Verzeichnis der Verarbeitungst?tigkeiten
Im Verzeichnis der Verarbeitungst?tigkeiten dokumentiert die Universit?t datenschutzkonform alle Verarbeitungen personenbezogener Daten.
Finger tippen auf einer Laptop-Tastatur. ?ber der Tastatur sind Hologramme von Ordnern und Dokumenten zu sehen.
Das Verzeichnis der Verarbeitungst?tigkeiten (kurz VVT) ist ein zentrales Element der Datenschutz-Compliance. Gem?? der Datenschutz-Grundverordnung (DS-GVO, Art. 30 Abs. 1Externer Link) der Europ?ischen Union sind alle Organisationen, die personenbezogene Daten verarbeiten, verpflichtet, ein solches Verzeichnis zu führen.
Auf dieser Seite erhalten Sie relevante Informationen zum Verzeichnis der Universit?t und wie Eintr?ge erstellt und eingereicht werden k?nnen.
-
Was ist das Verzeichnis der Verarbeitungst?tigkeiten?
Das VVT ist eine strukturierte Auflistung aller Prozesse innerhalb der Universit?t, bei denen personenbezogene Daten verarbeitet werden. Es dokumentiert wesentliche Details, darunter die Art der verarbeiteten Daten, die Zwecke der Verarbeitung, die Empf?nger der Daten sowie die eingesetzten organisatorischen und technischen Sicherheitsma?nahmen.
-
Welchen Nutzen hat das Verzeichnis der Verarbeitungst?tigkeiten?
- Rechtliche Konformit?t: Es hilft uns die DS-GVO-Vorschriften einzuhalten und bietet im Fall von ?berprüfungen durch eine Aufsichtsbeh?rde Nachweise über die Datenverarbeitung.
- Transparenz und Kontrolle: Durch die systematische Erfassung aller Verarbeitungst?tigkeiten gewinnen wir einen besseren ?berblick und mehr Kontrolle über unsere Datenverarbeitung.
- Risikomanagement: Eine gute Dokumentation unterstützt bei der Identifizierung und Bewertung von Risiken im Zusammenhang mit Datenverarbeitungsprozessen.
-
Wann ist ein Eintrag notwendig?
Ein Eintrag in das VVT ist für jede Verarbeitungst?tigkeit erforderlich, bei der personenbezogene Daten verarbeitet werden. Aufzunehmen sind alle ganz oder teilweise automatisierten Verarbeitungst?tigkeiten – also alle T?tigkeiten, die ganz oder teilweise mit Hilfe von IT-Systemen personenbezogene Daten verarbeiten.
Die Dokumentation der Verarbeitungst?tigkeiten in den zentralen, administrativen Bereichen der Universit?t wird intern durch die entsprechenden Abteilungen organisiert. Dies umfasst zum Beispiel alle T?tigkeiten rund um das Studierendenmanagement und die Mitarbeitendenverwaltung.
Verarbeitungst?tigkeiten mit personenbezogene Daten im?wissenschaftlichen Bereich (z.B. Datenerhebung bei Proband:innen einer Studie) müssen durch die/den verantwortlichen Forschenden erfasst werden (s. Abschnitt ?Wie ist ein Eintrag vorzunehmen?“).
Gem?? Art. 30 Abs. 2Externer Link DSGVO müssen auch alle Verarbeitungen im Zusammenhang mit Auftragsverarbeitern erfasst werden. Wenn also ein externer Dienstleister mit der Verarbeitung personenbezogener Daten betraut wird, ist hierfür ein entsprechender Eintrag anzulegen (s. Abschnitt ?Wie ist ein Eintrag vorzunehmen?“).
-
Wie ist ein Eintrag vorzunehmen?
Die Universit?t Jena führt das VVT in einer Datenschutzmanagement-Software. Eintr?ge müssen von der verantwortlichen Person erstellt werden und k?nnen anschlie?end über die Datenschutzbeauftragte aufgenommen werden. Wichtig ist, dass im VVT die Verarbeitung dokumentiert wird und nicht eine Software beziehungsweise ein IT-Dienst. Es geht also darum welche (personenbezogenen) Daten erhoben, gespeichert, verarbeitet (im engeren Sinne), übermittelt und gel?scht werden.
Information
Im VVT sollen alle Verarbeitungst?tigkeiten ausreichend konkret dargestellt sein, jedoch muss nicht zu sehr ins Detail gegangen werden. Um Redundanzen zu vermeiden und den Aufwand für die Erstellung und Führung des Verzeichnisses zu reduzieren, k?nnen auch Verweise auf bestehende Dokumente aufgenommen werden, insbesondere solche, die im Rahmen des Informationssicherheitsmanagements angelegt wurden.
Vorbereitung
In einem ersten Schritt identifizieren Sie alle Verarbeitungst?tigkeiten personenbezogener Daten innerhalb Ihres Verantwortungsbereichs.
Der Begriff der ?Verarbeitungst?tigkeit“ umfasst alle Verarbeitungsschritte und Vorg?nge, die?einem gemeinsamen Zweck dienen. Es muss daher nicht zu jedem einzelnen Verarbeitungsschritt bzw. Vorgang ein eigener Eintrag erfolgen. Ein zusammenfassender Verzeichniseintrag für die durch den Zweck definierten Schritte ist ausreichend. Insbesondere brauchen Verarbeitungsschritte, die keinem eigenen neuen Zweck dienen, sondern lediglich die Verarbeitungst?tigkeit unterstützen, nicht als neuer Eintrag aufgenommen werden. Beispiel: Das Erheben, Nutzen und L?schen von Datens?tzen bei einer Umfrage sind drei Verarbeitungsschritte, die als ?Vorgangsreihe“(Art. 4 Nr. 2 DS-GVO) sinnvollerweise nicht auseinandergerissen werden sollten und in einem Eintrag dokumentiert werden k?nnen.
Beispiele für Verarbeitungst?tigkeiten:
- Bewerbungen/Auswahlverfahren
- Zeiterfassung von Mitarbeitenden
- Versenden eines Newsletters
- E-Learningangebote (mit Erfassung personenbezogener Daten der Nutzenden)
- Forschungsvorhaben z. B. Erhebung von Proband:innendaten
- Umfragen
- etc.
Neben einem Tablett ist ein Startbereich und drei Schritte bis zum Ziel gezeichnet.
Foto: Adobe stockAblauf
- Erstellen eines Eintrages: Die Mindestinhalte ergeben sich aus Art. 30 DS-GVO. Nutzen Sie unsere Excel-Vorlage, um die Details strukturiert zu erfassen. Die Excelliste enth?lt zur Veranschaulichung einfache Beispiele. 欧洲杯投注地址_明升体育-竞彩足球比分推荐n der Universit?t steht das Muster im Abschnitt "Interne Dokumente zum VVT" zur Verfügung (Login erforderlich).
- Senden Sie die Dokumentation an die Datenschutzbeauftragte: Die fertiggestellte Liste schicken Sie an die Datenschutzbeauftragte unter?datenschutz@uni-jena.de. Diese prüft die Eintr?ge und fügt sie dem Verzeichnis der Universit?t hinzu.
- Datenpflege: ?berprüfen Sie ihre Eintr?ge einmal j?hrlich auf Aktualit?t und passen die Eintr?ge wo notwendig an, um diese auf dem neuesten Stand zu halten.