Verzeichnis
Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert den im Unternehmen gehandhabten Umgang mit personenbezogenen Daten. Bei der Erstellung bzw. der Bearbeitung einer Verarbeitungstätigkeit können verschiedene Verknüpfungen vorgenommen werden. Eine Verarbeitungstätigkeit kann beispielsweise mit einem oder mehreren Geschäftsprozessen verknüpft werden.
Innerhalb der Ansicht werden Ihnen zu den Verarbeitungen die Verantwortung, die Rechtsgrundlage und das Ergebnis einer möglichen Datenschutz-Folgenabschätzung (DSFA) angezeigt.
Hierfür finden Sie in diesem Bereich eine Auswahl von Vorschlägen, die über die Schaltfläche Vorschläge anzeigen einzusehen sind. Diese Vorschläge können Sie übernehmen und an Ihre Bedürfnisse anpassen. Das Vorgehen dafür wird Ihnen im Abschnitt Übernehmen von Vorschlägen beschrieben.
Verarbeitungstätigkeit
Das Dokument für die Verarbeitungstätigkeiten gliedert sich im wesentlichen in einen allgemeinen Teil(1) und einen Dokumentationsbereich(2). Der allgemeine Teil nimmt Informationen wie Bezeichnung, Kategorie, Verantwortung auf.
Bitte geben Sie eine aussagekräftige Bezeichnung für die Verarbeitungstätigkeit an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Um eine bessere Übersicht und eine Unterscheidung zwischen verschiedenen Verzeichniseinträgen (z.B. prozessbezogene oder spezielle Verarbeitungen) zu gewährleisten, ist eine zusätzliche Kategorisierung möglich.
Das Feld Schutzbedarf (3) bezieht seinen Inhalt aus den verknüpften Datenkategorien des Reiters Daten. Im Dokumentationsbereich findet die eigentliche Beschreibung der Verarbeitungstätigkeit statt.
Die Rechtsgrundlage für die Verarbeitung kann aus den Möglichkeiten des Art. 6 Abs. 1 DSGVO gewählt werden, wobei hier teilweise mehrere Grundlagen zum Tragen kommen könnten. So gibt es Verarbeitungen, deren ursprüngliche Grundlage ein Vertragsverhältnis ist, aber (Beispiel: Finanzsektor) während der Verarbeitung dann möglicherweise eine zusätzliche rechtliche Verpflichtung zum Tragen kommt. Um hier Klarheit zu schaffen, kann das Feld "Bemerkung Rechtsgrundlage" genutzt werden.
In der Detailansicht kann zwischen der Anzeige in Reitern und einer Anzeige in zuklappbaren Bereichen untereinander gewechselt werden(4). Der aktive Reiter wird durch einen farbigen Balken hervorgehoben.
Beschreibung der Verarbeitungstätigkeit
Allgemein
Bitte geben Sie eine aussagekräftige Bezeichnung für das Formular an, um die weitere Bearbeitung bzw. das Auffinden des Dokuments zu erleichtern.
Im Reiter Allgemein können neben der Beschreibung und Zweckbestimmung der Verarbeitungstätigkeit auch Verknüpfungen zu betroffenen Geschäftsprozessen, in seltenen Fällen Anwendungen und Ansprechpartnern hinterlegt werden. Regelmäßig empfiehlt es sich hier, lediglich Geschäftsprozesse zu verknüpfen. So werden die mit den Prozessen verknüpften Anwendungen automatisch mit betrachtet.
Dabei ist es möglich, auch mehrere Geschäftsprozesse über die Schaltfläche Auswählen ... mit einer Verarbeitungstätigkeit zu verknüpfen.
Daten
Im Reiter Daten werden Informationen zur Datenverarbeitung abgelegt. In diesem Reiter können Sie Datenkategorien(1), Betroffene(2) bzw. Empfänger(3) direkt in der Verarbeitung aus dem bereits bestehenden Bestand auswählen. Für die Mehrfachauswahl nutzen Sie bitte die Schaltfläche Aus Liste wählen ....
Für das Entfernen oder Bearbeiten einer bereits getroffenen Auswahl an der Datenkategorie, der Betroffenen bzw. den Empfängern nutzen Sie die Listenauswahl oder beginnen sie über die Schaltfläche Auswahl bearbeiten. Anschließend können sie das Objekt über das das Symbol des Mülleimers löschen(2) bzw. direkt bearbeiten und die Bearbeitung beenden(1).
Risikobewertung
Über die Schaltfläche Risiko anlegen...können Sie Risiken angelegen und bewerten, die in der Verarbeitung auftreten können und für die Betroffenen (oder falls gewünscht, auch für das Unternehmen) wirksam werden können.
Ist die Bedrohungs- und Schwachstelleneinstufung getroffen, können Sie über die Schaltfläche Berechnen(3) die Eintrittswahrscheinlichkeit(2) berechnen lassen.
