Verarbeitungsaktivitäten

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist die zentrale Anforderung des Datenschutzrechts. In diesem Kapitel lernst du, wie du Verarbeitungsaktivitäten erstellst und verwaltest.

Was sind Verarbeitungsaktivitäten?

Eine Verarbeitungsaktivität dokumentiert einen konkreten Vorgang der Datenverarbeitung in deinem Unternehmen. Beispiele:

  • Lohnbuchhaltung
  • Kundendatenverwaltung im CRM
  • Newsletter-Versand
  • Bewerbermanagement
  • Zeiterfassung

Jede Aktivität beschreibt:

  • Was verarbeitet wird (Datenkategorien, Datenfelder)
  • Warum es verarbeitet wird (Zweck, Rechtsgrundlage)
  • Wie es verarbeitet wird (Anwendungen, TOMs)
  • Wer betroffen ist (betroffene Personen)
  • Wohin die Daten gehen (Empfänger, Untervertragspartner)

Verarbeitungsaktivitäten-Liste

Zugriff

  1. Navigiere zum Datenschutzsystem
  2. Klicke auf “Verarbeitungsaktivitäten”

Übersicht

Die Liste zeigt alle erfassten Aktivitäten mit:

SpalteBeschreibung
NameBezeichnung der Verarbeitung
BeschreibungKurzbeschreibung

Eine neue Verarbeitungsaktivität erstellen

Schritt 1: Formular öffnen

  1. Navigiere zu Verarbeitungsaktivitäten
  2. Klicke auf "+ Verarbeitungsaktivität"

Schritt 2: Grunddaten erfassen

Pflichtfelder:

  • Name: Eindeutige Bezeichnung der Verarbeitung

    • Beispiel: “Lohnbuchhaltung”, “Newsletter-Versand”, “Kundenverwaltung CRM”

  • Beschreibung: Detaillierte Beschreibung der Verarbeitung

    • Was genau wird gemacht?
    • In welchem Kontext findet die Verarbeitung statt?

Optionale Felder:

  • Zweck der Verarbeitung: Warum werden die Daten verarbeitet?

    • Beispiel: “Erfüllung arbeitsrechtlicher Pflichten”, “Marketing und Kundenbindung”

  • Art der Verarbeitung: Automatisch oder Manuell

    • Automatisch: Verarbeitung durch IT-Systeme
    • Manuell: Händische Verarbeitung (z.B. Papierakten)

Schritt 3: Daten-Abschnitt

Verknüpfe die Aktivität mit den relevanten Stammdaten:

  • Verarbeitungsaktionen: Art der Verarbeitung (z.B. Erheben, Speichern, Übermitteln)
  • Datenkategorien: Welche Arten von Daten werden verarbeitet?
  • Datenfelder: Konkrete Datenfelder (z.B. Name, Adresse, Geburtsdatum)
  • Speicherfristen: Wie lange werden die Daten aufbewahrt?
  • Anwendungen: Welche IT-Systeme werden genutzt?
  • Rechtsgrundlagen: Rechtliche Basis für die Verarbeitung
  • Untervertragspartner: Externe Dienstleister, die Daten verarbeiten

Schritt 4: Empfänger

  • Empfänger: Organisationen oder Personen, die Daten erhalten

Schritt 5: Folgenabschätzung

  • DSFAs: Verknüpfung mit Datenschutz-Folgenabschätzungen (falls vorhanden)

Schritt 6: Massnahmen

  • Massnahmen zur Risikominderung: Spezifische Schutzmassnahmen
  • TOMs: Technische und Organisatorische Massnahmen

Schritt 7: Verknüpfungen

Verbinde die Aktivität mit anderen ELIZA-Modulen:

  • Risiken: Verknüpfung mit Risikoeinschätzungen
  • Prozesse: In welchen Geschäftsprozessen findet die Verarbeitung statt?
  • Verantwortliche Stelle: Zuständige Organisationseinheit
  • Betroffene Personen: Welche Personengruppen sind betroffen?

