Verzeichnis von Verarbeitungstätigkeiten

Als Nachweis der Einhaltung der Datenschutzverordnung, sollte der Verantwortliche oder der Auftragsverarbeiter, ein Verzeichnis der Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegt. Nach Anfrage der Aufsichtsbehörde, sollte das entsprechende Verzeichnis vorgelegt werden, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.

Die Verarbeitung der ausgeführten Vorgänge, mit oder ohne Hilfe automatisierter Verfahren, betreffen folgende Punkte:

• das Erheben,
• die Organisation,
• die Speicherung,
• die Veränderung,
• das Abfragen,
• die Verwendung,
• die Offenlegung durch Übermittlung oder eine andere Form der Bereitstellung,
• und das Löschen im Zusammenhang mit personenbezogenen Daten.

Anlegen

 

1. Durch auswählen der Schaltfläche „Anlegen„, gelangen sie zur Erstellung,  eines neuen Verzeichnisses der Verarbeitungstätigkeit.
2. Geben sie hier einen aussagekräftigen Namen der Verarbeitungstätigkeit ein und legen sie ebenfalls die Verantwortlichkeit für diese Tätigkeit fest. Wählen sie zwischen Controller und Auftragsverarbeiter und klicken sie anschließend auf „Speichern“ .

Dieses Verzeichnis benötigt nun eine Reihe von Prozessschritten, um es erfolgreich freizugeben:

1. Eintragen der Allgemeine Informationen.
2. Erstellung der Zwecke der Verarbeitung.
3. Kontrolle der Zwecke der Verarbeitung  und deren Freigabe, durch den Datenschutzbeauftragten bzw. Datenschutzmanager. (Sollte das Verzeichnis von einem Koordinator erstellt worden sein)
4. Begutachtung des Verzeichnisses der Verarbeitung.

Allgemeine Informationen

 

1. Durch auswählen der Schaltfläche „Hinzufügen“ oder der Schaltfläche „Schritt 1 Starte mit den allgemeinen Informationen wie Abteilung, Manager oder einer Kurzbeschreibung“ , gelangen sie zur Eingabe dieser Informationen.
2. Für die Allgemeinen Informationen, wird zuerst eine Abteilung ausgewählt, für die in der Regel ein Datenschutzkoordinater oder Datenschutzbeauftrager zuständig ist. Nach fertiger Auswahl einer Abteilung , wird der dazugehörige Manager automatisch substituiert.
3. Sollten noch zusätzliche Informationen vorhanden sein, können diese im Feld „Beschreibung“ hinzugefügt werden.
4. Nach Überprüfung der Korrektheit aller eingegebenen Informationen,  kann der Vorgang mit der Schaltfläche „Allgemeine Informationen hinzufügen“ abgeschlossen werden.

Zweck hinzufügen

Sie sollten beachten, dass sämtliche Änderungen der Datensätze in den Zwecken ausschließlich nur im Modus „Bearbeiten“ durchgeführt werden können. Andernfalls besteht nicht die Möglichkeit neue Datensätze anzulegen oder vorhandene Datensätze zu bearbeiten.

 

