Verarbeitungstätigkeit: Unterschied zwischen den Versionen

Was ist eine „Verarbeitungstätigkeit“?

Eine gesetzliche Definition des Begriffs findet sich in Art. 4 der DSGVO wird der Begriff „Verarbeitung“ wie folgt definiert:

• jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. D.h. jeder Vorgang oder Prozess der in irgendeiner Form personenbezogene Daten verarbeitet, egal ob Sie z.b. nur gespeichert werden oder für Auswertungen verwendet werden, ist eine Verarbeitungstätigkeit.

Im Nachfolgenden, werden die einzelnen Punkte der Verarbeitungstätigkeit näher beschrieben.

Organisationsregister:

• Hier wird das Register eingetragen, welches für diese Verarbeitungstätigkeit zuständig ist.

VT-Verantwortlichkeit:

• Hier werden die Organisationseinheiten und oder Externen eingetragen, welche für die Verarbeitungstätigkeit verantwortlich sind. Im Dialog zum zuweisen, werden unter Externe nur die Externen angezeigt, welche auch als VT-Verantwortlichkeit gekennzeichnet sind. Dies kann im Menüpunkt "Datenschutz → Externe" für den jeweiligen Externen gekennzeichnet werden.

Kürzel und Bezeichnung:

• Hier wird ein Kürzel und eine Bezeichnung für die VT vergeben.

Zweck der Verarbeitung:

• Hier muss beschrieben werden für welchen Zweck die personenbezogenen Daten verarbeitet werden.

Verantwortlicher:

• Die Person oder Teams welche über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet.

Sachbearbeiter:

• Die Person oder Teams welche mit der Bearbeitung der Verarbeitungstätigkeit beauftragt wurde / wird.

Gemeinsame Verarbeitung:

• Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt.
• Hier sollte also kurz beschrieben werden wer welchen Verpflichtungen gemäß der Verordnung nachkommt.

Einführungsdatum:

• Hier wird eingetragen, ab wann die Verarbeitungstätigkeit geltend wird.

Versionsdatum:

• Hier wird eingetragen, ab wann die neue Version der Verarbeitungstätigkeit geltend wird.

Versionsnummer:

• Hier geben Sie an, um welche Version der Verarbeitungstätigkeit es sich handelt.

Änderungsprotokoll:

• Hier wird mit aufgezeichnet zu welchen Zeitpunkten die Verarbeitungsleichtigkeit von wem bearbeitet wurde, wann Sie den Status gewechselt hat und wann Sie abgeschlossen wurde.

Eine Verarbeitungstätigkeit kann sich in verschiedenen Stati befinden. Sind die Emailbenachrichtigungen im Managementsystem aktiv, werden bei Status wechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde hier der Sachbearbeiter sein, wenn ein Experte oder Professional eine Bearbeitung der Verarbeitungstätigkeit anfordert.

Entwurf

• Wird die Verarbeitungstätigkeit das erste mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet Sie sich im Status "Entwurf". Von hier kann der die Verarbeitungstätigkeit aktiviert, also in den Status "In Bearbeitung" gesetzt werden.

In Bearbeitung

• Wird die Verarbeitungstätigkeit aktiviert, wird Sie in den Status "In Bearbeitung" versetzt. Jetzt ist es Zeit für einen Experten oder einen verantwortlichen Professional die Verarbeitungstätigkeit zu bearbeiten, oder vom Sachbearbeiter eine Bearbeitung über "Bearbeitung anfordern" anzufordern.
• Sie kann durch "Bearbeitung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt werden.

Bearbeitung angefordert

• Wird die Verarbeitungstätigkeit angefordert, wird Sie in den Status "Bearbeitung angefordert" versetzt. Der Sachbearbeiter wird jetzt über eine Email aufgefordert die Verarbeitungstätigkeit zu bearbeiten.
• Sie kann durch "Verarbeitungstätigkeit absenden" in den Status "Bearbeitung beantwortet" versetzt werden.

Bearbeitung beantwortet

• Wird die Verarbeitungstätigkeit durch den Sachbearbeiter durch "Bearbeitung absenden" retourniert, wird Sie in den Status "Bearbeitung beantwortet" versetzt.
• Sie kann durch "Bearbeitung anfordern" wieder in den Status "Bearbeitung angefordert" versetzt werden und der Sachbearbeiter muss seine Bearbeitung überarbeiten.
• Sie kann durch "Bearbeitung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt werden.

Bearbeitung abgeschlossen

• Wird die Verarbeitungstätigkeit durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt, wird die Verarbeitungstätigkeit schreibgeschützt und sie kann nicht mehr bearbeitet werden.

Löschen und außer Kraft setzen einer Verarbeitungstätigkeit

• Durch "Verarbeitungstätigkeit Löschen" können Sie Verarbeitungstätigkeit welche noch nicht abgeschlossen sind löschen.
• Achtung: Abgeschlossene Verarbeitungstätigkeit können, aufgrund der Historisierung, nicht mehr gelöscht werden! Sie können lediglich in der Übersicht unter "Datenschutz → Verarbeitungsregister → Verabeitungstätigkeiten" durch den Button "Verarbeitungstätigkeit außer Kraft setzen" außer Kraft gesetzt werden.
• Außer Kraft gesetzte Verabeitungstätigkeiten können nicht mehr aktiviert werden!

In diesem Punkt fügt ein Experte, ein verantwortlicher Professional, oder der Sachbearbeiter Betroffenenkategorien zur Verarbeitungstätigkeit hinzu.

Betroffenenkategorien können von Experten unter "Datenschutz → Betroffenenkategorien" erstellt und verwaltet werden. Mehr dazu finden Sie hier.

