Support & Lerncenter
Anleitungen / Videos / Anwendertreffen / FAQ / Versionsgeschichte
Kurze Anleitungen (bitte anklicken zum öffnen):
Hilfstext für das Feld: Kollektion – „WO werden WELCHE Daten WIE für diese Verarbeitung erfasst/gesammelt?“
Fokus: „WO werden WELCHE Daten WIE für diese Verarbeitung erfasst/gesammelt?“
Phase „Kollektion“ gemäß dem Standard Datenschutzmodell (SDM)
Im Rahmen der Erfassung von Datenverarbeitungstätigkeiten nach Artikel 30 DSGVO ist es entscheidend, die Sammlung und Erhebung von personenbezogenen Daten präzise zu dokumentieren. Dieser Leitfaden hilft Ihnen, das Feld „WO werden WELCHE Daten WIE für diese Verarbeitung erfasst/gesammelt?“ detailliert und verständlich zu beschreiben.
1. WO – Erfassungsort der Daten
Beschreiben Sie den physischen oder virtuellen Ort, an dem die Daten gesammelt werden. Dies kann ein Arbeitsplatz im Unternehmen, ein physischer Standort (z. B. ein Ladengeschäft) oder ein digitaler Ort (z. B. ein Webformular oder eine App) sein.
- Beispiel: „Die Daten werden über ein Online-Bewerbungsportal erfasst.“
2. WELCHE – Art der erhobenen Daten
Geben Sie an, welche Arten von personenbezogenen Daten gesammelt werden. Hierbei sollten Sie die Kategorien von Daten klar benennen, z. B. Name, Adresse, Geburtsdatum, Bankdaten, Gesundheitsdaten etc. Wichtig ist, dass Sie zwischen „normalen“ personenbezogenen Daten und besonderen Kategorien (wie Gesundheitsdaten) unterscheiden.
- Beispiel: „Es werden folgende personenbezogene Daten erfasst: Name, E-Mail-Adresse, Telefonnummer, und Lebenslauf (einschließlich Bildungs- und Berufshistorie).“
3. WIE – Art und Weise der Datenerhebung
Beschreiben Sie, auf welche Weise die Daten gesammelt werden. Werden die Daten manuell oder automatisiert erfasst? Erfolgt die Sammlung durch direkte Eingabe der betroffenen Person, durch automatisierte Sensoren oder durch eine externe Quelle? Hier sollten Sie auch den technischen und organisatorischen Kontext der Datenerhebung darlegen.
- Beispiel: „Die Daten werden durch die betroffene Person über ein verschlüsseltes Online-Formular eingegeben und direkt in das Bewerbermanagementsystem übertragen.“
Tipps für eine präzise Beschreibung:
- Technische Mittel: Wenn die Erfassung digital erfolgt, beschreiben Sie die genutzten technischen Mittel. Beispiele wären Web-Formulare, mobile Apps, Datenbanken oder spezielle Softwarelösungen.
- Sicherheitsmaßnahmen: Falls bereits bei der Erfassung Maßnahmen zur Datensicherheit getroffen werden (z. B. Verschlüsselung), sollten diese ebenfalls erwähnt werden.
- Automatisierte Prozesse: Wenn die Daten automatisch, etwa durch Web-Tracking oder Sensoren, gesammelt werden, ist dies anzugeben.
Beispiel für eine vollständige Beschreibung:
„Die personenbezogenen Daten werden über ein Online-Bewerbungsportal (wo) erfasst. Es werden Name, E-Mail-Adresse, Telefonnummer, und Lebenslauf (welche) gesammelt. Die Erfassung erfolgt durch direkte Eingabe der betroffenen Person in ein verschlüsseltes Online-Formular, das die Daten automatisch in das Bewerbermanagementsystem überträgt (wie).“
Diese detaillierte Beschreibung hilft, die Transparenz und Nachvollziehbarkeit der Datenverarbeitung zu gewährleisten und stellt sicher, dass die Anforderungen des Artikels 30 DSGVO erfüllt werden.