1. Durch Auswahl einer der beiden Schaltflächen, „+ Zweck hinzufügen“ , können sie dem Verzeichnis der Verarbeitungstätigkeit, einen neuen Zweck hinzufügen.
2. Nach betätigen der Schaltfläche „Wähle einen Zweck“ , gelangen sie zu einer vorgeschlagenen Auswahl, verschiedener Zwecke.
3. Sollte der gewünschte Zweck bei den Vorschlägen nicht gefunden werden, können sie durch Auswahl der Option „Weitere suchen…„, die Ansicht erweitern und alle Zwecke welche vorhanden sind durchsuchen.
4. Der Suchbereich wurde auf alle verfügbaren Zwecke im System erweitert. Wählen sie nun einen geeigneten Zweck für die Verarbeitung ihrer personenbezogenen Daten aus und fahren sie mit Punkt 7 fort.
5. Wenn auch die erweiterte Suche keine Treffer erzielte, dann bietet sich die Möglichkeit zusätzliche Zwecke „benutzerdefiniert“ anzulegen, indem man die Schaltfläche „Anlegen und Bearbeiten“ auswählt.
6. Mit dieser Aktion öffnet sich ein neues Fenster. Definieren sie nun den eigentlichen Zweck und geben sie bei Bedarf eine optionale Kurzbeschreibung bekannt. Anschließend klicken sie auf „Speichern“ um den neuen Zweck zu erstellen.
7. Die Beschreibung der Kategorien von betroffenen Personen und der von personenbezogener Daten, ist in der Notebook-Page Datenkategorien vorzufinden. Um betroffene Personen mit deren personenbezogenen Daten (in Datenkategorien geordnet) anzulegen,  klicken Sie auf „Eintrag hinzufügen“ . Mancher dieser Daten sind über eine Einwilligung erhoben worden. Beispiele für Betroffene sind: „Bewerber„, „Kunden„, „Lieferanten“ usw. Wählen Sie davon eine Kategorie aus und geben sie an, welche Datenkategorien von diesen Betroffenen verarbeitet werden sollen.
8. Unter dem Tab „Rechtsgrundlagen„, finden sie die zum Zweck gebundenen Rechtsgrundlagen, welche sie durch die Schaltfläche „Rechtsgrundlage und Löschfrist hinzufügen„, hinzugefügt haben. Sollten sie einen „Standardzweck“ verwendet haben, werden dort die vorkonfigurierten Rechtsgrundlagen, welche standardmäßig im System an den Zweck gebunden sind angezeigt. Bei einem „selbst erstellten Zweck„, werden die Rechtsgrundlagen angezeigt, welche sie bei der Erstellung hinzugefügt haben. Sollten hier keine hinzugefügt worden sein, ist dieses Feld leer.
9. Durch betätigen der Schaltfläche „Rechtsgrundlage und Löschfrist hinzufügen„,  kann eine Rechtsgrundlage gewählt werden. Um Löschfristen der vorhandenen Spezifikationen zu bearbeiten oder neue anzulegen, müssen Sie zu den Menüpunkt Einstellungen wechseln und unter dem Punkt „Löschfristen verwalten„, dies tun. Eine genaue Anleitung, wie sie dies tun können, finden Sie unter dem Punkt „Löschfristen verwalten und erstellen„.
10. Wenn die personenbezogenen Daten beispielsweise nicht bei der betroffenen Person erhoben worden sind, sondern öffentlich zugänglich waren (oder auch aus anderen Quellen geschöpft wurde), so werden alle verfügbaren Informationen über die Herkunft der Daten auf diesem Tab bekannt gegeben.
11. Um einen Empfänger hinzuzufügen, klicken Sie im Tab Übermittlungsempfänger auf die Schaltfläche „Übermittlungsempfänger hinzufügen“ .
12. Wenn der Empfänger nicht unmittelbar zur Auswahl steht, kann die entsprechende Kategorie, vom Typ intern oder extern, des Übermittlungsempfängers aus der Gesamtliste ausgewählt werden. Sollte auch in der Gesamtliste der Übermittlungsempfänger nicht vorhanden sein, kann man durch Auswahl des Feldes „Der Empfänger befindet sich nicht in der Liste“ , durch Eingabe der wichtigsten Informationen, einen neuen anlegen. Zudem ist die Angabe von „Datenkategorien“ verpflichtend. Nachdem die Datenkategorien offengelegt worden sind, muss die „Art des Empfängers“ und der „Betroffene“ bekanntgegeben werden. Im Anschluss klicken Sie auf die Schaltfläche „Übermittlungsempfänger hinzufügen“ .
13. Sie können auch gesonderte Applikationen für die Verarbeitung von personenbezogenen Daten an den aktuellen Zweck binden. Damit sie eine neue Applikation hinzufügen können, müssen sie sich im „Bearbeitungsmodus„, des jeweiligen Zwecks befinden. Im Bearbeitungsmodus, müssen Sie im Tab Applikationen, auf die Schaltfläche „Eintrag hinzufügen“ klicken.
14. Im aktuellen erscheinenden Fenster, bietet sich die Möglichkeit, bereits angelegte Applikationen dem Zweck zuzuordnen. Hierfür reicht es den entsprechenden Zeileneintrag auszuwählen, um die Applikation automatisch zu binden.
15. Andernfalls kann eine Applikation vorab angelegt werden, bevor sie schließlich gebunden wird. Dieser Vorgang lässt sich mit der Auswahl der Schaltfläche „Anlegen“ einleiten. Für den weiteren Ablauf besuchen Sie das Tutorial Privacy by Design.
16. Um digitale & physische Speicherorte anzulegen klicken sie auf den Tab „Digitale & Physische Speicherorte“ und dort auf die Schaltfläche „Eintrag hinzufügen“ .
17. Wenn sie keinen geeigneten digitalen & physischen Speicherort vorfinden sollten, empfiehlt es sich diesen durch Auswahl der Schaltfläche „Anlegen“, im System zu erstellen.
18. Die Erstellung, beinhaltet die Bekanntgabe des digitalen & physischen Speicherortes. Die Felder Unternehmen (wird automatisch ausgefüllt), Abteilung und die Kategorie des Ortes sind verpflichtend. Die Vorgehensweise zur Erweiterung der Liste „Kategorie des Ortes“ wird im nächsten Schritt beschrieben. Die restlichen Felder können optional eingegeben werden. Sofern alle notwendigen Felder ausgefüllt wurden, kann mit „Speichern & Schließen“ der Schritt abgeschlossen werden.
19. Mögliche Kategorien digitaler und physikalischer Aufenthaltsorte,  von personenbezogenen Daten, können der persönliche Arbeitsplatz, ein Aktenschrank oder ein Archiv sein. Wenn die Daten in einem spezifischeren Ort gelagert werden, können die Kategorien benutzerdefiniert erweitert werden, indem man die Schaltfläche „Anlegen und Bearbeiten“ auswählt. Zum Anlegen muss der Name des Ortes und eine Information, ob sich dieser Ort an einem externen Standort befindet, angegeben werden.
20. Nachdem alle Parameter angelegt bzw. bearbeitet wurden, wählen sie die Schaltfläche „Speichern“ und geben den Zweck frei oder zur Kontrolle an den Datenschutzbeauftragten.

