Verzeichnis von Verarbeitungst?tigkeiten

Im Sinne der Verordnung sind personenbezogene Daten alle Informationen, von denen direkt auf eine einzelne Person geschlossen (d.h. sie identifiziert) oder mithilfe derer ein Bezug zu einer Person hergestellt werden kann (d.h. sie identifizierbar macht). Es gilt ein Bezug auch dann als herstellbar, wenn es m?glich ist, auch über Umwege auf die Person schlie?en zu k?nnen, insbesondere mittels Zuordnung zu einer pers?nlichen Kennnummer (bei Studierenden beispielsweise die Matrikelnummer), zu einer 明升体育_足球竞彩网-官网-Kennung oder zu einem oder mehreren besonderen Merkmalen.

Beispiele:

Dabei kann unter Umst?nden schon die Kombination aus Vorname und Nachname genügen, um eine Person eindeutig zu identifizieren. Nachname und Arbeitgeber zusammen k?nnen ebenfalls eindeutig sein.

Grunds?tzlich ist davon auszugehen, dass sich über die IP-Adresse des ein Personenbezug herstellen l?sst. Zur Thematik siehe ZENDAS: ?Personenbezogene Daten: IP-Adresse“.

Eine E-Mailadresse ist dann ein personenbezogenes Datum, wenn sie selbst den Namen der Person enth?lt ("max.mustermann@uni-konstanz.de"). Der Personenbezug kann verhindert werden, indem funktionale E-Mailadressen vergeben werden ("haustechnik@uni-konstanz.de").

Der Ausdruck ?Verarbeitung“ bezeichnet jeden ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Ver?nderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch ?bermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschr?nkung, das L?schen oder die Vernichtung (s. Art. 4 lit. 2 DS-GVO).

Eine Verarbeitungst?tigkeit kann – wie früher das Verfahren nach LDSG – als Gesch?ftsprozess verstanden werden. Ihre Abl?ufe und Komponenten bilden eine arbeitsorganisatorisch abgeschlossene Einheit zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen (abgeleitet aus Art. 18 Abs. 1 der EU-Richtlinie 95/46/EG).

Da es nach diesem Verst?ndnis entscheidend auf die Zweckbestimmung ankommt, ist der Begriff der ?Verarbeitungst?tigkeit‘ von einer Flexibilit?t und Offenheit gepr?gt, je nachdem, wie eng oder weit ein spezifischer Zweck definiert wird. Dem Verantwortlichem kommt daher bei ihrer Deutung ein nicht unerheblicher Gestaltungsspielraum zu (vgl. [DSB14]).

Das Verzeichnis von Verarbeitungst?tigkeiten spielt - wie das bisherige Verfahrensverzeichnis nach LDSG - eine wesentliche Rolle, um datenschutzrechtliche Vorgaben überhaupt einhalten zu k?nnen.

Ein Eintrag im Verzeichnis der Verarbeitungst?tigkeiten dokumentiert hierbei sowohl die rechtskonforme Verarbeitung der personenbezogenen Daten als auch die ergriffenen technischen und organisatorischen Schutzma?nahmen. Nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Ma?nahmen ergreifen, um eine rechtm??ige Verarbeitung personenbezogener Daten sicherstellen zu k?nnen (Eigenkontrolle, vgl. [LfD17]).

Erstellt und vorgehalten werden muss das Verzeichnis, da sie dem Datenschutzbeauftragten des Landes Baden-Württemberg jederzeit auf Anfrage zur Verfügung zu stellen sind (s. Art. 30 Abs. 4 DS-GVO und ErwGr. 82). Es hilft dem Verantwortlichen dabei, gem?? Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Für eine Prüfung muss das Verzeichnis aus sich heraus also für einen Dritten verst?ndlich sein, der die Verarbeitung nachvollziehen m?chte. N?tigenfalls muss dafür das Verzeichnis um Anlagen (weitere Beschreibungen, Skizzen, Bilder) erg?nzt werden.

Zudem dient es der strukturierten Datenschutzdokumentation und ist damit wesentliche Grundlage für die Erfüllung der Aufgaben des Datenschutzbeauftragten.

Anders als im bisherigen LDSG ist eine M?glichkeit für jedermann, in das Verzeichnis von Verarbeitungst?tigkeiten Einsicht zu nehmen, nach der DS-GVO nicht vorgesehen. Dies wird kompensiert durch erweiterte Informationspflichten gem?? Artt. 13,14 DS-GVO.

Adressat der in der DS-GVO normierten Verpflichtungen ist im Allgemeinen die Universit?tsleitung.

Sowohl Erstellung als auch Aktualisierung der Dokumentation einzelner Verarbeitungst?tigkeiten wird üblicher- und zweckm??igerweise an die jeweiligen organisatorischen Untereinheiten / Fachabteilungen delegiert, die mit der jeweiligen Datenverarbeitung befasst und für den Betrieb zust?ndig sind - also diejenige Stellen, "die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" (Art. 4 Satz 1 Nr. 7).

In der DS-GVO gibt es keinen expliziten Bezug zwischen dem Datenschutzbeauftragten und dem Verarbeitungsverzeichnis. Die Führung der Verarbeitungsübersicht geh?rt weder zu seinen vorgeschriebenen Aufgaben noch ist er dazu verpflichtet hierzu Vorgaben zu machen. Gleichzeitig muss der Verantwortliche sicherstellen, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenh?ngenden Fragen eingebunden wird (s. Art. 38 DS-GVO Abs. 1).

Die Zentrale Datenschutzstelle der baden-württembergischen Universit?ten (ZENDAS) ber?t die Universit?t Konstanz in allen Belangen des Datenschutzes. Unter Umst?nden kann es ratsam sein, Entwürfe einer Verarbeitungsübersicht an die ZENDAS zur Begutachtung weiterzuleiten. Diese Prüfung kann jedoch einige Zeit in Anspruch nehmen.