Logo

EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO)

Datenschutzhinweise    Impressum    Kontakt

Verzeichnis von Verarbeitungstätigkeiten

Copyright,     Einleitung,     Übergangsregelung,     Verantwortlichkeiten,     Zielsetzung,     Unterschiede zum BDSG,     Begriffsbestimmungen,     Anforderungen,     Weitergehende Dokumentation,     TOMs: BDSG vs. DS-GVO,     Literatur,     span style="background-color: #FFFF66">Beispiel

Verantwortlicher,     Auftragsverarbeiter

Beispiel: Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten: Verantwortlicher

1. Stammdaten

1.1 Namen und die Kontaktdaten des Auftragnehmers(1)

Name/Bezeichnung der datenverarbeitenden Stelle(2)                      
Straße Hausnummer(3)                      
PLZ / Ort                      
Telefon                      
Telefax(4)                      
E-Mail-Adresse(4)                      
Internet-Adresse(4)                      

Angaben zur geschäftlichen Korrespondenz
Rechtsform der Gesellschaft/td>                      
Handelsregisternummer(4)                      
Umsatzsteueridentifikationsnummer(4)                      
Wirtschafts-Identifikationsnummer(4)                      

1.2 Persönliche Nennung der verantwortlichen Personen

1.2.1 Geschäftsführung

Vollständiger Name (n)                      
Straße Hausnummer(3)                      
PLZ / Ort                      
Telefon                      
Telefax(4)                      
E-Mail-Adresse(4)                      
Internet-Adresse(4)                      

1.2.2 Stellvertretende Geschäftsführung

Vollständiger Name (n)                      
Straße Hausnummer(3)                      
PLZ / Ort                      
Telefon                      
Telefax(4)                      
E-Mail-Adresse(4)                      
Internet-Adresse(4)                      

1.2.3 Leitung der Datenverarbeitung(5)

Vollständiger Name (n)                      
Straße Hausnummer(3)                      
PLZ / Ort                      
Telefon                      
Telefax(4)                      
E-Mail-Adresse(4)                      
Internet-Adresse(4)                      

1.2.4 Angaben zur Person des Datenschutzbeauftragten(6)

Vollständiger Name (n)                      
Straße Hausnummer(3)                      
PLZ / Ort                      
Telefon                      
Telefax(4)                      
E-Mail-Adresse(4)                      
Internet-Adresse(4)                      

2 Angaben zur Verarbeitungstätigkeit

2.1 Organisatorische Angaben

2.1.1 Ansprechpartner / Verfahrensverantwortliche

Vollständiger Name (n)                      
Straße Hausnummer(3)                      
PLZ / Ort                      
Telefon                      
Telefax(4)                      
E-Mail-Adresse(4)                      
Internet-Adresse(4)                      

2.1.2 Zeitangaben

Datum der Einführung                      
Datum der Erstbeschreibung(3)                      
Datum der letzten Änderung                      

2.2 Zweck der Verarbeitung

2.2.1 Bezeichnung des Verfahrens

2.2.2 Zweckbestimmung()

2.2.3 Rechtsgrundlage

2.2.3.1 Verarbeitung von Daten, die nicht zu besonderen Kategorien gemäß Art. 9 Abs. 1 DS-GVO zählen

(Art. 6 DS-GVO)
Hinweis: Die Regelungen von Art. 6 bilden keine Erlaubnistatbestände für die Verarbeitung von besonderen Kategorien von Daten. Diesbezüglich enthält Art. 9 DS-GVO (abschließend) entsprechende Legitimationstatbestände.

Rechtsgrundlage EU DS-GVO(8)
                      Einwilligung(9)
(Art. 6 Abs. 1 lit. a)
                      Zur Vertragserfüllung notwendig
(Art. 6 Abs. 1 lit. b)
                      Zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, erforderlich
(Art. 6 Abs. 1 Lit c)
                      Erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
(Art. 6 Abs. 1 lit. d)
                      Verarbeitung liegt im öffentlichen Interesse oder erfolgt in Ausübung öffentlicher Gewalt
(Art. 6 Abs. 1 lit. e)
                      Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
und
die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht
(Art. 6 Abs. 1 lit. f)

