Verarbeitungstätigkeit/en: Unterschied zwischen den Versionen

What is a processing activity?

A legal definition of the term can be found in Art. 4 of the GDPR, where "processing activity" is defined as follows:

• any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means.

This means a processing activity is any process or procedure in which any form of personal data is processed, whether it is simply saved or used for evaluation.

Im Nachfolgenden werden die einzelnen Punkte der Verarbeitungstätigkeit beschrieben.

Organisationsregister:

• Hier wird das Register eingetragen, das für diese Verarbeitungstätigkeit zuständig ist.

VT-Verantwortlichkeit:

• Hier können ein oder mehrere Verantwortliche erfasst werden. Dazu werden die Organisationseinheiten und/oder Externen eingetragen, die für die Verarbeitungstätigkeit verantwortlich sind. Im Zuweisungsdialog werden unter den Externen nur die im Menüpunkt "Datenschutz → Externe" erfassten Kontakte angezeigt, die auch als VT-Verantwortliche gekennzeichnet sind. Diese Kennzeichnung muss direkt beim Externen (Menüpunkt "Datenschutz → Externe") vorgenommen werden. Existiert allerdings der gewünschte Externe noch nicht, dann kann dieser direkt hier erstellt werden.

Kürzel und Bezeichnung:

• Hier werden ein Kürzel und eine Bezeichnung für die VT vergeben.

Zweck der Verarbeitung:

• Hier muss beschrieben werden, für welchen Zweck die personenbezogenen Daten verarbeitet werden.

Verantwortlicher:

• Die Person oder das Team, die/das über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet.

Sachbearbeiter:

• Die Person oder das Team, die/das mit der Bearbeitung der Verarbeitungstätigkeit beauftragt wurde.

Gemeinsame Verarbeitung:

• Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt.
• Hier sollte also kurz beschrieben werden, wer welchen Verpflichtungen gemäß der Verordnung nachkommt.
• Vereinbarungen oder etwaige andere Dokumente, die dafür erstellt wurden, können ebenfalls an dieser Stelle hochgeladen werden.

Einführungsdatum:

• Hier wird eingetragen, ab wann die Verarbeitungstätigkeit geltend wird.

Versionsdatum:

• Hier wird eingetragen, ab wann die aktuelle Version der Verarbeitungstätigkeit geltend wird.

Versionsnummer:

• Hier wird angegeben, um welche Version der Verarbeitungstätigkeit es sich handelt.

Änderungsprotokoll:

• Hier wird mit aufgezeichnet, zu welchen Zeitpunkten und von wem die Verarbeitungstätigkeit bearbeitet wurde, wann sie den Status gewechselt hat und wann sie abgeschlossen wurde.

Eine Verarbeitungstätigkeit kann sich in verschiedenen Status befinden. Sind die E-Mail-Benachrichtigungen im Managementsystem aktiv, werden bei Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies wäre hier der Sachbearbeiter, wenn ein Experte oder Professional eine Bearbeitung der Verarbeitungstätigkeit anfordert.

Entwurf

• Wird die Verarbeitungstätigkeit das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet sie sich im Status "Entwurf". Von hier kann die Verarbeitungstätigkeit aktiviert, also in den Status "In Bearbeitung" gesetzt, werden.

In Bearbeitung

• Wird die Verarbeitungstätigkeit aktiviert, wird sie in den Status "In Bearbeitung" versetzt. Jetzt ist es Zeit für einen Experten oder einen verantwortlichen Professional, die Verarbeitungstätigkeit zu bearbeiten oder vom Sachbearbeiter eine Bearbeitung über "Bearbeitung anfordern" anzufordern.
• Sie kann durch "Bearbeitung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt werden.

Bearbeitung angefordert

• Wird die Verarbeitungstätigkeit angefordert, wird sie in den Status "Bearbeitung angefordert" versetzt. Der Sachbearbeiter wird jetzt über eine E-Mail aufgefordert, die Verarbeitungstätigkeit zu bearbeiten.
• Sie kann durch "Verarbeitungstätigkeit absenden" in den Status "Bearbeitung beantwortet" versetzt werden.