Hilfstext für das Feld: Bereithaltung – „WO und WIE werden diese Daten gespeichert/aufbewahrt?“
Fokus: „WO und WIE werden diese Daten gespeichert/aufbewahrt?“
Phase „Bereithaltung“ gemäß dem Standard Datenschutzmodell (SDM)
Im Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO ist es wichtig, den Umgang mit gespeicherten Daten detailliert zu dokumentieren. In der Phase „Bereithaltung“ geht es darum, zu beschreiben, wo und wie die personenbezogenen Daten, die Sie erfasst haben, gespeichert und aufbewahrt werden.
1. WO – Speicherort der Daten
Geben Sie an, an welchem Ort die Daten physisch oder virtuell gespeichert werden. Unterscheiden Sie dabei, ob es sich um lokale Speicher (z. B. Server in Ihren Geschäftsräumen) oder externe Speicher (z. B. Cloud-Dienste) handelt.
- Beispiel: „Die Daten werden auf einem internen Server im Rechenzentrum des Unternehmens gespeichert.“
- Alternative: „Die Daten werden in einem Cloud-Dienst gespeichert, der sich in einem Rechenzentrum innerhalb der Europäischen Union befindet.“
2. WIE – Art der Datenspeicherung und -sicherung
Beschreiben Sie, wie die Daten gespeichert werden. Wichtig sind dabei die genutzten Technologien und die Sicherheitsvorkehrungen, die getroffen werden, um die Daten zu schützen. Dies umfasst Verschlüsselung, Zugriffskontrollen und Backup-Strategien.
- Beispiel: „Die Daten werden in verschlüsselter Form auf dem Server gespeichert. Der Zugriff ist nur autorisierten Mitarbeitenden möglich und erfolgt über ein Passwort-geschütztes System.“
Tipps für eine präzise Beschreibung:
- Technologie: Beschreiben Sie, welche Technologien Sie verwenden, z. B. Datenbanken, Dateisysteme, verschlüsselte Speicherlösungen.
- Zugriffskontrolle: Erklären Sie, wie Sie den Zugriff auf die gespeicherten Daten steuern und einschränken (z. B. nur bestimmte Mitarbeitende haben Zugriff, Nutzung von Zwei-Faktor-Authentifizierung).
- Backup: Falls regelmäßige Backups gemacht werden, sollten Sie dies ebenfalls erwähnen, um die Datensicherheit zu verdeutlichen.
Beispiel für eine vollständige Beschreibung:
„Die Daten werden auf einem internen Server im Rechenzentrum des Unternehmens (wo) gespeichert. Sie werden verschlüsselt abgelegt, und nur autorisierte Mitarbeitende haben Zugriff über ein passwortgeschütztes System. Zusätzlich werden die Daten regelmäßig gesichert, und es existieren Backup-Kopien, die ebenfalls verschlüsselt sind (wie).“
Diese Beschreibung stellt sicher, dass die Datenspeicherung transparent und verständlich dokumentiert ist. So erfüllen Sie die Anforderungen der DSGVO und können jederzeit nachvollziehen, wo und wie die personenbezogenen Daten in Ihrem Unternehmen gespeichert werden.
Hilfstext für das Feld: Nutzung – „WIE und WO werden diese Daten dann von WEM benutzt oder weiterverarbeitet?“
Fokus: „WIE und WO werden diese Daten dann von WEM benutzt oder weiterverarbeitet?“
Phase „Nutzung“ gemäß dem Standard Datenschutzmodell (SDM)
Im Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO ist es wichtig, genau zu dokumentieren, wie die erfassten Daten im Unternehmen genutzt und weiterverarbeitet werden. In der Phase „Nutzung“ beschreiben Sie, wie, wo und von wem die personenbezogenen Daten verwendet werden.
1. WIE – Art und Weise der Nutzung
Beschreiben Sie, auf welche Weise die personenbezogenen Daten in Ihrem Unternehmen verwendet werden. Dies könnte die Verarbeitung zu bestimmten Zwecken, wie der Verwaltung, Analyse oder Weitergabe an andere Abteilungen, beinhalten. Erklären Sie auch, ob die Nutzung manuell oder automatisiert erfolgt und welche Tools oder Systeme verwendet werden.
