Mit Klick auf die Schaltflächen in der Übersichtsseite, die nach der Anmeldung am System erscheint, (ebenso mit dem Menüpunkt „Funktionen | Verarbeitungsverzeichnis“) besteht nun die Möglichkeit bestehende Verarbeitungen anzuzeigen und (sofern Sie dazu die Rechte haben) neue anzulegen.
Im unteren Bereich sehen Sie ein Dashboard mit Aufträgen, Terminaufgaben und Auffälligkeiten, die für Sie relevant sind. Entweder generiert das System solche Warnungen oder ein anderer Benutzer (zB der Datenschutzbeauftragte) hat Ihnen bestimmte Aufgaben zugewiesen.
| Das Verzeichnis der Verarbeitungstätigkeiten ist im Art. 30 der DSGVO geregelt. Dort ist auch beschrieben, welche Informationen in diesem Verzeichnis beinhaltet sein müssen. Die Verarbeitungen sind nach der Art der Tätigkeit zu strukturieren (z.B. Lohnverrechnung) und sollten nicht zu detailliert sein.
Personenbezogene Daten sind solche, über die direkt oder indirekt (z.B. durch Verknüpfung mit anderen Daten) Rückschluss auf eine natürliche Person gezogen werden kann. Das betrifft die elektronische Verarbeitung gleichermaßen wie personenbezogene Daten auf Papier und in Akten. (soweit diese strukturiert abgelegt sind – nicht z.B. einzelne Notizen o.ä.) Erstellen Sie also zunächst eine Übersicht aller Gruppen von Tätigkeiten, die Sie mit personenbezogenen Daten vornehmen. |
5.1 Verarbeitungsverzeichnis
Im Menüpunkt ‚Datenschutz‘ – ‚Verarbeitungsverzeichnis (bzw. auf der Startseite mit dem Button können Sie alle aktuellen Verarbeitungen des Verzeichnisses
einsehen und eventuell ( falls Sie berechtigt sind) einzelne Verarbeitungen bearbeiten.
Sie sehen den Namen der Verarbeitung, den Verantwortlichen, die Ansprechperson sowie die wichtigsten Daten zum Status.
Um Details zu sehen oder die Verarbeitung zu bearbeiten klicken Sie auf den entsprechenden Eintrag im Verzeichnis.
Es besteht auch die Möglichkeit eine einzelne Verarbeitung zu exportieren.
Damit können Sie ein PDF Dokument mit allen Details der Verarbeitung erstellen und zB ausdrucken oder nach Aufforderung der Behörde übermitteln.
Der Export im XLSX Format ermöglicht Ihnen ein Format zu exportieren, welches an anderer Stelle (z.B. in einem anderen Mandanten) importiert werden kann.
Ein ganzes Verarbeitungsverzeichnis kann ebenfalls in diesen beiden Formaten exportiert werden. Dazu klicken Sie in der Ansicht ‚VERARBEITUNGSVERZEICHNIS‘ auf den Button „Exportieren“.
5.2 Anlegen und Bearbeiten einer Verarbeitung
Das Anlegen von einer Verarbeitung kann auf unterschiedlichem Wege erfolgen. Diese kann entweder komplett neu oder auf Basis einer Vorlage angelegt werden.
In der Hauptansicht der Verarbeitungen werden die einzelnen Verarbeitungen als eigenständige Elemente angezeigt. Durch Klick auf eine Verarbeitung werden weitere Informationen angezeigt. Erst durch Klick auf Details oder Details bearbeiten kann die Verarbeitung angesehen oder verändert werden.
Der Status der Verarbeitung (Rot, Gelb, Grün) zeigt an, ob es Fehler oder Warnungen in der Verarbeitung gibt.
Mit Klick auf „Hinzufügen “ können neue Verarbeitungen hinzugefügt werden. Mit Details bearbeiten können bestehende verändert werden.
Bei den Verarbeitungen stehen mehrere Registerkarten zur Verfügung, um die Verarbeitung DSGVO konform einzugeben:
- Grundsätzliche Angaben: Hier muss der Titel, die verantwortliche Organisationseinheit (Auswahl Datenquelle) und die Ansprechperson (Auswahl Benutzerliste) eingetragen werden. Wichtig ist noch die Laufzeit der Verarbeitung (Dauernd oder Begrenzt) bzw. auch die Art der Verarbeitung (Verantwortlicher oder Auftragsverarbeiter). Wird Auftragsverarbeiter gewählt, so steht auch die Registerkarte „Auftragsverarbeitung“ zur Verfügung.