Kontrolle

 

1. Sind sämtliche Zwecke freigegeben, kannst du auf eine Überprüfung und Begutachtung der Verarbeitungstätigkeit hinweisen und zur Einsicht freigeben.
2. Sollten weitere Zwecke benötigt werden, nachdem das Verzeichnis von Verarbeitungstätigkeiten freigegeben wurde, kann das Verzeichnis auf Entwurfsstatus zurückgesetzt werden.
3. Unter der Schaltfläche „Nicht freigegebene Zwecke anzeigen“ , werden sämtliche Zwecke angezeigt, welche noch nicht freigegeben wurden, wobei deren Anzahl der ein Indikator dafür sein kann, für welche Zwecke eine Datenschutzfolgenabschätzung noch durchzuführen ist. Die Schaltfläche „Alle Zwecke anzeigen“ zeigt beide Zustände an, freigegebene als auch noch nicht freigegebene Zwecke.

Informationspflicht generieren

 

1. Klicken Sie auf „Informationspflicht generieren“, um sämtliche Aspekte bei der Verarbeitung der Betroffenendaten zusammenzufassen.
2. Im ersten Schritt, wählen sie den Betroffenen, für den die Informationspflicht generiert werden sollte. Nachdem dieser ausgewählt wurde, gelangen sie mit „WEITER“ zum nächsten Schritt.
3. In diesem Schritt, wählen sie die Verarbeitungstätigkeit, des im vorigen Schritt ausgewählten Betroffenen. Mit „ZURÜCK“ können sie einen Schritt zurück gehen und einen anderen Betroffenen auswählen, falls der falsche ausgewählt wurde. Wurden alle benötigten Verarbeitungstätigkeiten ausgewählt, können sie mit „WEITER“ zum nächsten Schritt gelangen.
4. Nachdem die Verarbeitungstätigkeiten ausgewählt wurden, werden nun auch die Zwecke der einzelnen Verarbeitungstätigkeiten ausgewählt. Sollten sie eine Verarbeitungstätigkeit vergessen haben auszuwählen, gelangen sie mit „ZURÜCK“ zum vorherigen Schritt. Wurden alle benötigten Zwecke ausgewählt, können sie mit „WEITER“ , fortfahren.
5. In diesen und den darauffolgenden Schritten, werden die ausgewählten Daten kontrolliert und die dementsprechenden Rechtsgrundlagen, die der Verarbeitungstätigkeit und dem Zweck zugrunde liegen, ausgewählt. Sollten sie einen Fehler bei der Auswahl der Verarbeitungstätigkeit, oder des Zwecks gemacht haben, müssen sie mit „ZURÜCK“ zu dem Auswahlschritt und alle ausgewählten Elemente noch einmal auswählen. Wurden alle Rechtsgrundlagen die benötigt werden ausgewählt, so können sie im letzten Schritt, die Informationspflicht gemäß Art. 13 oder Art. 14 generieren lassen und auf ihrem System speichern. Diese zwei unterscheiden sich darin, ob man die Daten bei der betroffenen Person erhoben hat, oder nicht.
6. Wie im vorigen Schritt erwähnt können sie hier nun einen der beiden Berichte für die Informationspflicht generieren lassen und diesen auf ihrem System abspeichern.