- Beispiel: „Die Daten werden genutzt, um Bewerbungen zu verwalten und passende Kandidaten auszuwählen. Dies erfolgt mithilfe einer Bewerbermanagementsoftware.“
2. WO – Ort der Nutzung und Weiterverarbeitung
Geben Sie an, wo die Daten innerhalb des Unternehmens genutzt werden. Dies könnte eine Abteilung, ein Büro oder ein bestimmter IT-Bereich sein. Wenn die Daten in einer digitalen Umgebung verarbeitet werden, nennen Sie den Ort der Datenverarbeitung, z. B. eine zentrale Datenbank oder ein Cloud-System.
- Beispiel: „Die Daten werden zentral in der Personalabteilung verarbeitet und in der Cloud-Datenbank des Unternehmens aufbewahrt.“
3. Von WEM – Nutzer der Daten
Beschreiben Sie, welche Personen oder Abteilungen auf die Daten zugreifen und sie weiterverarbeiten. Dies könnte eine spezifische Gruppe von Mitarbeitenden sein, wie die Personalabteilung oder das IT-Team. Erklären Sie auch, ob externe Dienstleister in die Verarbeitung der Daten einbezogen sind.
- Beispiel: „Die Daten werden ausschließlich von autorisierten Mitarbeitenden der Personalabteilung genutzt. IT-Mitarbeitende haben nur für Wartungszwecke Zugriff. Externe Dienstleister sind nicht beteiligt.“
Tipps für eine präzise Beschreibung:
- Systeme und Software: Nennen Sie die verwendeten Softwarelösungen oder Tools, die bei der Verarbeitung und Nutzung der Daten eingesetzt werden.
- Zugriffskontrollen: Beschreiben Sie, wie der Zugang zu den Daten geregelt ist, und wer die Erlaubnis hat, sie zu verwenden oder zu bearbeiten.
- Sicherheitsmaßnahmen: Geben Sie an, welche Maßnahmen zur Sicherung der Daten während der Nutzung getroffen werden (z. B. Zugriffsbeschränkungen oder Protokollierung von Zugriffsversuchen).
Beispiel für eine vollständige Beschreibung:
„Die personenbezogenen Daten werden mithilfe einer Bewerbermanagementsoftware genutzt, um Bewerbungen zu verwalten und passende Kandidaten auszuwählen (wie). Die Verarbeitung erfolgt zentral in der Personalabteilung, die Daten werden in der Cloud-Datenbank gespeichert (wo). Nur autorisierte Mitarbeitende der Personalabteilung haben Zugriff auf die Daten. IT-Mitarbeitende können nur für Wartungszwecke zugreifen, externe Dienstleister sind nicht involviert (von wem).“
Diese detaillierte Beschreibung hilft sicherzustellen, dass die Nutzung und Weiterverarbeitung der Daten im Verzeichnis der Verarbeitungstätigkeiten transparent und nachvollziehbar dokumentiert ist. So erfüllen Sie die Anforderungen der DSGVO und gewährleisten eine ordnungsgemäße Datenverarbeitung in Ihrem Unternehmen.
Hilfstext für das Feld: Beseitigung – „WANN (nach welcher Zeit) werden die Daten oder Teile der Daten WIE gelöscht/vernichtet?“
Fokus: „WANN (nach welcher Zeit) werden die Daten oder Teile der Daten WIE gelöscht/vernichtet?“
Phase „Beseitigung“ gemäß dem Standard Datenschutzmodell (SDM)
Im Rahmen der Dokumentation der Datenverarbeitung nach Artikel 30 DSGVO ist es wichtig, die Löschung und Vernichtung personenbezogener Daten genau zu beschreiben. In der Phase „Beseitigung“ geht es darum, festzulegen, wann die Daten gelöscht werden und wie dies erfolgt.
1. WANN – Zeitrahmen der Löschung
Beschreiben Sie, nach welchem Zeitraum die Daten gelöscht werden. Dies richtet sich in der Regel nach den Aufbewahrungsfristen, die für bestimmte Arten von Daten gelten. Der Zeitraum kann abhängig von gesetzlichen Vorgaben, internen Richtlinien oder der Dauer, für die die Daten benötigt werden, variieren.