- Auftragsdatenverarbeitung: Hier werden Daten des Auftraggebers erfasst sowie die vertraglichen Bedingungen für die Auftragsverarbeitung. Diese Registerkarte ist nur aktiv, wenn Sie die Verarbeitung als Auftragsdatenverarbeitung definiert haben.
- Zwecke und Rechtmäßigkeit: Jede Verarbeitung muss einen Zweck haben und Rechtsgrundlagen erfüllen. Diese Elemente können hier eingegeben werden. Die (i)-Buttons geben inhaltliche Hilfestellungen. Wird kein Zweck eingetragen und keine Rechtsgrundlage erfüllt, so wird die Verarbeitung als „rot“ mit entsprechenden Fehlern markiert.
| Die DSGVO beschreibt im Art 5 die Grundsätze der Verarbeitung personenbezogener Daten. Die Verarbeitung muss rechtmäßig und transparent erfolgen und darf nur für festgelegte, legitime Zwecke in angemessener Weise und im notwendigen Umfang erfolgen.
Überlegen Sie sich daher, welchen Zwecken die Verarbeitung dient und auf welcher Rechtsgrundlage sie erfolgt. Verarbeiten Sie Daten niemals ohne Rechtsgrundlage! Prüfen Sie, welche Grundlage für die jeweilige Verarbeitung gilt. Wenn Sie keine Grundlage für die Verarbeitung haben, benötigen Sie die Einwilligung der betroffenen Person. Einwilligungen sind in Art 7 beschrieben – gestalten Sie diese entsprechend (z.B. Freiwilligkeit, Transparenz, Koppelungsverbot, aktive Zustimmung, … usw.), sonst könnten sie ungültig sein und Sie würden ggf. ohne Rechtsgrundlage verarbeiten! Dies wäre ein Verstoß und kann bestraft werden.
|
- Maßnahmen und Empfänger: In diesem Bereich sind die Maßnahmen zur Informationspflicht enthalten, erweiterte Maßnahmen zu Datenhaltung sowie die Definition von Empfängern. Inhaltliche Hilfestellungen werden mit Klick auf das (i) gegeben. Interne Empfänger (Datenweitergabe innerhalb der Organisation) werden aus der Liste der Organisationseinheiten (Datenquellen) gezogen. Externe Empfänger werden aus der Liste der externen Empfänger (Datenquellen) geholt. Für interne und externe Empfänger wird hier nur die Grundauswahl getroffen. In der Registerkarte Daten können dann einzelne Datenkategorien zu Empfängerkategorien zugeordnet werden.
| Eine weitere wichtige Verpflichtung des Verantwortlichen ist die Informationspflicht (Art 13 und 14 DSGVO). Wenn Daten von einer Person erhoben werden, müssen Sie eine Reihe von Informationen an diese Person erteilen – und zwar nachweislich!
Z.B. die Daten des Verantwortlichen, Zwecke und Rechtsgrundlagen, eventuelle Empfänger (vor allem in Drittländern), Dauer der Verarbeitung, Rechte der betroffenen Person, Herkunft der Daten. Ein gängiger Weg diese Informationen bereitzustellen, ist eine Datenschutzerklärung. Bringen Sie diese Erklärung nachweisbar allen betroffenen Personen zu Kenntnis, auch wenn Sie bereits Daten dieser Person verarbeiten. |
- Datenschutz-Folgenabschätzung: Dies ist eine spezielle Risikoanalyse der Verarbeitung, welche nur bei besonderen Datenkategorien bzw. bei zahlreicher Verarbeitung von besonders schutzwürdigen Personen durchzuführen ist. Details können dem Hinweistext bzw. dem (i)-Button entnommen werden.
| Hat eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche gem. Art 35 DSGVO vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Was diese beinhalten muss ist im Art 35 beschrieben.
Die zuständige Datenschutzbehörde erstellt sogenannte Black-Lists (Verarbeitungen, die jedenfalls eine DSFA erfordern) und White-Lists (Verarbeitungen, die keine DSFA benötigen). Beachten Sie – es geht dabei immer um das Risiko für die betroffene Person, nicht für den Verantwortlichen! |
- Datenablageorte: Als Datenablageort muss das System angegeben werden, auf dem die Daten verarbeitet werden. Bei diesem Menüpunkt können entweder elektronische oder physische (Beispiel: Personalordner) Ablageorte definiert oder ein elektronischer Ablageort aus der Systemverwaltung ausgewählt werden. Bei der manuellen Eingabe müssen die technischen und organisatorischen Maßnahmen hier definiert werden.
