· 

Fragenkatalog verwenden und Verarbeitungstätigkeit anpassen

Das folgende Beispiel (private Vermietung von Wohnraum als Altersvorsorge) zeigt Ihnen in kurzer Form die Erstellung einer Verarbeitungstätigkeit in der Datenschutzverwaltung.

 

Das Beispiel wurde gewählt, weil es vom Umfang her relativ überschaubar ist, aber dennoch die meisten Aspekte abdeckt.

 

Um den Rahmen nicht zu sprengen, wird hier nicht auf das Hauptblatt eingegangen, eine Art Deckblatt mit den wichtigsten Angaben. Die Angaben im Hauptblatt gelten für alle oder die meisten Verarbeitungstätigkeiten, in einzelnen Verarbeitungen kann dann auf das Hauptblatt verwiesen werden. Wenn eine konkrete Verarbeitung abweichende oder ergänzende Angaben erforderlich macht, dann müssen diese in der entsprechenden Verarbeitung angegeben werden.

 

Weiter unten in diesem Beispiel gehen wir darauf ein, warum es sinnvoll ist, sowohl verwendete Soft- und Hardware als auch erstellte Dokumente und Dateien anzugeben, auch wenn das oft als optionale Angabe betrachtet wird.

 

Ganz am Ende des Artikels finden Sie eine PDF-Datei für die Verarbeitung aus dem Beispiel, die automatisch in der Datenschutzverwaltung erstellt wurde. Dieses Dokument enthält nochmals einige Anmerkungen und Zusammenfassungen.

 

 

 

 1. Aufruf des Fragenkatalogs

 

Das Verarbeitungsverzeichnis wird im gleichnamigen Reiter verwaltet. 

Sie können hier Verarbeitungen vollständig manuell anlegen oder den Fragenkatalog verwenden, um auf die Vorlagen zugreifen zu können.

Dazu drücken wir die Schaltfläche "Fragenkatalog aufrufen":

 

Es öffnet sich der Fragenkatalog, in dem mehr als 50 verschiedene Fragen bzw. Vorlagen zur Auswahl stehen. Im Bild unten sehen Sie einen Ausschnitt des Fensters und nur eine Vorlage.

Um die hinter der Frage stehende Vorlage zu verwenden, setzen wir in der ersten Spalte ein Häkchen und drücken dann auf "Speichern" oben rechts:

 

Im Verarbeitungsverzeichnis wird automatisch eine Verarbeitung angelegt. Es könnten natürlich auch mehrere Vorlagen auf einmal ausgewählt werden. 

 

2. Anpassung der Vorlage an die konkreten Umstände

 

Die so erstellten Verarbeitungen müssen nun an Ihre konkreten Anforderungen angepasst werden. Dazu öffnen wir die Verarbeitung mit einem Doppelklick oder der entsprechenden Schaltfläche:

 

Die mitgelieferten Vorlagen enthalten meistens mehrere passende Vorschläge, im Beispiel soll es nur um die Vermietung einer Wohnung gehen, also passen wir die Bezeichnung der Verarbeitung entsprechend an und löschen alle unpassenden Einträge wie bspw. Verpachtung.

 

Danach können wir im nächsten Reiter eine Ansprechperson angeben:

 

In unserem Beispiel wäre der Vermieter wohl auch der Ansprechpartner, also geben wir diesen hier an. Sie können von dieser Ansicht heraus direkt neue Personen (in der Regel Mitarbeiter) anlegen oder aus den bereits angelegten Personen auswählen.

 

Im Beispiel überspringen wir die gemeinsame Verantwortlichkeit und wechseln in die Angabe der Zwecke der Verarbeitung:

 

Hier werden alle Zwecke aufgeführt, warum die Verarbeitung stattfindet. 

 

Im nächsten Reiter folgt die Angabe der Rechtsgrundlage(n):

Da es inzwischen üblich ist die finanzielle Situation der potentiellen Mieter zu prüfen, kann es also sein, dass eine Einwilligung vorhanden sein muss, wenn bspw. eine Schufa-Auskunft eingeholt werden soll.

Die Grundlage des eigentlichen Mietvertrags ist die Vertragserfüllung.

 

Weiter geht es mit den betroffenen Personen:

Auf jeden Fall betroffen sind die Mieter, da deren Daten verarbeitet werden.