2.3.2 Verarbeitung besondere Kategorien personenbezogener Daten(10)

(Art. 9 DS-GVO)
                      Rechtsgrundlage EU DS-GVO Ergänzende national-gesetzliche Regelung
                      Einwilligung(11)(Art. 9 Abs. 2 lit. a)
                      Patientenbehandlung(12)
(Art. 9 Abs. 2 lit. h)
                      Weitergabe von Daten an Mit-/Nachbehandler(12)
(Art. 9 Abs. 2 lit. h)
                      Verarbeitung ist zum Schutz lebenswichtiger Interessen(13) der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben
Art. 9 Abs. 2 lit. c)
                      Abrechnung von Leistungen
(Art. 9 Abs. 2 lit. f)
                      Qualitätssicherung der Patientenversorgung(12)
(Art. 9 Abs. 2 Lit i)
                      Gesetzlich geregelte Krankheitsregister(12)
(Art. 9. Abs. 2 lit. h)
                      Gesundheitsstatistik des Bundes und der Länder(12)
(Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1)
                      Arbeitsmedizinische Untersuchung(12)
(Art. 9 Abs. 2 Lit h in Verbindung mit Art. 9. Abs. 3)
                      Untersuchung durch Gesundheitsamt(12)
(Art. 9. Abs. 2 Lit i)
                      Impfungen in Schule usw. durch Ämter(12)
(Art. 9. Abs. 2 Lit i)
                      Verteidigung der behandelnden Person vor Gericht(12)
(Art. 9 Abs. 2. lit. f)
                      Wissenschaftliche u. historische Forschung(12)
(Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1)
                      Gesetzlich vorgeschriebene Archivierung zu hist. Zwecken(12)
(Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1)
                      Verarbeitung von seitens der betroffenen Person öffentlich zugänglich gemachten Daten
(Art. 9 Abs. 2 lit. e)
                      ...

Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

Beschreibung der Kategorien betroffener Personen

Kategorien betroffener Personen Beschreibung
Patienten                      
Mitarbeiter, Angestellte, Rentner, Bewerber, Auszubildende, Praktikanten, gewerbliche Mitarbeiter                      
Lieferanten sowie andere Geschäftspartner, sofern diese zur Erfüllung der in Abschnitt 2.2.2 genannten Zwecke erforderlich sind                      
Kunden, Mitarbeiter von Kunden,                      

2.3.2 Beschreibung der Kategorien personenbezogener Daten19

Kategorien betroffener Personen Beschreibung
Daten der Patientenbehandlung, insbesondere
  • namnestische Daten
  • Diagnosedaten
  • Therapie- u. Versorgungsdaten
  • Nachsorgedaten
                     
Angaben zur Person (des Betroffenen)
  • Name
  • Anschrift
  • Geburtsdatum
  • Religion
  • schwerbehindert oder dem gleichgestellt
                     
Adressdaten                      
Lieferantendaten                      
Kundendaten                      
Bestell- und Abrechnungsdaten                      
Logistikdaten                      
Mitarbeiterdaten zur Personalverwaltung, insbesondere:
  • Kostenstelle
  • Vorgesetzter
  • Schicht
  • Vollzeit/Teilzeit
  • Dauer Betriebszugehörigkeit
  • Tätigkeiten im Unternehmen
  • Fehlzeiten
                     
Mitarbeiterdaten zur Lohn- und Gehaltsabrechnung, insbesondere:
  • Personalstammdaten
  • Zeiterfassungsdaten
                     
Bewerberdaten, insbesondere
  • Name
  • Anschrift
  • Kontaktdaten
  • Ausbildung
  • Qualifikation
  • Stelle, auf die sich beworben wurde
                     

2.4 Kategorien von Empfängern(14)

2.4.1 Interne Empfänger

Empfänger/th> Rechtsgrundlage(15)
...                      

2.4.2 Externe Empfänger

Empfänger/th> Rechtsgrundlage(16)
...                      