Klicken Sie auf "Betroffene zuweisen" öffnet sich ein Dialog bei dem Sie auswählen, welche Betroffenenkategorien zur Verarbeitungstätigkeit hinzugefügt werden sollen. Hier wählen Sie alle Betroffenenkategorien, von denen die Verarbeitungstätigkeit personenbezogene Daten verarbeitet.

Wichtig:

Es muss muss zu jeder Betroffenenkategorie die Rechtsgrundlagen nach Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung angegeben werden. Für dies, bietet die Spalte "Rechtmäßigkeit der Verarbeitung" folgende Gründe für die Verarbeitung personenbezogener Daten laut Art. 6 DSGVO an:

• Einwilligung zur Verarbeitung durch betroffene Person
• lebenswichtige Interessen
• rechtliche Verpflichtung
• Vertragserfüllung bzw. vorvertragliche Maßnahmen
• Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. in Ausübung öffentlicher Gewalt
• Wahrung der berechtigten Interessen des Verantwortlich oder eines Dritten
• sonstige Gründe

Für Sonderfälle, wird auch das Felde "sonstige Gründe" angeboten. Für sonstige Gründe, sollte auch das Feld Anmerkungen ausgefüllt werden.

In diesem Punkt fügt ein Experte, ein verantwortlicher Professional, oder der Sachbearbeiter, die personenbezogenen Datenkategorien zu den einzelnen Betroffenenkategorien hinzu. Es stehen, nur die Datenkategorien zu Auswahl, welche mit personenbezogen gekennzeichnet sind.

Datenkategorien können von Experten unter "Administration → Datenkategorien" erstellt und verwaltet werden. Mehr dazu finden Sie hier.

Zur Tabelle:

• Diese Tabelle enthält Eingabefelder welche ausgefüllt werden können.
• Die Datenkategorien werden hierarchisch angezeigt. Geben Sie in eine Übergeordnete Datenkategorie bei einem leeren Feld etwas ein, sow wird dies auf alle unterliegende Datenkategorien übernommen. Beispiel: Wird in dem Feld "Kenndaten -> Faktor" 7 eingegeben, so wird dieser Wert an die untergeordneten Datenkategorien wie Benutzername übergeben.

Datenkategorien werden wie folgt hinzugefügt:

1. Über "Datenkategorien zuweisen" öffnet sich ein Dialog, in dem Sie der Betroffenenkategorie, die Datenkategorien des Betroffenen zuweisen, welche von der Verarbeitungstätigkeit verarbeitet werden.

2. Datenherkunft: hier kann angegeben werden woher diese Daten kommen.

3. Löschfrist: hier muss angegeben werden, nach wie viel Zeit diese Daten gelöscht werden müssen. Weiters sollte diese Löschfrist begründet werden, z.b indem auf gesetzliche Aufbewahrungspflichten verwiesen wird.

4. Empfänger: Hier muss angegeben werden, an wenn die personenbezogenen Daten weitergegeben werden. Dabei wird zwischen internen und externen unterschieden. Interne sind Organisationseinheiten Ihres Unternehmens. Externe sind betriebsfremde, wie Banken, Arbeitsmarktservice, Gerichte, Behörden, etc. Um Empfänger hinzuzufügen, müssen Sie in einem leeren Empfänger-Feld doppelklicken. Dadurch öffnet sich ein Dialog in dem Interne und Externe zum hinzufügen ausgewählt werden können.

5. Darauf achten, dass alle Betroffenenkategorien behandelt wurden! (Über den Reiter oben kann auf die anderen Betroffenenkategorien gewechselt werden)

In diesem Punkt werden alle Empfänger aufgelistet, die einer Datenkategorie zugewiesen wurden. Hier wird erfasst, welchen Zweck der Transfer von personenbezogenen Daten zum Empfänger erfüllt und auf welcher Rechtsgrundlage sich dieser beruht. Weiters kann angegeben werden, ob es sich beim Empfänger um einen Auftragsverarbeiter handelt.

Zweck und Rechtsgrundlage sind in dieser Tabelle ein Eingabefeld und werden so erfasst.

In diesem Punkt können technische und organisatorische Maßnahmen oder Kontrolle hinzugefügt werden, welche speziell für diese Verarbeitungstätigkeit gelten. Gilt eine technische und organisatorische Maßnahmen oder Kontrolle für alle Verarbeitungstätigkeit, muss diese unter "Datenschutz → TOMs" zu denn allgemeinen technischen und organisatorischen Maßnahmen und Kontrollen hinzugefügt werden. Mehr dazu finden Sie hier.

In diesem Punkt werden weitere Angaben zur Verarbeitungstätigkeit erfasst.

Profiling

• Unter Profiling versteht die DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

• Handelt es sich bei der Verarbeitung der personenbezogenen Daten um eine Art von Profiling, muss hier ja ausgewählt werden und bei der Beschreibung das Profiling beschrieben werden. Dies ist wichtig, da bei einer Verarbeitungsmeldung erkenntlich sein muss, ob es sich um Profiling handelt oder nicht!

Folgeabschätzung

• Bei einer Datenschutz-Folgeabschätzung prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. D.h. eine Datenschutz-Folgenabschätzung dient der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

• Dadurch stellen sich dann die Fragen:

1. Wurde eine Datenschutz-Folgeabschätzung durchgeführt?
2. Wenn ja, wann und welche Ergebnisse sind daraus hervorgegangen? Kurze Beschreibung des Ergebnisses und hochladen der Datenschutz-Folgeabschätzung über den "Dokument hochladen" Button.

Die antworten auf diese Fragen sollten hier erfasst werden!