Es wären aber auch weitere Betroffene denkbar, zum Beispiel wenn es eine Hausverwaltung gibt. Deren Mitarbeiter wären ebenfalls betroffene Personen, da der Vermieter wohl mit diesen in Kontakt steht.

Oder der Vermieter beauftragt regelmäßig Handwerker für die Instandhaltung, dann wären die Mitarbeiter des Handwerksbetriebs hier ebenfalls aufzuführen.

Auch Mitarbeiter von Versorgungswerken könnten betroffene Personen sein, da der Vermieter ja nicht mit dem Versorgungswerk selbst telefoniert..

 

Grundsätzlich kann davon ausgegangen werden, dass der Vermieter in irgendeiner Form Kontaktdaten (beispielweise ein Ansprechpartner der Hausverwaltung) und Dokumente (zum Beispiel Rechnungen der Handwerker) erhält. Ist das der Fall, muss das hier berücksichtigt werden.

 

Was Sie hier aber nicht angeben müssen sind konkrete Namen. D.h. Sie fassen die einzelnen Personen in Gruppen zusammen. Der Vermieter muss also nur die "Mieter" als Betroffene angeben, aber nicht jeden einzelnen, konkreten Mieter.

 

Als nächstes folgen die Datenkategorien:

 

Auch hierbei kommt es auf den konkreten Fall an. Will der Vermieter keine Auskunft über die finanzielle Situation, dann werden wahrscheinlich nur Angaben wie Namen oder Telefonnummer relevant sein. Da die Miete wohl eher nicht bar bezahlt wird, werden auch Daten bezüglich der Bankverbindung verarbeitet.

 

Je nach der konkreten Situation müssen hier alle relevanten Datenkategorien angegeben werden. Es steht eine umfangreiche Auswahl möglicher Datenkategorien zur Verfügung, die nach Belieben angepasst werden kann.

 

Da ein privater Vermieter über keine Abteilungen im eigentlichen Sinn verfügt, wird er auch keine Daten mit anderen Abteilungen austauschen. Daher betrachten wir direkt den Punkt des Datenaustauschs mit externen Parteien:

 

Auch hier gilt, dass es auf den konkreten Fall ankommt, was hier angegeben werden muss. 

Da der Vermieter Mietzahlungen wohl unbar erhält, tauscht er Daten mit seiner Bank oder Sparkasse aus. 

 

Hat er einen Steuerberater, muss dieser auch angegeben werden, wenn der Vermieter dem Steuerberater einfach alle notwendigen Unterlagen übergibt und der Steuerberater daraus die notwendigen Daten erst selbst ermitteln muss. 

Übergibt der Vermieter dem Steuerberater dagegen nur aggregierte  Daten, dann muss er nicht aufgeführt werden, da er keine personenbezogenen Daten erhält.

D.h. teilt der Vermieter dem Steuerberater bspw. monatlich nur mit, dass er 1.000,00 EUR Miete erhalten hat, dann muss der Steuerberater nicht angegeben werden. Teilt er dem Steuerberater aber auch mit, von welchem konkreten Mieter er die Zahlung erhalten hat, dann muss der Steuerberater angegeben werden.

 

Ein weiterer wichtiger Punkt ist die Datenlöschung:

 

Grundsätzlich gilt, dass personenbezogene Daten nur solange wie nötig aufbewahrt werden dürfen. Anschließend müssen die Daten gelöscht bzw. vernichtet werden. Die Speicherdauer und die anschließende Löschung werden hier angegeben.

 

Wie eingangs erwähnt, wird hier nicht auf das Hauptblatt eingegangen. Das Löschkonzept sollte dort angegeben werden, wenn es für alle oder die meisten Verarbeitungstätigkeiten gilt. Dann kann an dieser Stelle einfach darauf verwiesen werden. Für das Beispiel wird es aber hier aufgeführt.

 

Als Nächstes können Sie die eingesetzte Soft- und Hardware und die erstellten Dokumente und Dateien angeben:

 

Die Angabe dieser Informationen wird meistens als optional betrachtet, was aber bei näherer Betrachtung wenig Sinn macht:

 

Schwerpunkt der DSGVO ist die Datensicherheit zum Schutz der personenbezogenen Daten. Um die Daten zu schützen und die Datensicherheit zu gewährleisten müssen entsprechende Maßnahmen ergriffen werden, die technischen und organisatorischen Maßnahmen (TOM).