2.5 Übermittlungen an ein Drittland oder an eine internationale Organisation(17)

Name des Drittstaates                      
Empfänger oder Kategorien von Empfängern                      
Art der Daten oder Datenkategorien                      
Rechtsgrundlage                      
Angabe der geeigneten Garantien(18)                      

2.6 Fristen für die Löschung

Kategorien personenbezogener Daten Löschfristen
                                           

2.7 Getroffene technische und organisatorische Maßnahmen(19)

(gemäß Art. 32 Abs. 1 DS-GVO)

2.7.1 Pseudonymisierung personenbezogener Daten(20)

Kategorien betroffener Daten Verfahrensbeschreibung
                                           

2.7.2 Verschlüsselung personenbezogener Daten

Kategorien betroffener Daten Verfahrensbeschreibung
                                           

2.7.3 Beschreibung des Verfahrens zur Gewährleistung der Verfügbarkeit der personenbezogenen Daten

Kategorien betroffener Daten Verfahrensbeschreibung
                                           

2.7.4 Beschreibung des Verfahrens zur Gewährleistung Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall, rasch wiederherzustellen

Kategorien betroffener Daten Verfahrensbeschreibung
                                           

2.7.5 Beschreibung des Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Kategorien betroffener Daten Verfahrensbeschreibung
                                           



(1) Hinweis: siehe hierzu auch Working Paper 169 "Stellungnahme 1/2010 zu den Begriffen ???für die Verarbeitung Verantwortlicher??? und ???Auftragsverarbeiter??? der Artikel-29-Datenschutzgruppe

(2) Name des Unternehmens, der Institution, der Organisation, ...

(3) Es muss eine ladungsfähige Anschrift angegeben werden; die Angabe eines Postfachs ist nicht ausreichend, kann aber natürlich als Zusatzinformation angegeben werden.

(4) Sofern vorhanden

(5) Freiwillige Angabe, jedoch ist es für eine Aufsichtsbehörde im Prüfungsfall nützlich zu wissen, wer hier der zuständige Ansprechpartner ist.

(6) Sofern vorhanden, müssen die Kontaktdaten des Datenschutzbeauftragten zwingend angegeben werden.

(7) Hinweis: Working Paper "Opinion 03/2013 on purpose limitation" der Artikel-29-Datenschutzgruppe berücksichtigen.

(8)

(9) Hinweis: siehe zum Thema "Einwilligung" auch Working Paper 187 "Stellungnahme 15/2011 zur Definition von Einwilligung" der Artikel-29-Datenschutzgruppe.

(10) Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person ,Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

(11) Hinweis: siehe zum Thema "Einwilligung" auch Working Paper 187 "Stellungnahme 15/2011 zur Definition von Einwilligung" der Artikel-29-Datenschutzgruppe.

(12) Angabe einer nationalen gesetzlichen Regelung zwingend für die gelb markierten Feldern erforderlich, da ohne diese kein wirksamer Erlaubnistatbestand entsprechend DS-GVO vorliegt.

(13) Hinweis: in Working Paper 131 "Arbeitspapier Verarbeitung von Patientendaten in elektronischen Patientenakten (EPA)" der Artikel-29-Datenschutzgruppe wird hinsichtlich der "lebenswichtigen Interessen der betroffenen Person" Stellung bezogen

(14) Hinweise (Art. 30 Abs. 1 lit. d):

  1. Empfänger im Sinne der DS-GVO, also z. B. auch Auftragsverarbeiter
  2. Es sind auch Empfänger anzugeben, denen die Daten zukünftig offengelegt werden (sollen)
  3. Ebenfalls sind Empfänger in Drittländern anzugeben
  4. Desgleichen internationale Organisationen als Empfänger

(15) Rechtsgrundlage für die Offenlegung, z.B. AV-Vertrag oder ein nationales Gesetz.

(16) Rechtsgrundlage für die Offenlegung, z.B. Auftragsverarbeitungs-Vertrag oder ein nationales Gesetz.

(17) Nur wenn im Einsatz oder geplant

(18) Wenn Art. 49 Abs. 1 lit. b DS-GVO zutreffend ist

(19) Hier kann auf bestehende Dokumente wie bspw. ein IT-Sicherheitskonzept verwiesen werden, in welchem die die im Verfahren verwendeten Daten schützenden Maßnahmen konkret beschrieben sind

(20) Hinweis: bzgl. Abgrenzung Anonymisierung/Pseudonymisierung siehe auch Working Paper 216 "Stellungnahme 5/2014 zu Anonymisierungstechniken" der Artikel-29-Datenschutzgruppe.