Bei der Risikobewertung wird bei der Berechnung der Eintrittswahrscheinlichkeit aus Bedrohungs- und Schwachstelleneinstufung eine entsprechende Bemerkung hinterlegt.
Ist die Eintrittswahrscheinlichkeit berechnet und das Schadenspotenzial gewählt, werden automatisch vom System die Risikoklasse und Risikokategorie entsprechend der Einstellungen bestimmt.
Statt für jedes Risiko einzelne Maßnahmen zur Minimierung zu dokumentieren, können Sie auf die "Technischen und Organisatorischen Maßnahmen" des Unternehmens zurückgreifen und diese mit dem Risiko verknüpfen, um ein geringeres Restrisiko (und damit wirkendes Risiko) zu erhalten.
Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.
Kopierfunktion von Risiken
Über die Schaltfläche Risiko duplizieren kann über den Picking-Dialog eine Auswahl der bereits in der Anwendung angelegten Risiken übernommen werden.
Sie können über die Auswahl ein Risiko oder auch mehrere Risiken auswählen, welche Sie über die Schaltfläche übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen (1) können Sie zum Beispiel alle Risiken auswählen. Ebenfalls steht Ihnen ein Suchfeld (2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox (3) zu treffen.
Risiken können auch in der Einzelansicht eines Risikos heraus über die Schaltfläche duplizieren kopiert werden.
Maßnahme
Für sehr spezielle Risiken kann es möglich sein, dass die hinterlegten "Technischen und Organisatorischen Maßnahmen" nicht geeignet sind, dass Risiko zum minimieren. In diesem Fall kann es sinnvoll sein. Maßnahmen speziell für die Bekämpfung dieses Risikos zu dokumentieren. Diese Maßnahmen(1) erstellen Sie mit Hilfe der Schaltfläche Maßnahme anlegen... . Bitte geben Sie eine aussagekräftige Bezeichnung für die Maßnahme(2) an, um die weitere Bearbeitung bzw. das Auffinden des Dokuments zu erleichtern. Über die Schaltfläche Auswahl bearbeiten(3) können Sie die Auswahl bearbeiten bzw. über das Symbol des Mülleimers löschen.
Einer Maßnahme sollte für die spätere Bearbeitung eine Verantwortung zugeordnet werden.
Status
Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status der Bearbeitung stehen Ihnen folgende Staus zur Verfügung:
| Status | Bedeutung |
|---|---|
| vorgesehen | Die verarbeitungsspezifische Maßnahme ist vorgesehen. |
| in Bearbeitung | Die verarbeitungsspezifische Maßnahme ist in Bearbeitung. |
| in Prüfung | Die verarbeitungsspezifische Maßnahme ist in Prüfung. |
| implementiert | Die verarbeitungsspezifische Maßnahme ist fertig bearbeitet. |
| verworfen | Die verarbeitungsspezifische Maßnahme wurde verworfen. |
Die neue Maßnahme können Sie zum Abschluss freigeben und es wird automatisch eine Wiedervorlage erstellt. Im Menüpunkt Risikomanagement bekommen Sie in der Übersicht der Verarbeitungsspezifischen Maßnahmen alle in ForumDSM angelegten Maßnahmen angezeigt.
Datenschutz-Folgenabschätzung
Im Reiter Datenschutz-Folgenabschätzung (DFSA)(1) können Sie die Erforderlichkeit(2) einer solchen Abschätzung festlegen.
Zur Entscheidungsfindung, ob eine solche Abschätzung notwendig ist, kann der Artikel 35 Abs. 3 DSGVO (Beispiele für Verarbeitungen, die eine DSFA benötigen) oder Art. 35 Abs. 4 DSGVO (Aufsichts-Liste von Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist) genutzt werden.
Optional können Sie eine Checkliste(3) ausfüllen, die auf dem Workingpaper 248 Der Artikel 29 - Gruppe basiert .
Wenn mindestens zwei Fragen aus der Checkliste mit einem „Ja“ beantwortet werden, muss mit hoher Wahrscheinlichkeit eine Datenschutz-Folgenabschätzung erfolgen. Bei Unsicherheit sollte sie durchgeführt werden.
Wird eine Datenschutz-Folgenabschätzung notwendig, können Sie über die Schaltfläche Datenschutz-Folgenabschätzung anlegen...eine Datenschutz-Folgenabschätzung erstellen und entsprechend die Reiter befüllen.
Die unter dem Reiter Notwendigkeit befindlichen Felder Beschreibung und Zweckbestimmung werden aus dem betreffenden Verfahren übernommen.
Das Datum an einer neu erstellten Datenschutz-Folgenabschätzung wird mit dem aktuellen Datum (1) vorbelegt, kann jedoch angepasst werden.
Sollte in der der Datenschutz-Folgenabschätzung ein hohes Risiko ergeben, werden Sie im Reiter Auswertung folgende Mitteilung angezeigt bekommen:
