Verarbeitungstätigkeit: Unterschied zwischen den Versionen

Was ist eine „Verarbeitungstätigkeit“?

Eine gesetzliche Definition des Begriffs findet sich in Artikel 4 der DSGVO, dort wird der Begriff „Verarbeitung“ wie folgt definiert:

• Es ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

D.h. jeder Vorgang oder Prozess, der in irgendeiner Form personenbezogene Daten verarbeitet, egal ob sie z.B. nur gespeichert oder für Auswertungen verwendet werden, ist eine Verarbeitungstätigkeit.

Im Nachfolgenden werden die einzelnen Punkte der Verarbeitungstätigkeit beschrieben.

Organisationsregister:

• Hier wird das Register eingetragen, das für diese Verarbeitungstätigkeit zuständig ist.

VT-Verantwortlichkeit:

• Hier können ein oder mehrere Verantwortliche erfasst werden, die über Mittel und Zwecke der Verarbeitung der personenbezogenen Daten entscheiden. Dazu werden die Organisationseinheiten und/oder Externen eingetragen, die für die Verarbeitungstätigkeit verantwortlich sind. Im Zuweisungsdialog werden unter den Externen nur die im Menüpunkt "Datenschutz → Externe" erfassten Einträge angezeigt, die auch als VT-Verantwortliche gekennzeichnet sind. Diese Kennzeichnung muss direkt beim Externen vorgenommen werden. Existiert allerdings der gewünschte Externe noch nicht, dann kann dieser direkt hier erstellt werden.

Kürzel und Bezeichnung:

• Hier werden ein Kürzel und eine Bezeichnung für die VT vergeben.

Zweck der Verarbeitung:

• Hier muss beschrieben werden, für welchen Zweck die personenbezogenen Daten verarbeitet werden.

Verantwortlicher:

• Die Person oder das Team, die/das unternehmensintern für die VT verantwortlich ist.

Sachbearbeiter:

• Die Person oder das Team, die/das mit der Bearbeitung der Verarbeitungstätigkeit beauftragt wurde.

Gemeinsame Verarbeitung:

• Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt.
• Hier sollte also kurz beschrieben werden, wer welchen Verpflichtungen gemäß der Verordnung nachkommt.
• Vereinbarungen oder etwaige andere Dokumente, die dafür erstellt wurden, können ebenfalls an dieser Stelle hochgeladen werden.

Einführungsdatum:

• Hier wird eingetragen, ab wann die Verarbeitungstätigkeit geltend wird.

Versionsdatum:

• Hier wird eingetragen, ab wann die aktuelle Version der Verarbeitungstätigkeit geltend wird.

Versionsnummer:

• Hier wird angegeben, um welche Version der Verarbeitungstätigkeit es sich handelt.

Änderungsprotokoll:

• Hier wird aufgezeichnet, zu welchen Zeitpunkten und von wem die Verarbeitungstätigkeit bearbeitet wurde, wann sie den Status gewechselt hat und wann sie abgeschlossen wurde.

Eine Verarbeitungstätigkeit kann sich in verschiedenen Status befinden. Sind die E-Mail-Benachrichtigungen im Managementsystem aktiv, werden bei Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies wäre hier der Sachbearbeiter, wenn ein Experte oder Professional eine Bearbeitung der Verarbeitungstätigkeit anfordert.

Entwurf

• Wird die Verarbeitungstätigkeit das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet sie sich im Status "Entwurf". Von hier kann die Verarbeitungstätigkeit aktiviert, also in den Status "In Bearbeitung" gesetzt, werden.

In Bearbeitung

• Wird die Verarbeitungstätigkeit aktiviert, wird sie in den Status "In Bearbeitung" versetzt. Jetzt ist es Zeit für einen Experten oder einen verantwortlichen Professional, die Verarbeitungstätigkeit zu bearbeiten oder vom Sachbearbeiter eine Bearbeitung über "Bearbeitung anfordern" anzufordern.
• Sie kann durch "Bearbeitung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt werden.

Bearbeitung angefordert

• Wird die Verarbeitungstätigkeit angefordert, wird sie in den Status "Bearbeitung angefordert" versetzt. Der Sachbearbeiter wird jetzt über eine E-Mail aufgefordert, die Verarbeitungstätigkeit zu bearbeiten.
• Sie kann durch "Bearbeitung absenden" in den Status "Beantwortet" versetzt werden.