Bearbeitung beantwortet

• Wird die Verarbeitungstätigkeit durch den Sachbearbeiter durch "Bearbeitung absenden" retourniert, wird sie in den Status "Bearbeitung beantwortet" versetzt.
• Sie kann durch "Bearbeitung anfordern" erneut in den Status "Bearbeitung angefordert" versetzt werden und der Sachbearbeiter muss seine Bearbeitung überarbeiten.
• Sie kann durch "Bearbeitung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt werden.

Bearbeitung abgeschlossen

• Wird die Verarbeitungstätigkeit durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt, wird die Verarbeitungstätigkeit schreibgeschützt und sie kann nicht mehr bearbeitet werden.
• Wechselt die Verarbeitungstätigkeit in diesen Status, dann wird automatisch ein Prozess für diese Verarbeitungstätigkeit erzeugt. Die Prozesse sind für Experten unter "Administration → Prozesse" einsehbar.

Löschen und außer Kraft setzen einer Verarbeitungstätigkeit

• Durch "Verarbeitungstätigkeit löschen" können Sie Verarbeitungstätigkeiten, die noch nicht abgeschlossen sind, löschen.
• Achtung: Abgeschlossene Verarbeitungstätigkeiten können, aufgrund der Historisierung, nicht mehr gelöscht werden! Sie können lediglich in der Übersicht unter "Datenschutz → Verarbeitungsregister → Verarbeitungstätigkeiten" durch den Button "Verarbeitungstätigkeit außer Kraft setzen" außer Kraft gesetzt werden.
• Außer Kraft gesetzte Verarbeitungstätigkeiten können nicht mehr aktiviert werden!

In diesem Punkt fügt ein Experte, ein verantwortlicher Professional, oder der Sachbearbeiter Betroffenenkategorien zur Verarbeitungstätigkeit hinzu.

Betroffenenkategorien können von Experten unter "Datenschutz → Betroffenenkategorien" erstellt und verwaltet werden. Mehr dazu finden Sie hier.

Klicken Sie auf "Betroffene zuweisen", öffnet sich ein Dialog, bei dem Sie auswählen, welche Betroffenenkategorien zur Verarbeitungstätigkeit hinzugefügt werden sollen. Hier wählen Sie alle Betroffenenkategorien, von denen die Verarbeitungstätigkeit personenbezogene Daten verarbeitet.

Wichtig:

Es muss muss zu jeder Betroffenenkategorie die Rechtsgrundlagen nach Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung angegeben werden. Für dies bietet die Spalte "Rechtmäßigkeit der Verarbeitung" folgende Gründe für die Verarbeitung personenbezogener Daten laut Art. 6 DSGVO an:

• Einwilligung zur Verarbeitung durch betroffene Person
• lebenswichtige Interessen
• rechtliche Verpflichtung
• Vertragserfüllung bzw. vorvertragliche Maßnahmen
• im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
• berechtigte Interessen des Verantwortlichen oder eines Dritten
• sonstige Gründe (DSGVO: rechtlich nicht zulässig)

Dieses Option dient hauptsächlich als Platzhalter, für den Fall, dass die Rechtsgrundlage noch nicht ganz klar ist! Sie ist keinenfalls eine gültige Rechtsgrundlage laut Art. 6 der DSGVO. Sie sollte also in der fertigen VT nicht vorkommen, sondern durch eine gültige Rechtsgrundlage ersetzt werden!

Es können auch mehrere Rechtmäßigkeiten für die Verarbeitung angegeben werden.

In diesem Punkt fügt ein Experte, ein verantwortlicher Professional, oder der Sachbearbeiter die personenbezogenen Datenkategorien zu den einzelnen Betroffenenkategorien hinzu. Es stehen nur die Datenkategorien zu Auswahl, welche mit personenbezogen gekennzeichnet sind.

Datenkategorien können von Experten unter "Administration → Datenkategorien" erstellt und verwaltet werden. Mehr dazu finden Sie hier.

Zur Tabelle:

• Diese Tabelle enthält Eingabefelder, die ausgefüllt werden können.
• Die Datenkategorien werden hierarchisch angezeigt. Geben Sie in eine übergeordnete Datenkategorie bei einem leeren Feld etwas ein, so wird dies auf alle unterliegenden Datenkategorien übernommen. Beispiel: Wird in dem Feld "Kenndaten → Faktor" 7 eingegeben, so wird dieser Wert an die untergeordneten Datenkategorien wie Benutzername übergeben.
• Ist bei einer Datenkategorie eine Löschfrist gesetzt, so wird diese automatisch übernommen. Passt diese für diese VT allerdings nicht, kann sie ohne Probleme hier geändert werden.