Schritt 8: Speichern

Klicke auf “Speichern”, um die Aktivität anzulegen.

Verarbeitungsaktivität bearbeiten

  1. Öffne die Verarbeitungsaktivität durch Klick auf den Namen
  2. Klicke auf das Bearbeiten-Symbol (Stift-Icon)
  3. Nimm die gewünschten Änderungen vor
  4. Klicke auf “Speichern”

Verarbeitungsaktivität löschen

  1. Öffne die Verarbeitungsaktivität
  2. Klicke auf das Löschen-Symbol (Papierkorb-Icon)
  3. Bestätige die Löschung

Achtung: Gelöschte Aktivitäten können nicht wiederhergestellt werden!

Verarbeitungsaktionen

Was sind Verarbeitungsaktionen?

Verarbeitungsaktionen beschreiben die Art der Datenverarbeitung. Typische Aktionen sind:

  • Erheben
  • Erfassen
  • Speichern
  • Verändern
  • Auslesen
  • Übermitteln
  • Verknüpfen
  • Löschen

Verarbeitungsaktionen verwalten

  1. Navigiere zum Datenschutzsystem
  2. Klicke auf “Verarbeitungsaktionen”
  3. Erstelle neue Aktionen oder bearbeite bestehende

Word-Export

Das Datenschutz-Modul ermöglicht den Export als Word-Dokument.

Export durchführen

  1. Navigiere zum Datenschutzsystem
  2. Klicke auf “Export”
  3. Das System generiert ein Word-Dokument mit allen Verarbeitungsaktivitäten

Das exportierte Dokument enthält:

  • Alle Aktivitäten mit Beschreibung
  • Zweck der Verarbeitung
  • Rechtsgrundlagen
  • Betroffene Personengruppen

Best Practices

Empfehlungen

  • Vollständigkeit: Dokumentiere alle Datenverarbeitungen im Unternehmen
  • Granularität: Nicht zu grob (z.B. “IT-Betrieb”), nicht zu fein (z.B. jede einzelne E-Mail)
  • Aktualität: Aktualisiere bei Änderungen an Prozessen oder Systemen
  • Verknüpfungen: Nutze die Verknüpfungen zu Prozessen und Anwendungen

Häufige Fehler

  • Unvollständig: Nicht alle Verarbeitungen erfasst
  • Veraltet: Änderungen nicht nachgeführt
  • Zu grob: Wichtige Details fehlen
  • Fehlende Rechtsgrundlagen: Jede Verarbeitung braucht eine Rechtsgrundlage

Beispiel: Lohnbuchhaltung

Name: Lohnbuchhaltung

Beschreibung: Verarbeitung von Mitarbeiterdaten für die monatliche Lohnabrechnung und Sozialversicherungsmeldungen.

Zweck: Erfüllung arbeitsrechtlicher Verpflichtungen, Lohnzahlung an Mitarbeitende

Art: Automatisch

Datenkategorien:

  • Stammdaten (Name, Adresse)
  • Finanzdaten (Kontonummer, Lohn)
  • Sozialversicherungsdaten

Rechtsgrundlagen:

  • Arbeitsvertrag (Art. 6 Abs. 1 lit. b DSGVO)
  • Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO)

Anwendungen:

  • Lohnbuchhaltungssoftware
  • HR-System

Empfänger:

  • Sozialversicherungsträger
  • Steuerbehörden

Speicherfristen:

  • 10 Jahre nach Ende des Arbeitsverhältnisses (gesetzliche Aufbewahrungspflicht)

TOMs:

  • Zugriffsbeschränkung auf HR-Abteilung
  • Verschlüsselung der Datenübertragung

Nächste Schritte

Im nächsten Kapitel lernst du alles über Stammdaten - die Grundlage für deine Verarbeitungsaktivitäten.

vvt verarbeitungsaktivitäten verzeichnis
chevron_left Stammdaten
Erste Schritte chevron_right
home Zum Anfang arrow_back Zurück zum Modul
format_list_bulleted Inhaltsverzeichnis