- Daten: In dieser Registerkarte müssen die verarbeiteten Datenkategorien angegeben werden. Die Werte dazu kommen hauptsächlich aus den Datenquellen bzw. auch aus bereits ausgewählten internen sowie externen Empfängern und den zugeordneten Systemen.
WICHTIG: Bei PROVENTOR steht für die Personenkategorien, Datenkategorien und Datenquellen eine Mehrfachauswahl zur Verfügung. Mit Klick auf + öffnet sich eine neue Eingabezeile und Sie können mehrere Werte angeben. Nachdem Sie die Daten im Detail eingegeben haben müssen Sie mit „+ Eingegebene Daten in die Datenliste übernehmen“ die Eingabe bestätigen. Danach wird pro Eintrag eine eigene Zeile geschrieben. Um die Eingabe final zu bestätigen, müssen Sie nochmals auf Speichern klicken. Ansonsten werden die Daten bei Verlassen des Verzeichnisses nicht übernommen.
| Es ist wichtig, dass Sie bei der Zuordnung der Personen- und Datenkategorien alle verarbeiteten Gruppen erfassen. Überlegen Sie sich also, wen die Verarbeitung betrifft.
Bei der Gruppierung der Personenkategorien sollten Sie darauf achten, dass im Falle eines Auskunftsbegehrens erhebbar ist, welche Verarbeitungen für die anfragende Person zutreffend sind. Wenn also z.B. ein Kunde anfragt, dann erhalten Sie über die Verwendung des Filters Personenkategorie = ‚Kunde‘ alle Verarbeitungen (inkl. Zusatzinformationen), in denen Kundendaten erfasst werden. So hilft Ihnen PHOENIX, die Auskunft effizient und korrekt zu erteilen. Bei externen Empfängern ist zu beachten, dass für die Übermittlung eine Rechtsgrundlage besteht. Insbesondere gilt dies für die Übermittlung in Drittländer oder an internationale Organisationen. Liegen solche Garantien nicht vor, darf nur in Ausnahmefällen, die der Art 49 regelt, und unter Hinweis auf das Risiko, die Übermittlung erfolgen. |
- Einstellungen: Bei den Einstellungen kann die Verarbeitung aktiviert oder deaktiviert werden. Es können manuelle Nachrichten durch Eingabe der E-Mail-Adresse versendet werden. Die Zuweisung von Personen zu den einzelnen Rollen löst den Automatismus aus. Durch Personenzuweisung und Aktivierung wird die Verarbeitung als Subobjekt angelegt und Kontrollelemente werden automatisch zugewiesen. Diese Logik ermöglicht, dass z.B. der Verantwortliche der Verarbeitung automatisch 1-mal pro Jahr eine Aufgabe zur Kontrolle erhält.
5.3 Auswertungen von Verarbeitungen – Filter
PROVENTOR bietet eine Reihe von Filtermöglichkeiten, um im Verarbeitungsverzeichnis gezielt bestimmt Informationen zu Verarbeitungen zu finden.
Durch Klick auf die Schaltfläche können die Filtereinstellungen gewählt oder eingesehen werden. Wenn Filter gesetzt sind, so ist dies rechts neben der Schaltfläche vermerkt.
Standardmäßig ist der Filter ‚SICHTBAR = Ja‘ gesetzt, damit nur die sichtbaren Verarbeitungen angezeigt werden.
Durch Auswahl der verschiedenen Feldbedingungen (Klick in die jeweiligen Listenfelder), können ein oder mehrere Bedingungen (die logisch UND-verknüpft sind), gewählt werden.
z.B. können Sie bei einer Betroffenenanfrage alle Verarbeitungen filtern, die Daten der anfragenden Person beinhalten (z.B. alle Verarbeitungen von Kunden und Interessentendaten)
Wenn Sie für ein Auswahlfeld mehrere Werte aus der Liste benötigen, klicken Sie einfach die gewünschten Listenfelder an. Die Einträge innerhalb eines Feldes sind ODER-verknüpft.
Durch Klick auf X neben den ausgewählten Filterkriterien, können Sie diese wieder löschen.
Beispiel: Sie suchen alle sichtbaren Verarbeitungen für die Sie als Verantwortlicher gelten (nicht also etwa Auftragsverarbeitungen die Sie durchführen), die Kunden- oder Interessenten-Daten beinhalten und für die Sie auf Basis der Rechtsgrundlage ‚Einwilligung‘ verarbeiten.
Durch Klick auf den Button Anwenden wird der Filter angewandt. Mit zurücksetzen können Sie alle Filterkriterien aufheben.
Mit Klick auf Schließen klappen Sie die Filterdetails wieder zu um eine bessere Übersicht zu gewährleisten.