- Beispiel: „Die Bewerbungsdaten werden 6 Monate nach Abschluss des Bewerbungsverfahrens gelöscht.“
2. WIE – Art der Löschung oder Vernichtung
Beschreiben Sie, wie die Daten gelöscht oder vernichtet werden. Werden die Daten aus einer Datenbank entfernt, sicher gelöscht oder physisch vernichtet (bei Papierdokumenten)? Falls spezielle Software oder Techniken zur Löschung verwendet werden, erwähnen Sie diese. Es ist wichtig sicherzustellen, dass die Daten unwiderruflich gelöscht werden, um den Datenschutz zu gewährleisten.
- Beispiel: „Die Daten werden aus dem System entfernt und mithilfe einer speziellen Software unwiderruflich gelöscht. Papierunterlagen werden durch einen zertifizierten Dienstleister sicher vernichtet.“
Tipps für eine präzise Beschreibung:
- Löschfrist: Nennen Sie die genauen Fristen, nach denen die Daten gelöscht werden, und stellen Sie sicher, dass diese Fristen den gesetzlichen Vorgaben entsprechen.
- Löschverfahren: Erklären Sie, ob die Löschung manuell oder automatisiert erfolgt und ob spezielle Löschsoftware oder -prozesse verwendet werden.
- Sicherheitsmaßnahmen: Geben Sie an, welche Maßnahmen ergriffen werden, um sicherzustellen, dass die Daten unwiderruflich gelöscht oder vernichtet werden.
Beispiel für eine vollständige Beschreibung:
„Die personenbezogenen Daten werden 6 Monate nach Abschluss des Bewerbungsverfahrens gelöscht (wann). Die Daten werden aus der Bewerberdatenbank entfernt und mithilfe einer speziellen Software sicher und unwiderruflich gelöscht. Physische Dokumente werden durch einen zertifizierten Dienstleister vernichtet (wie).“
Diese Beschreibung hilft sicherzustellen, dass der Löschprozess transparent und nachvollziehbar dokumentiert ist. So erfüllen Sie die Anforderungen der DSGVO und gewährleisten den Datenschutz in Ihrem Unternehmen.
Anleitungsvideos
Anleitung zum Ausfüllen der Beschreibung der Verarbeitungen:
Veranstaltungen / Anwendertreffen
Am Freitag, den 08.11.2024 findet das nächste Anwender- und Interessententreffen von 10:00 Uhr bis 12:00 Uhr online statt. Wir präsentieren die neuen Funktionen, zeigen Best Practices (z.B. die Nutzung des MoeWe Datenschutztools bei der Dokumentation von Microsoft 365 oder bei der Dokumentation von Anwendungen bei Betriebsvereinbarungen). Weiter gibt es einen Einblick in die zukünftigen Funktionen des MoeWe Datenschutztools. Besonders freuen wir uns auf den Austausch und Ideen der Anwender.
Den Link zur Teilnahme verwenden wir ca. 2 Tage vor der Veranstaltung. Bitte melden Sie sich mit einer E-Mail an info@moewe-datenschutz.de formlos an.
FAQ
Kann ich Daten aus meiner jetzigen Dokumentation übernehmen?
Ein Import von Daten mittels einer CSV-Datei ist möglich. Eine Vorlage für den Import stellen wir auf Anfrage zur Verfügung.
Versionsgeschichte
Version 1.0.11 (30.10.2024)
- Infrastruktur / Fachapplikation Sortierung alphabetisch
- Neuer Report „Verarbeitungsphasen“
- Neuer Report „Aufbewahrungsfristen“
- „VVT Report intern“ ergänzt um die Beschreibungsfelder für Daten sammeln, aufbewahren, benutzen, beseitigen
- Menu umstrukturiert: Alles Reports in einer Gruppe
- „Organisationsheit“, „Themenblock“, „Schutzziel“ jeweils eine Multiauswahl für Filterung im Auditreport
- Neue Hilfetexte für die Verarbeitungsphasen
- Zeigt den letzten Bearbeiter in den VVT Report an
Version 1.0.10 (08.10.2024)
- Neue Datenfelder Personengruppen und Datenkategorien bei Fachapplikation/Infrastruktur
- Neue Benutzerrolle “Verfahrensverantwortlicher – nur zugeordnet”
Version 1.0.9 (23.09.2024)
- Audit-Mode
- VVT Risiko Darstellung nach Ablaufreihenfolge
- Sortierung Auswahl Fachapplikationen / Infrastruktur
- Layoutanpassungen
Vorherige Updates siehe unter „News„