Verarbeitungstätigkeit neu anlegen Beratung zurück zum Dashboard Beratung ausfüllen/ neu anlegen Schritt 1 von 5 20% Grundsätzliche Angaben zur VerarbeitungLaufende Nummer:Datum der Einführung:* Datumsformat:TT Schrägstrich MM Schrägstrich JJJJ Datum der letzten Änderung:* Datumsformat:TT Schrägstrich MM Schrägstrich JJJJ VersionBezeichnung der Verarbeitungstätigkeit*Benennen Sie die Verfahrenstätigkeit so, dass anhand der Bezeichnung auf den Zweck geschlossen werden kann. Beispielsweise: CRM (Kundendaten), Lohnabrechnung, Marketing, etc… Übergeordneter Geschäftsprozess (optional)Verantwortlicher Ansprechpartner im Unternehmen (Art. 30 Abs. 1 S. 2 lit a)*Tragen Sie hier den verantwortlichen Ansprechpartner für die Verarbeitungstätigkeit ein.Verantwortlicher Ansprechpartner beteiligter Unternehmen (optional)Wenn andere Unternehmen an der Verarbeitungstätigkeit beteiligt sind z. B. Auftragsverarbeiter – hier Namen des Ansprechpartners eintragen.Statusin BetriebgeplantVerwendete Programme (Software) für diese Verarbeitungstätigkeit Allgemeine datenschutzrechtliche Anforderungen DSGVOZweck der Verarbeitung (Art. 30 Abs. 1 S. 2 lit. b)*Für jede Verarbeitung sind die Zwecke festzulegen. Die Zwecke müssen eindeutig und transparent beschrieben werden.Beratung von Kunden zur Anbahnung und Durchführung von Geschäftsbeziehungen.Gibt es für die Verarbeitungstätigkeit "gemeinsam Verantwortliche" (nach Art. 26 DSVGO)NeinJaDie Aufteilung der Verantwortlichkeit ist wie folgt:Rechtmäßigkeit der Verarbeitung (Art. 6 DSVGO)* Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung) Art. 6 Abs. 1 lit. b) DSGVO (Vertrag oder Vertragsanbahnung) Art. 6 Abs. 1 lit. c) DSGVO (Erfüllung rechtlicher Verpflichtung) Art. 6 Abs. 1 lit. d) DSGVO (lebenswichtige Interessen schützen) Art. 6 Abs. 1 lit. e) DSGVO (öffentliches Interesse) Art. 6 Abs. 1 lit. f) DSGVO (Wahrung berechtigter Interessen des Verantwortlichen oder Dritten) § 26 BDSG n. F. (zum Zwecke des Beschäftigungsverhältnisses) Weitere Weitere Rechtmäßigkeiten der Verarbeitung*InteressenabwägungKategorien betroffener Personen(-gruppen) (Art. 30 Abs. 1 S. 2 lit. c)*Benennen Sie die Kategorien der betroffenen Personen, von denen Sie personenbezogene Daten verarbeiten, z. B. Beschäftigte, Kunden, Bewerber. Alle auswählen Beschäftigte Kunden/ Nutzer und deren Beschäftigte Dienstleister/ Lieferanten und deren Beschäftigte Besucher der Geschäftsräume/ Interessenten Bewerber Am Prozess Beteiligte/ Dritte Weitere Kategorien betroffener Personen(-gruppen) (Art. 30 Abs. 1 S. 2 lit. c)*Bitte füllen Sie das Text mit weiteren Personen(-gruppen), die es in Ihrem Unternehmen betreffen könnte.Art der gespeicherten Daten bzw. Kategorien der zu verarbeitenden Daten (Art. 30 Abs. 1 S. 2 lit. c)*Benennen Sie weitere Arten der gespeicherten Daten/ Kategorien, die es in Ihrem Unternehmen gibt. Alle auswählen Name, Vorname Titel Geschlecht Adresse Kontaktdaten Name Unternehmen Anschrift Unternehmen Kontakthistorie Internetadresse E-Mailadresse Telefonnummer Faxnummer IP-Adresse Kommunikationsdaten Kundendaten Kundenart Kundennummer Vertragsdaten Termindaten Weitere Art der gespeicherten Daten bzw. Kategorien der zu verarbeitenden Daten (Art. 30 Abs. 1 S. 2 lit. c)*Bitte