Verarbeitungsaktivitäten#

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist die zentrale Anforderung des Datenschutzrechts. In diesem Kapitel lernst du, wie du Verarbeitungsaktivitäten erstellst und verwaltest.

Was sind Verarbeitungsaktivitäten?#

Eine Verarbeitungsaktivität dokumentiert einen konkreten Vorgang der Datenverarbeitung in deinem Unternehmen. Beispiele:

  • Lohnbuchhaltung
  • Kundendatenverwaltung im CRM
  • Newsletter-Versand
  • Bewerbermanagement
  • Zeiterfassung

Jede Aktivität beschreibt:

  • Was verarbeitet wird (Datenkategorien, Datenfelder)
  • Warum es verarbeitet wird (Zweck, Rechtsgrundlage)
  • Wie es verarbeitet wird (Anwendungen, TOMs)
  • Wer betroffen ist (betroffene Personen)
  • Wohin die Daten gehen (Empfänger, Untervertragspartner)

Verarbeitungsaktivitäten-Liste#

Zugriff#

  1. Navigiere zum Datenschutzsystem
  2. Klicke auf “Verarbeitungsaktivitäten”

Übersicht#

Die Liste zeigt alle erfassten Aktivitäten mit:

SpalteBeschreibung
NameBezeichnung der Verarbeitung
BeschreibungKurzbeschreibung

Eine neue Verarbeitungsaktivität erstellen#

Schritt 1: Formular öffnen#

  1. Navigiere zu Verarbeitungsaktivitäten
  2. Klicke auf "+ Verarbeitungsaktivität"

Schritt 2: Grunddaten erfassen#

Pflichtfelder:

  • Name: Eindeutige Bezeichnung der Verarbeitung

    • Beispiel: “Lohnbuchhaltung”, “Newsletter-Versand”, “Kundenverwaltung CRM”

  • Beschreibung: Detaillierte Beschreibung der Verarbeitung

    • Was genau wird gemacht?
    • In welchem Kontext findet die Verarbeitung statt?

Optionale Felder:

  • Zweck der Verarbeitung: Warum werden die Daten verarbeitet?

    • Beispiel: “Erfüllung arbeitsrechtlicher Pflichten”, “Marketing und Kundenbindung”

  • Art der Verarbeitung: Automatisch oder Manuell

    • Automatisch: Verarbeitung durch IT-Systeme
    • Manuell: Händische Verarbeitung (z.B. Papierakten)

Schritt 3: Daten-Abschnitt#

Verknüpfe die Aktivität mit den relevanten Stammdaten:

  • Verarbeitungsaktionen: Art der Verarbeitung (z.B. Erheben, Speichern, Übermitteln)
  • Datenkategorien: Welche Arten von Daten werden verarbeitet?
  • Datenfelder: Konkrete Datenfelder (z.B. Name, Adresse, Geburtsdatum)
  • Speicherfristen: Wie lange werden die Daten aufbewahrt?
  • Anwendungen: Welche IT-Systeme werden genutzt?
  • Rechtsgrundlagen: Rechtliche Basis für die Verarbeitung
  • Untervertragspartner: Externe Dienstleister, die Daten verarbeiten

Schritt 4: Empfänger#

  • Empfänger: Organisationen oder Personen, die Daten erhalten

Schritt 5: Folgenabschätzung#

  • DSFAs: Verknüpfung mit Datenschutz-Folgenabschätzungen (falls vorhanden)

Schritt 6: Massnahmen#

  • Massnahmen zur Risikominderung: Spezifische Schutzmassnahmen
  • TOMs: Technische und Organisatorische Massnahmen

Schritt 7: Verknüpfungen#

Verbinde die Aktivität mit anderen ELIZA-Modulen:

  • Risiken: Verknüpfung mit Risikoeinschätzungen
  • Prozesse: In welchen Geschäftsprozessen findet die Verarbeitung statt?
  • Verantwortliche Stelle: Zuständige Organisationseinheit
  • Betroffene Personen: Welche Personengruppen sind betroffen?