Achtung:

• Das Zuweisen von neuen Empfängern bei der übergeordneten Datenkategorie ersetzt die bestehenden Zuweisungen nicht, sondern ergänzt diese. Wenn bereits z.B. Empfänger A für die untergeordneten Datenkategorien eingetragen wurde und man dann zusätzlich bei der übergeordneten Datenkategorie Empfänger B eingibt, so wird den untergeordneten Datenkategorien Empfänger B zusätzlich zum Empfänger A zugewiesen.

Datenkategorien werden wie folgt hinzugefügt:

1. Über "Datenkategorien zuweisen" öffnet sich ein Dialog, in dem Sie der Betroffenenkategorie die Datenkategorien des Betroffenen zuweisen. Diese werden von der Verarbeitungstätigkeit verarbeitet.

2. Datenherkunft: hier wird angegeben, woher diese Daten kommen.

3. Löschfrist: hier wird angegeben, nach welchem Zeitraum diese Daten gelöscht werden müssen. Weiters sollte diese Löschfrist begründet werden, z.B indem auf gesetzliche Aufbewahrungspflichten verwiesen wird.

4. Empfänger: Hier wird angegeben, an wen die personenbezogenen Daten weitergegeben werden. Dabei wird zwischen internen und externen Empfängern unterschieden. Interne sind Organisationseinheiten Ihres Unternehmens. Externe sind Betriebsfremde, wie Banken, das Arbeitsmarktservice, Gerichte, Behörden, etc. Um Empfänger hinzuzufügen, müssen Sie in einem leeren Empfänger-Feld doppelklicken. Dadurch öffnet sich ein Dialog, in dem Interne und Externe zum Hinzufügen ausgewählt werden können.

5. Es soll darauf geachtet werden, dass alle Betroffenenkategorien behandelt wurden! (Über den Reiter oben kann auf andere Betroffenenkategorien gewechselt werden)

Betrifft eine VT mehrere Betroffenenkategorien, dann werden von diesen Betroffenenkategorien vermutlich auch dieselben Datenkategorien verarbeitet. Damit die Zuweisung und Konfiguration dieser Datenkategorien nicht bei jeder Betroffenenkategorie separat erfolgen muss, gibt es den "Datenkategorien übertragen" Button. Dieser Button kopiert die aktuellen Datenkategorien mit ihren Konfigurationen auf die ausgewählten Betroffenenkategorien.

In diesem Punkt werden alle Empfänger aufgelistet, die einer Datenkategorie zugewiesen wurden. Hier wird erfasst, welchen Zweck der Transfer von personenbezogenen Daten an den Empfänger erfüllt und auf welcher Rechtsgrundlage dieser beruht. Weiters kann angegeben werden, ob es sich beim Empfänger um einen Auftragsverarbeiter handelt.

Zweck und Rechtsgrundlage sind in dieser Tabelle ein Eingabefeld und werden so erfasst.

In diesem Punkt können technische und organisatorische Maßnahmen oder Kontrolle hinzugefügt werden, welche speziell für diese Verarbeitungstätigkeit gelten. Gilt eine technische und organisatorische Maßnahmen oder Kontrolle für alle Verarbeitungstätigkeiten, muss diese unter "Datenschutz → TOMs" zu den allgemeinen technischen und organisatorischen Maßnahmen und Kontrollen hinzugefügt werden. Mehr dazu finden Sie hier.

In diesem Punkt werden weitere Angaben zur Verarbeitungstätigkeit erfasst.

Profiling

• Unter Profiling versteht die DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten. Insbesondere geht es darum, Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

• Handelt es sich bei der Verarbeitung der personenbezogenen Daten um eine Art von Profiling, muss hier "Ja" ausgewählt werden und bei der Beschreibung das Profiling beschrieben werden. Dies ist wichtig, da bei einer Verarbeitungsmeldung erkenntlich sein muss, ob es sich um Profiling handelt oder nicht!

Folgenabschätzung

• Hier wird angezeigt, ob es zur aktuellen Verarbeitungstätigkeit eine Datenschutzfolgenabschätzung gibt. Mehr Infos zu Datenschutzfolgenabschätzungen finden Sie unter "Datenschutz → DSFA".