeitsplatz oder Sport, Scoring zur Ermittlung der Kreditwürdigkeit 
  • Sensitive Personendaten werden verarbeitet: Beispiele sind die Verarbeitung großer Mengen an Gesundheitsdaten (z. B. Krankenhaus) oder Verarbeitung von Finanzdaten in einem Finanzamt
  • Systematische Überwachung von Personen wird durchgeführt: Beispiel sind die Kameraüberwachung von Arbeitsplätzen oder das GPS-Tracking von Kraftfahrzeugen oder Lastkraftwagen bzw. deren Fahrer
  • Übermittlung von Personendaten außerhalb der EU findet statt: Beispiel ist die Übermittlung dieser Daten in unsichere Drittländer wie China außerhalb eines Unternehmens

Abschließend nehmen Sie eine Bewertung der Risiken vor und legen fest, ob eine Datenschutz-Folgeabschätzung für diese Verarbeitungstätigkeit erforderlich ist:

  • Risikobewertung: Die Bewertung der Risiken in dieser Verarbeitungstätigkeit hängt davon ab, wie die einzelnen Kriterien eingeschätzt wurden. Sie ist in der Regel sehr stark vom Kontext abhängig und sollte im Idealfall in der Datenschutzorganisation gemeinsam getroffen werden.  Sind mindestens zwei der obigen Kriterien erfüllt, so ist das Risiko mindestens als medium einzuschätzen.  Sind mehr als zwei Kriterien erfüllt, so ist Risiko als hoch einzuschätzen.
  • Datenschutz-Folgeabschätzung erforderlich:  Ist das Risiko als medium bewertet, kann eine Datenschutz-Folgeabschätzung notwendig werden. Ist das Risiko als hoch bewertet ist eine Datenschutz-Folgeabschätzung zwingend erforderlich. Sie können unter Datenschutz > Datenschutz-Folgeabschätzung eine DSFA durchführen.

Datenbereich: Status & Freigabe

In diesem Datenbereich ist es möglich, den Status eines Dokumentes zu verwalten und das Freigabeverfahren des Dokumentes abzubilden.

  • Eine Verarbeitungstätigkeit wird in der Regel von einer Person, zum Beispiel dem Mitarbeiter einer Fachabteilung, erstellt.
  • Neben dieser Person sollte eine weitere Person prüfen, ob das Verfahren gesetzeskonform ist. Dieses kann zum Beispiel der Datenschutzbeauftragte vornehmen. 
  • Am Ende der Kette muss jemand die Verarbeitungstätigkeit offiziell freigeben. Dieses kann zum Beispiel durch den Vorgesetzten erledigt werden.

Dieser Datenbereich weist folgende Formularfelder auf:

  • Status: Geben Sie den aktuellen Bearbeitungsstatus der Verarbeitungstätigkeit an.
  • Erstellt von: Geben Sie die Person an, die diese Verarbeitungstätigkeit erstellt hat.
  • Erstellt am: Geben Sie das Datum ein, an dem die Erstellung dieser Verarbeitungstätigkeit abgeschlossen wurde.
  • Geprüft von: Geben Sie die Person an, die diese Verarbeitungstätigkeit geprüft hat.
  • Geprüft am: Geben Sie das Datum ein, an dem die Prüfung dieser Verarbeitungstätigkeit abgeschlossen wurde.
  • Freigegeben von: Geben Sie die Person an, die diese Verarbeitungstätigkeit freigegeben hat.
  • Freigegeben am: Geben Sie das Datum ein, an dem diese Verarbeitungstätigkeit zur Nutzung freigegeben wurde.

Datenbereich: Notizen

In diesem Feld ist Raum für Ihre Notizen zu dieser Verarbeitungstätigkeit.

Weiterführende Links

Weitere Frage? - Wir sind für Sie da.

Bei Fragen zur Software können Sie sich gern an unseren Support wenden. Sie erreichen uns unter support@robin-data.io.