Beantwortet

• Wird die Verarbeitungstätigkeit durch den Sachbearbeiter durch "Bearbeitung absenden" retourniert, wird sie in den Status "Beantwortet" versetzt.
• Sie kann durch "Bearbeitung anfordern" erneut in den Status "Bearbeitung angefordert" versetzt werden und der Sachbearbeiter muss seine Bearbeitung überarbeiten.
• Sie kann durch "Bearbeitung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt werden.

Bearbeitung abgeschlossen

• Wird die Verarbeitungstätigkeit durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt, wird die Verarbeitungstätigkeit schreibgeschützt und sie kann nicht mehr bearbeitet werden.
• Wechselt die Verarbeitungstätigkeit in diesen Status, dann wird automatisch ein Prozess für diese Verarbeitungstätigkeit erzeugt. Die Prozesse sind für Experten unter "Administration → Prozesse" einsehbar.
• Beim Abschließen der Bearbeitung hat man die Möglichkeit, diese Version mit einer DSFA zu verknüpfen, wenn mindestens eine Vorgängerversion mit dieser DSFA verknüpft ist. Man wird weiters darauf hingewiesen, dass man diese DSFA überprüfen und gegebenenfalls aktualisieren sollte.

Löschen und außer Kraft setzen einer Verarbeitungstätigkeit

• Durch "Verarbeitungstätigkeit löschen" können Sie Verarbeitungstätigkeiten, die noch nicht abgeschlossen sind, löschen.
• Achtung: Abgeschlossene Verarbeitungstätigkeiten können, aufgrund der Historisierung, nicht mehr gelöscht werden! Sie können lediglich in der Übersicht unter "Datenschutz → Verarbeitungsregister → Verarbeitungstätigkeiten" durch den Button "Verarbeitungstätigkeit außer Kraft setzen" außer Kraft gesetzt werden.
• Außer Kraft gesetzte Verarbeitungstätigkeiten können nicht mehr aktiviert werden!

In diesem Punkt fügt ein Experte, ein verantwortlicher Professional, oder der Sachbearbeiter Betroffenenkategorien zur Verarbeitungstätigkeit hinzu.

Betroffenenkategorien können von Experten unter "Datenschutz → Betroffenenkategorien" erstellt und verwaltet werden. Mehr dazu finden Sie hier.

Klicken Sie auf "Bestehende Betroffenenkategorien zuweisen", öffnet sich ein Dialog, bei dem Sie auswählen, welche Betroffenenkategorien zur Verarbeitungstätigkeit hinzugefügt werden sollen. Hier wählen Sie alle Betroffenenkategorien, von denen die Verarbeitungstätigkeit personenbezogene Daten verarbeitet.

Wichtig:

Es müssen zu jeder Betroffenenkategorie die Rechtsgrundlagen nach Artikel 6 DSGVO Rechtmäßigkeit der Verarbeitung angegeben werden. Für dies bietet die Spalte "Rechtmäßigkeit der Verarbeitung" folgende Gründe an:

• Einwilligung zur Verarbeitung durch betroffene Person
• lebenswichtige Interessen
• rechtliche Verpflichtung
• Vertragserfüllung bzw. vorvertragliche Maßnahmen
• im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
• berechtigte Interessen des Verantwortlichen oder eines Dritten
• sonstige Gründe (DSGVO: rechtlich nicht zulässig)

Dieses Option dient hauptsächlich als Platzhalter, für den Fall, dass die Rechtsgrundlage noch nicht ganz klar ist! Sie ist keinenfalls eine gültige Rechtsgrundlage laut Artikel 6 der DSGVO. Sie sollte also in der fertigen VT nicht vorkommen, sondern durch eine gültige Rechtsgrundlage ersetzt werden!

Es können auch mehrere Rechtmäßigkeiten für die Verarbeitung angegeben werden.

Wird bei der Rechtmäßigkeit der Verarbeitung die Option "berechtigte Interessen des Verantwortlichen oder eines Dritten" ausgewählt, sollte dies im Anmerkungsfeld entsprechend erklärt und begründet werden. Zusätzlich kann die Auswahl dieser Option bei mindestens einer Kategorie von Betroffenen das Einblenden des Schritts 2.1 Interessenabwägung auslösen.

