Verzeichnis der Verarbeitungstätigkeiten

Verarbeitungstätigkeit erfassen

Verarbeitungstätigkeiten stellen in verinice einen Subtyp des Zielobjektes Prozess dar und können mit dem Formular Verarbeitungstätigkeiten erfasst werden. Sie gelangen über das Dashboard mit Klick auf das Formular Verarbeitungstätigkeiten in die sog. Objektübersicht und können nun mit dem roten Plus-Button eine neue Verarbeitungstätigkeit erstellen.

Alternativ navigieren Sie über das Hauptmenü Objekte > Prozesse > Verarbeitungstätigkeiten in die Objektübersicht und erstellen über den roten Plus-Button eine neue Verarbeitungstätigkeit.

In dem sich öffnenden Dialog können Sie, wenn gewünscht, sämtliche Informationen, mindestens aber Name und Status zum Formular Verarbeitungstätigkeiten eingeben und abspeichern. Die Verarbeitungstätigkeit wird nun als neues Objekt in der Objektansicht aufgelistet.

Mit Klick auf das Objekt kann die neu angelegte Verarbeitungstätigkeit zur weiteren Bearbeitung geöffnet werden. Ihnen stehen nun zwei Ansichten zur Verfügung. Die Detailansicht im linken Bereich und die Formularansicht im rechten Bereich.

Die Informationen für die Verarbeitungstätigkeiten müssen im gleichnamigen Formular und somit in der Formularansicht eingegeben werden. Für eine bessere Übersicht können Sie die Detailansicht verstecken über die Funktion Objektdetails verstecken. Bei Bedarf kann der Vorgang jederzeit rückgängig gemacht werden über die Funktion Objektdetails anzeigen.

Die Aufteilung Detailansicht und Formularansicht besteht bei sämtlichen Zielobjekten.

In den folgenden Abschnitten kann die Verarbeitungstätigkeit DS-GVO-konform dokumentiert werden:

Allgemeine Angaben

In diesem Abschnitt haben Sie die Möglichkeit, neben einer Verarbeitungsbeschreibung Informationen wie Abkürzung oder Status zu hinterlegen.

Verantwortliche, Art. 4 Nr. 7 DS-GVO

Die/der Verantwortliche muss bestimmt werden. Über die Funktion Link hinzufügen stehen Ihnen Verantwortliche, die Sie bereits über das Formular Verantwortliche angelegt haben, zur Auswahl zur Verfügung. Sollten Sie noch keine Objekte hierzu angelegt haben, kann das alternativ über die Funktion Link hinzufügen > Verantwortliche, Art. 4 Nr. 7 DS-GVO erstellen erfolgen.

Im sich öffnenden Dialog können nun sämtliche Informationen, mindestens aber Name und Status zum Formular Verantwortliche, Art. 4 Nr. 7 DS-GVO eingegeben und abgespeichert werden. Das so angelegte neue Objekt wird nun im Formular Verarbeitungstätigkeiten als neu hinzugefügtes Objekt aufgeführt.

Darüber hinaus wird dieses neu angelegte Objekt innerhalb des Zielobjektes Scope vom Subtyp Verantwortliche Art. 4 Nr. 7 DS-GVO einsortiert.

Verarbeitung als Auftragsverarbeiter

Wird eine Verarbeitung als Auftragsverarbeitung vorgenommen, ist diese Information durch die Option Verarbeitung als Auftragsverarbeiter nach Art.30 II DS-GVO zu kennzeichnen. Als Reaktion stehen Ihnen nun über die Funktion Link hinzufügen sämtliche Auftraggeber, die Sie bereits über das Formular Auftraggeber angelegt haben zur Auswahl zur Verfügung. Sollten Sie noch keine Objekte hierzu angelegt haben, kann das alternativ über die Funktion Link hinzufügen > Auftraggeber erstellen erfolgen.

Im sich öffnenden Dialog können nun sämtliche gesetzlich geforderten Informationen, mindestens aber Name und Status zum Formular Auftraggeber eingegeben und abgespeichert werden. Dieses Objekt wird nun im Formular Verarbeitungstätigkeiten als neu hinzugefügtes Objekt des Typs Auftraggeber aufgeführt. Zu jedem Auftraggeber können auch Dokumente verlinkt werden.

Darüber hinaus wird dieses neu angelegte Objekt innerhalb des Zielobjektes Scope mit dem Subtyp Auftraggeber einsortiert.

Ist die Verarbeitung nicht als Auftragsverarbeitung zu qualifizieren, muss diese Frage mit einem nein beantwortet werden. In diesem Fall würde Ihnen die Hinzufügung eines Links Auftraggeber erstellen nicht angezeigt werden.

Allgemeine Verarbeitungsangaben

In diesem Abschnitt haben Sie die Möglichkeit, allgemeine Informationen zur Verarbeitungstätigkeit wie Fachbereich, Datum der Erhebung, Art der Verarbeitung, Ort der Verarbeitung oder Betriebsstadium zu dokumentieren. Ferner kann eine verantwortliche Person über die Verknüpfung zu einem Personenobjekt bestimmt werden.