Schritt 8: Speichern#

Klicke auf “Speichern”, um die Aktivität anzulegen.

Verarbeitungsaktivität bearbeiten#

  1. Öffne die Verarbeitungsaktivität durch Klick auf den Namen
  2. Klicke auf das Bearbeiten-Symbol (Stift-Icon)
  3. Nimm die gewünschten Änderungen vor
  4. Klicke auf “Speichern”

Verarbeitungsaktivität löschen#

  1. Öffne die Verarbeitungsaktivität
  2. Klicke auf das Löschen-Symbol (Papierkorb-Icon)
  3. Bestätige die Löschung

Achtung: Gelöschte Aktivitäten können nicht wiederhergestellt werden!

Verarbeitungsaktionen#

Was sind Verarbeitungsaktionen?#

Verarbeitungsaktionen beschreiben die Art der Datenverarbeitung. Typische Aktionen sind:

  • Erheben
  • Erfassen
  • Speichern
  • Verändern
  • Auslesen
  • Übermitteln
  • Verknüpfen
  • Löschen

Verarbeitungsaktionen verwalten#

  1. Navigiere zum Datenschutzsystem
  2. Klicke auf “Verarbeitungsaktionen”
  3. Erstelle neue Aktionen oder bearbeite bestehende

Word-Export#

Das Datenschutz-Modul ermöglicht den Export als Word-Dokument.

Export durchführen#

  1. Navigiere zum Datenschutzsystem
  2. Klicke auf “Export”
  3. Das System generiert ein Word-Dokument mit allen Verarbeitungsaktivitäten

Das exportierte Dokument enthält:

  • Alle Aktivitäten mit Beschreibung
  • Zweck der Verarbeitung
  • Rechtsgrundlagen
  • Betroffene Personengruppen

Best Practices#

Empfehlungen#

  • Vollständigkeit: Dokumentiere alle Datenverarbeitungen im Unternehmen
  • Granularität: Nicht zu grob (z.B. “IT-Betrieb”), nicht zu fein (z.B. jede einzelne E-Mail)
  • Aktualität: Aktualisiere bei Änderungen an Prozessen oder Systemen
  • Verknüpfungen: Nutze die Verknüpfungen zu Prozessen und Anwendungen

Häufige Fehler#

  • Unvollständig: Nicht alle Verarbeitungen erfasst
  • Veraltet: Änderungen nicht nachgeführt
  • Zu grob: Wichtige Details fehlen
  • Fehlende Rechtsgrundlagen: Jede Verarbeitung braucht eine Rechtsgrundlage

Beispiel: Lohnbuchhaltung#

Name: Lohnbuchhaltung

Beschreibung: Verarbeitung von Mitarbeiterdaten für die monatliche Lohnabrechnung und Sozialversicherungsmeldungen.

Zweck: Erfüllung arbeitsrechtlicher Verpflichtungen, Lohnzahlung an Mitarbeitende

Art: Automatisch

Datenkategorien:

  • Stammdaten (Name, Adresse)
  • Finanzdaten (Kontonummer, Lohn)
  • Sozialversicherungsdaten

Rechtsgrundlagen:

  • Arbeitsvertrag (Art. 6 Abs. 1 lit. b DSGVO)
  • Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO)

Anwendungen:

  • Lohnbuchhaltungssoftware
  • HR-System

Empfänger:

  • Sozialversicherungsträger
  • Steuerbehörden

Speicherfristen:

  • 10 Jahre nach Ende des Arbeitsverhältnisses (gesetzliche Aufbewahrungspflicht)

TOMs:

  • Zugriffsbeschränkung auf HR-Abteilung
  • Verschlüsselung der Datenübertragung

Nächste Schritte#

Im nächsten Kapitel lernst du alles über Stammdaten - die Grundlage für deine Verarbeitungsaktivitäten.

Backward Erste Schritte Stammdaten Forward