In diesem Schritt können folgende Punkte detailliert dargestellt werden:

• Erläuterung des berechtigten Interesses
• Erforderlichkeit
• Entgegenstehende Interessen der betroffenen Person
• Abwägung der Interessen oder Grundrechte und -freiheiten der betroffenen Person
  

Wenn die Verarbeitungstätigkeit bei einer Datenschutz-Folgenabschätzung als Haupt-VT hinterlegt ist, dann wird der Text der Erläuterung des berechtigten Interesses in dieser im Schritt 4.4 Notwendigkeit und Verhältnismäßigkeit angezeigt.

In diesem Punkt fügt ein Experte, ein verantwortlicher Professional, oder der Sachbearbeiter die personenbezogenen Datenkategorien zu den einzelnen Betroffenenkategorien hinzu. Es stehen nur die Datenkategorien zur Auswahl, welche mit "personenbezogen" gekennzeichnet sind.

Datenkategorien können von Experten unter "Administration → Datenkategorien" erstellt und verwaltet werden. Mehr dazu finden Sie hier.

Zur Tabelle:

• Diese Tabelle enthält Eingabefelder, die ausgefüllt werden können.
• Die Datenkategorien werden hierarchisch angezeigt. Geben Sie in einer übergeordnete Datenkategorie in einem leeren Feld etwas ein, so wird dies auf alle unterliegenden Datenkategorien übernommen. Beispiel: Wird in dem Feld "Löschfrist → Faktor" 7 eingegeben, so wird dieser Wert an die untergeordneten Datenkategorien übergeben.
• Ist bei einer Datenkategorie eine Löschfrist gesetzt, so wird diese automatisch übernommen. Passt diese für eine VT allerdings nicht, kann sie problemlos hier geändert werden.

Achtung:

• Das Zuweisen von neuen Empfängern bei der übergeordneten Datenkategorie ersetzt die bestehenden Zuweisungen nicht, sondern ergänzt diese. Wenn bereits z.B. Empfänger A für die untergeordneten Datenkategorien eingetragen wurde und man dann zusätzlich bei der übergeordneten Datenkategorie Empfänger B eingibt, so wird den untergeordneten Datenkategorien Empfänger B zusätzlich zum Empfänger A zugewiesen.

Datenkategorien werden wie folgt hinzugefügt:

1. Über "Bestehende Datenkategorien zuweisen" öffnet sich ein Dialog, in dem Sie der Betroffenenkategorie die Datenkategorien, die verarbeitet werden, zuweisen.

2. Datenherkunft: hier wird angegeben, woher diese Daten kommen.

3. Löschfrist: hier wird angegeben, nach welchem Zeitraum diese Daten gelöscht werden müssen. Weiters sollte diese Löschfrist begründet werden, z.B indem auf gesetzliche Aufbewahrungspflichten verwiesen wird. Ist bei der Löschfrist bereits eine Begründung hinterlegt, wird diese übernommen.

4. Empfänger: Hier wird angegeben, an wen die personenbezogenen Daten weitergegeben werden. Dabei wird zwischen internen und externen Empfängern unterschieden. Interne sind Organisationseinheiten Ihres Unternehmens. Externe sind Betriebsfremde, wie Banken, das Arbeitsmarktservice, Gerichte, Behörden etc. Um Empfänger hinzuzufügen, müssen Sie in ein leeres Empfänger-Feld doppelklicken. Dadurch öffnet sich ein Dialog, in dem Interne und Externe zum Hinzufügen ausgewählt werden können.

5. Es soll darauf geachtet werden, dass alle Betroffenenkategorien behandelt wurden! (Über den Reiter oben kann auf andere Betroffenenkategorien gewechselt werden)

Betrifft eine VT mehrere Betroffenenkategorien, dann werden von diesen Betroffenenkategorien vermutlich auch dieselben Datenkategorien verarbeitet. Damit die Zuweisung und Konfiguration dieser Datenkategorien nicht bei jeder Betroffenenkategorie separat erfolgen muss, gibt es den "Datenkategorien übertragen" Button. Dieser Button kopiert die aktuellen Datenkategorien mit ihren Konfigurationen auf die ausgewählten Betroffenenkategorien.