Gemeinsame Verantwortliche Art. 26 DS-GVO

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung fest, so können sie gemeinsame Verantwortliche im Sinne des Gesetzes sein. Auch in diesem Abschnitt stehen Ihnen wie gewohnt bereits angelegte Objekte des Subtyps Gemeinsame Verantwortliche zur Auswahl zur Verfügung. Falls nicht, können diese über die Funktion Link hinzufügen > Gemeinsame Verantwortliche erstellen angelegt werden. Zu Gemeinsame Verantwortliche können Dokumente verlinkt werden.

Zweckbestimmung

In diesem Abschnitt dokumentieren Sie den Zweck der Verarbeitung unter Beachtung der Zweckbindung. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Rechtsgrundlagen

Jede Verarbeitung personenbezogener Daten bedarf einer gesetzlichen Legitimation. Wegen des Anwendungsvorranges der Datenschutzgrundverordnung ist die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten zuerst nach der DS-GVO zu beurteilen. Lässt die DS-GVO einen Regelungsspielraum zu, können als Rechtsgrundlagen Regelungen aus dem allgemeinen sowie ggf. auch im bereichsspezifischen nationalen Datenschutzrecht (Landesrecht oder Bundesrecht) einschlägig sein. Eine Bestimmung der Rechtsgrundlagen erfolgt über das zugehörige Auswahlfeld (Mehrfachauswahl). Da hier keine abschließende Aufzählung erfolgen kann, besteht über die Option Sonstige Rechtsgrundlagen die Möglichkeit, spezifische Normen manuell im Textfeld zu dokumentieren.

Unter Erläuterung führen Sie Ihre Ausführungen zur Rechtmäßigkeit der Verarbeitung aus. Unter Umständen kann es für die Darlegung und Begründung der einschlägigen Rechtsgrundlagen erforderlich sein, umfangreichere Rechtsgutachten zu verfassen. Über die Schaltfläche Dokument verlinken Sie ggf. auf weitere zentral abgelegte Nachweisdokumente.

Daten/Datenkategorien

Die Art der verarbeiteten Daten dokumentieren Sie über das Formular Datenarten, so dass Ihnen diese zur Auswahl zur Verfügung stehen. Oder Sie legen die Datenarten direkt aus der Verarbeitungstätigkeit heraus über die Funktion Link hinzufügen > Datenart erstellen an. Zu jeder Datenart können nun Angaben zu Herkunft der Daten und Löschfristen erfolgen. Pro Datenkategorie sind konkrete Löschfristen zu bestimmen, also der Zeitraum, nach dem die Speicherung der Daten beendet ist. Hierzu sind gesetzlich geregelte Aufbewahrungs- und Löschfristen anzugeben ebenso wie selbst festgelegte Fristen. Im Abschnitt der Löschfristen können Sie selbige hinterlegen und das Löschverfahren beschreiben.

Kategorien betroffener Personen

In diesem Abschnitt dokumentieren Sie Betroffene (betroffene Personen), deren personenbezogene Daten verarbeitet werden. Die Einteilung betroffener Personen ist abhängig von Rolle und Beziehung zum Verantwortlichen, z.B. Kunden, Lieferanten, Mitarbeiter, etc. Sollten die zur Auswahl stehenden Optionen nicht zutreffen oder ausreichen, ist über das Textfeld eine individuelle (manuelle) Eingabe vorzunehmen.

Zugriffsberechtigte Personen (Gruppen)

Personen und Personengruppen, die berechtigt sind, auf die verarbeiteten personenbezogenen Daten zuzugreifen, sind zu dokumentieren. Der zugrunde liegende Mechanismus kann und wird üblicher Weise über ein rechte- und rollenbasiertes Berechtigungskonzept abgebildet. Die Implementierung kann über die Option Berechtigungskonzept vorhanden dokumentiert werden. Die konkrete Umsetzung können Sie auf unterschiedliche Art dokumentieren:

• Im Freitextfeld Beschreibung des Berechtigungskonzepts.
• Durch Verlinkung auf ein an anderer Stelle gepflegtes Dokument.

Datenübertragung an

Wenn personenbezogene Daten z.B. an Dritte oder Auftragsverarbeiter weitergegeben werden, sind diese Datentransfers besonders zu kennzeichnen. Im Zuge der Verarbeitungstätigkeit kann dieser Verarbeitungsschritt über das Formular Datenübertragung realisiert und dieses Objekt über die dafür vorgesehene Linksetzung in der Verarbeitungstätigkeit verknüpft werden. Einzelheiten zur Datenübertragung erfolgen im Abschnitt Datenübertragung.