füllen Sie das Textfeld mit weiteren Arten der gespeicherten Daten/ Kategorien, die es in Ihrem Unternehmen geben könnte.Bankverbindung Umsatzsteuer-ID Daten zu gekauften Waren oder Dienstleistungen Umsatzdaten Frühere Angebote/ RechnungenBesondere Kategorien personenbezogener Daten (Art. 9): Art der gespeicherten Daten bzw. Kategorien der zu verarbeitenden Daten (Art. 30 Abs. 1 S. 2 lit. c)Besondere Kategorien personenbezogener Daten (Art. 9): Dazu gehören die Verarbeitung personenbezogner Daten aus denen sich die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden könnenBeschreibung Datenweitergabe (Empfängerkategorien) (Art. 30 Abs. 1 S. 2 lit. d)*Eine Datenweitergabe findet nicht statt und ist auch nicht geplantEine Datenweitergabe findet wie nachfolgend beschrieben statt:Interne Empfänger (innerhalb der verantwortlichen Stelle)NUR INTERN: Empfänger der Daten/ EmpfängerkategorienIntern: Geschäftsführung Beschäftigte der Abteilung Marketing, VertriebExterne Empfänger und DritteNUR EXTERN: Empfänger der Daten/ Empfängerkategorien Datenweitergabe an Drittländer oder an internationale Organisationen (Art. 30 Abs. 1 S. 2 lit. e)*Datenübermittlung findet nicht statt und ist auch nicht geplantDatenübermittlung in Drittstaaten findet wie nachfolgend beschrieben statt:Nennung der konkreten Datenempfänger (Name, Firma/ Organisation, Land)*Nennung der konkreten Datenkategorien*Angemessenes Datenschutzniveau/ Dokumentation geeigneter Garantien* Regelfristen für die Löschung der DatenExistieren gesetzliche Aufbewahrungs- bzw. LöschfristenJa, siehe nachfolgend:Nein, sie werden nachfolgend festgelegt:Fristen zur Löschung der versch. Datenkategorien/ Speicherdauer (Art. 30 Abs. 1 S. 2 lit. f)Wie lange werden die gespeicherten Daten aufbewahrt bzw. wann werden sie gelöscht?Bei personenbezogenen Daten des Verkaufs / Vertriebs ist davon auszugehen, dass diese buchhaltungsrelevant sind. Eine Speicherung erfolgt daher grundsätzlich für 10 Jahre, wobei der Fristbeginn sich nach § 147 Abs. 4 AO richtet. Nach Ablauf dieser Zeit wird geprüft, ob eine Löschung erfolgen kann. Sofern die Datenverarbeitung vom Betroffenen widerrufen wurde, wird geprüft, welche Daten gelöscht werden und welche basierend auf gesetzlichen Aufbewahrungsfristen gesperrt werden müssen.Technische und Organisatorische Maßnahmen (TOM)Gibt es allgemeine/ übergreifende Dokumente oder Konzepte, die die technischen und organisatorischen Maßnahmen beschreiben?Ja, siehe Datenschutzkonzept. Weiterhin gelten die technischen und organisatorischen Maßnahmen des Dienstleisters (sofern eingesetzt).Nein, bei der Verarbeitungstätigkeit werden folgende Maßnahmen umgesetzt: Beurteilung zur Notwendigkeit einer Datenschutz-FolgeabschätzungRisikoanalyse des Verfahrens nach WP 248 Rev. 01Bewerten oder Einstufen (z.B. Scoring, Profiling, Evaluation)JaNeinAutomatische Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer WirkungJaNeinSystematische ÜberwachungJaNeinVertrauliche Daten oder höchst persönliche Daten (besondere Kategorien peronenbezogener Daten im Sinne von Artikel 9 DSVGO)JaNeinDatenverarbeitung im großen UmfangJaNeinAbgleichen oder Zusammenführen von Datensätzen (Insbesondere, wenn die Individuen dies nicht erwarten)JaNeinDaten zu