DSGVO: Verzeichnis von Verarbeitungstätigkeiten
Verarbeitungstätigkeiten
An Ihrer Schule haben Sie in vielen Fällen mit personenbezogenen Daten zu tun. Sei es, dass Sie einen Schüler verwalten, ein Honorar berechnen oder eine Mahnung drucken. Grundsätzlich ist die Verarbeitung personenbezogener Daten jedoch verboten, sofern kein Erlaubnistatbestand vorliegt.
Wird z. B. in einer Software die Konfession einer Person gespeichert und dort katholisch
oder evangelisch eingetragen, stellt sich die Frage, zu welchem Zweck dies erforderlich ist. Gibt es keinen Zweck, wäre die Speicherung nicht begründet und nicht zulässig. Handelt es sich jedoch z. B. um eine Gehaltsabrechnungssoftware und wird die Konfession zur Berechnung der Kirchensteuer benötigt, wäre der Zweck begründet.
Die DSGVO sieht verschiedene Erlaubnistatbestände vor. So gibt es z. B. die Erlaubnis über eine Einwilligung
der betroffenen Person. Haben Sie z. B. eine Anmeldung zum Newsletter und erfolgt hier die Einwilligung über Double Opt-In, liegt hier die Begründung vor, warum eine E-Mail-Adresse gespeichert werden darf.
Dies bedeutet aber nicht, dass die E-Mail Adresse neben dem Newsletter nun für viele weitere Aktionen verwendet werden darf. Bei allen Daten, welche gespeichert werden, ist festzulegen, wie lange die Daten gespeichert werden. Beispielsweise buchhalterische Daten sind grundsätzlich zehn Jahre aufzubewahren.
Wurde eine Person aber gespeichert, weil diese nur für eine Woche auf der Klavier-Warteliste stand und hat diese Person anschließend mitgeteilt, dass Sie nun doch kein Interesse mehr hat, ist diese Information nicht zwangsläufig ebenfalls zehn Jahre aufzubewahren. Haben Sie z. B. Fotos von Ihren Lehrkräften auf Ihrer Homepage, stellt sich die Frage, ob hierfür eine Einwilligung vorliegt oder welcher sonstige Erlaubnistatbestand Sie berechtigt, diese Fotos veröffentlichen zu dürfen.
Nach Art. 30 Abs. 1 Lit. DSGVO sind personenbezogene Verarbeitungstätigkeiten grundsätzlich in einem Verzeichnis zu dokumentieren. Aus diesem geht für jede Verarbeitungstätigkeit hervor:
- Was ist der Zweck der Datenverarbeitung?
- Auf welcher Rechtsgrundlage (Erlaubnistatbestand) basiert die Datenverarbeitung?
- Welche Daten speichern Sie?
- Wie lange werden die Daten gespeichert?
- Wer hat Zugriff auf diese Daten?
- Werden Daten an Drittländer übermittelt?
Das Verzeichnis von Verarbeitungstätigkeiten können Sie schnell und einfach direkt aus iMikel erstellen. Folgend erfahren Sie, wie die Verwaltung von Verzeichnissen von Verarbeitungstätigkeiten in iMikel funktioniert.
Verzeichnis von Verarbeitungstätigkeiten
öffnen
Klicken Sie im Startfenster in der FileMaker-Menüleiste unter „EU-DSGVO“ auf den Befehl „Verzeichnis von Verarbeitungstätigkeiten“, um das Modul zu öffnen.
Zur Veranschaulichung werden hier bereits automatisch einige Verarbeitungstätigkeiten mit Standardwerten generiert.
Diese Verarbeitungstätigkeiten sind als Beispiel in rot gekennzeichnet und tragen den Zusatz „Demo“ in ihrer Bezeichnung. Klicken Sie auf den orangefarbenen Pfeil, um eine dieser Verarbeitungstätigkeiten anzeigen zu lassen. Über das Drucker- Symbol können Sie eine Verarbeitungstätigkeit ausdrucken.
Eigene Verarbeitungstätigkeiten erstellen
Klicken Sie auf das Plus in der Kopfleiste einer Verarbeitungstätigkeit, um eine weitere Verarbeitungstätigkeit hinzuzufügen. Jedes Mal, wenn Sie eine neue Verarbeitungstätigkeit erstellen, wird zunächst automatisch ein rechtlicher Hinweis angezeigt, welchen Sie bitte sorgfältig lesen. Erst wenn Sie diesen Hinweis bestätigt haben, ist das Drucken ohne die Beispiel
-Kennzeichnung möglich.
Geben Sie der Verarbeitungstätigkeit eine interne Bezeichnung und beschreiben Sie die Tätigkeit, den Zweck, die Betroffenen, die personenbezogenen Daten, Ihre festgelegten Löschfristen etc. Klicken Sie in der Kopfleiste auf die Taste „Speichern“, um Ihre Eingaben zu übernehmen. Jedes Mal, wenn Sie etwas an einer Verarbeitungstätigkeit ändern oder ergänzen, wird im Kopfteil die Speichern- Taste in rot angezeigt.
Dies ist ein Hinweis, dass Ihre neuen Eingaben noch zu speichern sind. Sollten Sie sich bei einer Eingabe vertan haben, klicken Sie hierzu einfach in der Kopfleiste auf die Taste „Zurücksetzen“.
Hinweis bezüglich „Gendern“: Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.