In diesem Punkt werden alle Empfänger aufgelistet, die einer Datenkategorie zugewiesen wurden. Hier wird erfasst, welchen Zweck der Transfer von personenbezogenen Daten an den Empfänger erfüllt und auf welcher Rechtsgrundlage dieser beruht. Weiters kann angegeben werden, ob es sich beim Empfänger um einen Auftragsverarbeiter handelt.

Zweck und Rechtsgrundlage sind in dieser Tabelle ein Eingabefeld und werden so erfasst.

In diesem Punkt können technische und organisatorische Maßnahmen oder Kontrollen hinzugefügt werden, welche speziell für diese Verarbeitungstätigkeit gelten. Gilt eine technische und organisatorische Maßnahme oder Kontrolle für alle Verarbeitungstätigkeiten, muss diese unter "Datenschutz → TOMs" zu den allgemeinen technischen und organisatorischen Maßnahmen und Kontrollen hinzugefügt werden. Mehr dazu finden Sie hier.

In diesem Punkt werden weitere Angaben zur Verarbeitungstätigkeit erfasst.

Profiling

• Unter Profiling versteht die DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten. Insbesondere geht es darum, Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

• Handelt es sich bei der Verarbeitung der personenbezogenen Daten um eine Art von Profiling, muss hier "Ja" ausgewählt werden und bei der Beschreibung das Profiling beschrieben werden. Dies ist wichtig, da bei der Meldung einer Verarbeitungstätigkeit erkenntlich sein muss, ob es sich um Profiling handelt oder nicht!

Folgenabschätzung

• Hier wird angezeigt, ob es zur aktuellen Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung (DSFA) gibt und wenn ja, was der aktuelle Status der DSFA ist. Das Ergebnis der Datenschutz-Folgenabschätzung kann auch bestimmen, dass diese Verarbeitungstätigkeit nicht mehr durchgeführt werden darf, da sie nicht mit den Datenschutzbestimmungen im Einklang ist.

Folgende Status sind für die DSFA möglich:

• Keine Prüfung vorhanden → keine DSFA ist mit der VT verknüpft.
• DSFA notwendig → DSFA verknüpft aber noch kein Ergebnis vorhanden.
• DSFA nicht notwendig → DSFA verknüpft und als nicht notwendig befunden.
• DSFA beigelegt → DSFA verknüpft, Datei angehängt aber noch kein Ergebnis hinterlegt.
• VT freigegeben → DSFA vorhanden und als Ergebnis darf die VT durchgeführt werden.
• VT mit Auflage → DSFA vorhanden und als Ergebnis darf die VT erst wieder durchgeführt werden wenn die Auflagen (Maßnahmen/Kontrollen) umgesetzt worden sind.
• VT untersagt → DSFA vorhanden und als Ergebnis darf die VT nicht mehr durchgeführt werden, da sie gegen die datenschutzrechtlichen Vorgaben verstößt.

Mehr zu Datenschutz-Folgenabschätzungen finden Sie unter "Datenschutz → DSFA".

Betriebsmittelzuordnung

• Aus einer Liste aller verfügbaren Ressourcen der Anwendungsebene können jene ausgewählt und zugewiesen werden, die für die Datenverarbeitung eingesetzt werden. Wird etwas verwendet, das in der Liste nicht aufscheint, kann die Information in einem Textfeld ergänzt werden.
• Es werden dadurch nicht automatisch Beziehungen in der Strukturanalyse erstellt, die Daten sind rein informativen Charakters.

Wenn die Practitioner User aus dem Fachbereich eine ausreichende Wissensgrundlage im Datenschutz besitzen, um die Schwellwerte für die Notwendigkeit einer DSFA bewerten zu können, kann diese optional in Schritt 7 der VT zur Verfügung gestellt werden. In diesem Fall rückt auch die Information zur DSFA von Schritt 6 nach Schritt 7.

Diese Einstellung kann aktuell nicht von HITGuard Usern gemacht werden, kontaktieren Sie uns, wenn Sie die Schwellwertanalyse als Teil der VT zur Verfügung stellen möchten.

Ist die Schwellwertanalyse in der VT aktiviert und vom Verantwortlichen oder Sachbearbeiter ausgefüllt und wird diese VT als Haupt-VT einer DSFA hinzugefügt, so werden die Werte im dortigen Schritt der Schwellwertanalyse übernommen und vorbesetzt.

Mehr zur Schwellwertanalyse finden Sie unter "Datenschutz → DSFA".