Wenn Sie aber nicht genau wissen, welche Soft- und Hardware Sie einsetzen oder welche Dokumente und Dateien Sie erstellen, wie können Sie dann wissen, welche Maßnahmen überhaupt erforderlich sind oder ob die Verwendung überhaupt noch zulässig ist.

 

Beispiele:

  • Wenn der Vermieter aus dem Beispiel einen alten Computer mit Windows XP einsetzt, dann genügt dieser PC den Anforderungen nicht, da dieses Betriebssystem nicht mehr von Microsoft unterstützt wird, also keine sicherheitsrelevanten Updates mehr erhält.
  • Kommt eine alte Software zur Verwaltung zum Einsatz, in der es nicht möglich ist Daten auch wieder zu löschen, genügt diese Software nicht den Anforderungen (solche Software gibt es wirklich). 
  • Wussten Sie, dass nicht nur die eigentlichen Computer anzugeben sind, sondern auch alle anderen technischen Geräte wie Multifunktionsgeräte (Drucker, Kopierer, Scanner, evtl. auch Fax)? Diese Geräte werden zur Verarbeitung eingesetzt und haben in der Regel einen internen Speicher.
  • Anzugeben ist auch der Router, mit dem Sie ins Internet gelangen. Hat dieser die aktuellste Firmware, gibt es überhaupt noch Updates, wie ist der Zugang gesichert, welche Verschlüsselung kommt zum Einsatz?

 

Die Erfassung dieser Daten ist also wichtig, nicht nur wegen der DSGVO. Möglicherweise stellen Sie fest, dass Sie Lizenzgebühren für Software bezahlen, die Sie sowieso nicht mehr einsetzen oder auch einfach nur weniger Lizenzen benötigt werden. Oder dass manche alten Computer besser ersetzt werden sollten, da diese vielleicht in naher Zukunft den Dienst quittieren und der entsprechende Arbeitsplatz für einige Tage ausfällt bis ein Ersatz angeschafft und eingerichtet ist.

 

 

Sie können Software, Hardware, Dokumente und Dateien in der Datenschutzverwaltung erfassen und verwalten.

 

Da sich diese Punkte ähneln sehen Sie oben die relevanten Masken, Sie können die Bilder vergrößern, indem Sie sie anklicken.

 

Sie müssen diese Daten nur einmal erfassen, sie stehen dann auch in allen anderen Verarbeitungen zur Verfügung.

 

 

Nachdem alle Software, Hardware, Dokumente und Dateien erfasst wurden, gestalten sich die technischen und organisatorischen Maßnahmen einfacher:

 

Die Datenschutzverwaltung bietet eine Auswahl von mehr als 160 technischen und organisatorischen Maßnahmen, die Sie übernehmen und anpassen können. Auch eigene TOM können angelegt werden.

 

Wie erwähnt können Sie die TOM, die für alle oder die meisten Verarbeitungen gelten, auch im Hauptblatt angeben und dann an dieser Stelle darauf verweisen. Für das Beispiel werden die TOM aber hier aufgeführt.

 

Sie setzen sehr wahrscheinlich bereits TOM ein, haben diese aber nicht so genannt. Wenn Sie einen Virenscanner oder eine Firewall einsetzen, Rechnungen in einem gesicherten Aktenschrank aufbewahren oder regelmäßig nicht mehr benötigte Daten entsorgen, dann handelt es sich dabei um TOM.

 

Der letzte Punkt in den Fenstern ist die Datenschutz-Folgenabschätzung (DSFA), die aber den Rahmen dieses Artikels bei Weitem übersteigen würde. Daher wird an dieser Stelle nicht darauf eingegangen.

 

Sie können Sie sich die Verarbeitung aus dem Beispiel hier als PDF-Datei herunterladen. Das Dokument wurde um einige Anmerkungen ergänzt, die sind natürlich normalerweise kein Bestandteil.

 

Bitte zögern Sie nicht sich bei Fragen oder Anmerkungen zu melden.

 

Download
Die erstellte PDF-Datei zum Beispiel mit Anmerkungen
Verarbeitungstätigkeit DSV.pdf
Adobe Acrobat Dokument 189.9 KB