Beim Verarbeitungsverzeichnis müssen Datenquellen definiert werden, um die Eingabe in ein Verzeichnis durchzuführen. Die Datenquellen dienen als Basis für weitere Schritte im PROVENTOR DSMS!
4.1 Anlegen von Datenquellen
Mit Klick auf den Menüpunkt „Datenschutz | Verarbeitungsverzeichnis Datenquellen“ besteht die Möglichkeit bestehende Datenquellen anzuzeigen und neue anzulegen.
Es ist erforderlich, dass mindestens ein Datensatz pro Registerkarte eingetragen wird, um eine gültige Verarbeitung zu erzeugen. Die Ausnahme davon sind besondere Datenkategorien. Folgende Registerkarten stehen zur Verfügung:
- Datenkategorien: Hier müssen die Gruppen(Kategorien) von Daten, die Sie verarbeiten, angelegt werden. Nach DSGVO ist es legitim auch eine Sammelkategorie (wie im Screenshot) zu definieren.
| Erstellen Sie vorerst zusammengehörige Datengruppen, wie etwa Stammdaten (beinhaltet z.B. Name, Vorname, Anschrift, etc.), Bankdaten (beinhaltet z.B. IBAN, SEPA Daten usw.), etc.
Wenn Sie innerhalb einer Datenkategorie für bestimmte Felder z.B. unterschiedliche Speicherfristen oder eine unterschiedliche Herkunft oder einen unterschiedlichen Ablageorte haben, sollten Sie diese in eigene, separate Kategorien aufteilen. Insbesondere für besondere Datenkategorien (z.B. Gesundheitsdaten), empfehlen wir eigene Kategorien anzulegen. So wird die Abbildung der Verarbeitungen einfacher. |
- Besondere Kategorien: Dies betrifft die besonderen Datenkategorien nach ART10 DSGVO.
- Organisationseinheiten: Diese stellen die ‚Besitzer‘ bzw. intern Verantwortlichen für die eine Verarbeitung dar. Hier werden z.B. Abteilungen von Unternehmen oder andere Strukturen angegeben. Eine Verarbeitung muss immer einer Organisationseinheit zugewiesen werden. Diesbezüglich muss hier mindestens ein Eintrag vorhanden sein.
Sie können hier mit dem Gesamtunternehmen als Organisationseinheit beginnen. Eine Zuordnung von Abteilungen o.ä. ist auch im Nachhinein immer möglich.
- Externe Empfänger: Laut DSGVO muss es speziell gekennzeichnet sein, wenn Daten an externe Empfänger bzw. im Sonderfall sogar außerhalb der EU übermittelt werden. In dieser Registerkarte müssen alle externen Empfänger eingetragen werden.
| „Extern“ bedeutet hier außerhalb der Organisation des Verantwortlichen. Das sind also vor allem sogenannte ‚Dritte‘ oder auch Auftragsverarbeiter. Als extern zählen etwa auch verbundenen Unternehmen (z.B. Tochtergesellschaften oder die Konzernzentrale) oder Behörden und Werkvertragsnehmer, sofern diese personenbezogene Daten verarbeiten. Erstellen Sie eine Liste, wem Sie personenbezogene Daten übermitteln. |
- Personenkategorien: Eine Personenkategorie muss definiert werden. Bei jeder Verarbeitung müssen Personenkategorien sowie Datenkategorien angegeben werden.
| Für die Personenkategorien gilt analoges wie für die Datenkategorien.
Überlegen Sie sich von welchen Personengruppen Sie Daten verarbeiten – interne (MitarbeiterInnen, Lehrlinge, Praktikanten, usw.) und externe (Ansprechpersonen bei Geschäftspartnern, Bewerber usw). Starten Sie nicht zu detailliert. |
- Datenquellen: Die Herkunft der personenbezogenen Daten ist zu dokumentieren. Im Verarbeitungsverzeichnis können diese angegebenen Datenquellen dann ausgewählt werden. Diese sind lt. DSGVO im Verarbeitungsverzeichnis nicht zwingend vorgeschrieben, sind aber sehr hilfreich. Insbesondere, wenn die Daten nicht bei der betroffenen Person erhoben wurden oder um transparent zu machen, aus welchen internen Systemen welche Daten kommen.
- Nutzer der Verarbeitung: Hier können Sie weitere Organisationen eintragen, die Daten nutzen (z.B. bei gemeinsam für die Verarbeitung Verantwortliche).
Die hier eigegebenen Daten werden im Verarbeitungsverzeichnis als Registerkarte erst sichtbar, wenn in der Karte ‚Grundsätzliche Angaben‘ das Auswahlfeld ‚Mehrere Nutzer der Verarbeitung auf ‚JA‘ gesetzt wird.