Informationspflicht

Werden personenbezogene Daten einer betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten die in Art. 13 oder Art. 14 DS-GVO beschriebenen Informationen mit. Die Erfüllung der Informationspflichten dokumentieren Sie in verinice in diesem Abschnitt. Auf interne Dokumente verlinken Sie ggf. über die Schaltfläche Dokument.

Potentielle Auswirkung

In der Domäne DS-GVO können Sie für Verarbeitungstätigkeiten, Datenübertragungen, DSFA, Anwendungen und IT-Systeme sowie Datenarten die Potentielle Auswirkung festlegen. Öffnen Sie dazu das jeweilige Zielobjekt durch doppelten Mausklick und scrollen Sie im Editor bis zum Abschnitt Potentielle Auswirkung oder navigieren Sie in der Inhaltsübersicht zum Abschnitt Potentielle Auswirkung. Wählen Sie in den Drop-Down-Menüs den entsprechenden Wert vernachlässigbar, begrenzt, beträchtlich oder existenzbedrohend für die 4 Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit aus.

Vererbung der potentiellen Auswirkung

In verinice wird die potentielle Auswirkung ausgehend von Datenarten als oberste Ebene in der Ableitungshierarchie für die übrigen Zielobjekte getrennt nach Schutzziel automatisiert abgeleitet. Die automatisierte Ableitung folgt hierbei immer dem sog. Maximumprinzip über die gesamte Ableitungshierarchie. Dieser Wert kann allerdings in jedem Zielobjekt manuell überschrieben werden, indem die Potentielle Auswirkung über das Drop-Down-Feld Nutzervorgabe manuell gesetzt wird. In diesem Fall ist durch Auswahl in dem Drop-Down-Feld zu dokumentieren, ob Verteilungseffekt oder Kumulationseffekt zugrunde gelegt wurden.

Risikoanalyse und Risikobehandlung

Für die Durchführung der Risikoanalyse und Risikobehandlung gehen Sie bitte folgendermaßen vor:

• Wählen Sie den Reiter Risiken in der Detailansicht.
• Über den roten Plus-Button können Sie für Ihre Verarbeitungstätigkeit ein Risiko hinzufügen.

• Treffen Sie eine passende Auswahl aus den Datenschutzgefährdungen.

Bei der Auflistung handelt es sich um die aus dem Katalog auf Ihre Unit manuell angewandten Gefährdungen. Zudem haben Sie haben die Möglichkeit eigene individuelle Gefährdungen als Objekte über das Formular Gefährdungen anzulegen, um diese für Ihre Risikoanalyse zu verwenden.

• Im Risikodialog können Sie nun u.a. die spezifischen Werte für die Eintrittswahrscheinlichkeit und Auswirkung setzen.
• Für die Risikobehandlung stehen Ihnen die Optionen Risikovermeidung, Risikoreduktion, Risikotransfer, Risikoakzeptanz zur Verfügung, die jeweils mit einem Textfeld zwecks Erklärungen ausgestattet sind.

• Bei gewählter Risikobehandlungsoption Risikoreduktion kann das Risiko durch hinzufügen Mitigierender Maßnahmen reduziert werden entweder durch die Erstellung neuer Maßnahmen oder der Verknüpfung bereits erfasster Maßnahmen. Weitere Einzelheiten zur Risikoanalyse und Risikobehandlung finden Sie im gleichnamigen Abschnitt.

Datenschutz-Folgenabschätzung (DSFA) erforderlich?

verinice unterstützt Sie über eine automatisierte Entscheidungshilfe bei der Feststellung, ob eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Hierbei wurden die gesetzlichen Entscheidungsparameter wie z.B.:

• Steht die Verarbeitung auf der Negativliste nach Art. 35 V DS-GVO?
• Ist die Verarbeitung Teil einer gemeinsamen Verarbeitung gem. Art. 35 I S.2 DS-GVO?
• Steht die Verarbeitung auf der Positivliste nach Art. 35 IV DS-GVO?
• Entspricht die Verarbeitung zwei oder mehr der Kriterien, die anerkanntermaßen eine DSFA erfordern?

Je nach Auswahl erscheint unter der Rubrik Meldungen der Hinweis, ob eine DSFA erforderlich ist, versehen mit einer kurzen Begründung. Diese Entscheidung können Sie selbstverständlich überstimmen und eine DSFA freiwillig durchführen.

Sofern eine Datenschutz-Folgenabschätzung erforderlich ist, können Sie diese wie im Kapitel DSFA beschrieben, effektiv in verinice durchführen.

Stellungnahme der Datenschutzbeauftragten

Der Datenschutzbeauftragen sollte im Zuge der Einführung oder Änderung einer Verarbeitungstätigkeit die Möglichkeit einer Stellungnahme gegeben werden.

Erforderliche Anwendungen und IT-Systeme

In diesem Abschnitt können die für diese Verarbeitungstätigkeit erforderlichen Anwendungen und IT-Systeme dokumentiert werden. Beide Aspekte können über eigenständige Formulare abgebildet und anschließend verknüpft werden.