schutzbedürftigen Betroffenen (z.B. Kinder, Arbeitnehmer)JaNeinInnovative Nutzung oder Anwendung neuer technologischer Lösungen (z. B. Biometrische Identifikation)JaNeinDie betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindertJaNeinDie Verarbeitung ist auf der „Muss-Liste“ nach Art. 35 Abs. 4 DSGVO der Aufsichtsbehörde vermerktJaNeinBegründung: Risikobewertung für die Rechte und Freiheiten natürlicher Personen nach Art. 35:SchutzbedarfGeringfügigÜberschaubarSubstantiellGroßEintrittswahrscheinlichkeitGeringfügigÜberschaubarSubstantiellGroßGeringfügigEs handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene nur geringfügige Auswirkungen (wirtschaftlich/ gesellschaftspolitisch) erfährt. (Daten sind bereits öffentlich)ÜberschaubarEs handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Schadensauswirkungen sind begrenzt und überschaubar und etwaig eingetretene Schäden für Betroffene relativ leicht durch eigene Aktivitäten zu heilen. SubstanziellEs handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Die Schadensauswirkungen und ggf. Beeinträchtigung der persönlichen Unversehrtheit werden für Betroffene als beträchtlich eingeschätzt.GroßEs handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. Die Schadensauswirkungen nehmen ein unmittelbar existenziell bedrohliches, katastrophales Ausmaß wirtschaftlich/ gesellschaftspolitisch für Betroffene an.GeringfügigEs handelt sich um personenbezogene Daten, die für Dritte uninteressant sind. Die Wahrscheinlichkeit, dass diese entwendet werden und Folgeschäden auftreten, ist sehr gering, da die personenbezogenen Daten mittels technisch organisatorischer Maßnahmen sehr gut geschützt sind.ÜberschaubarEs handelt sich um personenbezogene Daten, die für Dritte von Interesse sein können. Die Wahrscheinlichkeit, dass diese entwendet werden und Folgeschäden auftreten, ist niedrig einzustufen bzw. die Sicherheitsmaßnahmen sind mittels technisch organisatorischer Maßnahmen angemessen.SubstantiellWahrscheinlichkeit, dass diese entwendet werden, ist groß, da sich der Aufwand für einen Angreifer lohnen könnte. Die technisch organisatorischen Maßnahmen sind dem Risiko entsprechend getroffen.GroßEs handelt sich um personenbezogene Daten die für Dritte von hohem Interesse sind. Die Wahrscheinlichkeit, dass diese entwendet werden und Folgeschäden auftreten, ist sehr groß, da der Aufwand für einen Angreifer von Nutzen ist. Die technisch organisatorischen Maßnahmen sind dem Risiko entsprechend getroffen.Ergänzende RisikoangabenJaNeinRisikobewertungkein oder geringes Risiko der VerarbeitungRisiko der Verarbeitunghohes Risiko der VerarbeitungRisikowertBemerkungenJaNeinBemerkungenEine Datenschutz-Folgenabschätzung DSFA kann für diese Verarbeitungstätigkeit unterbleiben*Eine DSFA kann für diese Verarbitungstätigkeit unterbleiben. Hinweis: Eine DSFA ist notwendig, wenn diese auf der „Muss-Liste“ der Datenschutzbehörden steht. Weiterhin wenn 2 oder mehr der zuvor aufgeführten Fragen mit „Ja“ beantwortet wenn, also insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.) Ja Nein Prüfung durch die GeschäftsleitungFreigabe durch die GeschäftsleitungProzess ist angepasst und wird wie zuvor beschrieben im Unternehmen eingesetzt. erfolgt nicht erfolgt