Help Center
News
Help Center
News
Sign in
Erste Schritte
Allgemeine Einstellungen
IT Einstellungen
Risiko Einstellungen
Module
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Verwalten
Reagieren & Lösen
Teilen und Gruppenfunktionen
Fragebögen
Features
Anleitungen & Tipps
Unterstützung erhalten
Release Notes

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Übersicht

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) bildet den Kern eines jeden Datenschutzmanagementsystems. Sowohl das Schweizer Datenschutzgesetz (DSG) als auch die Europäische Datenschutz-Grundverordnung (DSGVO) schreiben, unter Vorbehalt von Ausnahmen, die Führung eines VVT vor. 

Das Verzeichnis der Verarbeitungstätigkeiten ermöglicht die nachvollziehbare und vollständige Dokumentation aller Verarbeitungstätigkeiten personenbezogener Daten innerhalb eines Unternehmens. 

Folgende Elemente müssen laut DSG im VVT des Verantwortlichen enthalten sein:

  • die Identität des Verantwortlichen
  • den Bearbeitungszweck
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
  • die Kategorien der Empfänger:innen
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
  • falls eine Datenübertragung ins Ausland stattfindet, die Angabe des Staates sowie die Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus.

Im Unterschied zum Verantwortlichen hat das VVT des Auftragsbearbeiters nebst den Massnahmen zur Gewährleistung der Datensicherheit sowie den notwendigen Angaben im Falle einer Datenübertragung ins Ausland auch folgende Informationen zu beinhalten: 

  • Angaben zur Identität des Auftragsbearbeiters sowie des Verantwortlichen
  • Angaben zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden

Das VVT unterstützt Unternehmen, bei Audits, Datenschutzanfragen (zum Beispiel von betroffenen Personen oder von Finanzaufsichtsbehörden) oder bei Datenschutzvorfällen zeitnah und effizient Auskunft geben zu können. Damit ist es ein essenzielles Instrument zur Gewährleistung von Transparenz sowie Nachvollziehbarkeit. 

Die Übersichtsseite listet alle Ihre Verarbeitungstätigkeiten auf, unterteilt nach ihrem Status in Alle, Aktiv, Entwurf, Inaktiv und Überprüfung.

Erstellung einer neuen Verarbeitungstätigkeit (ohne AI)

Wie bei jedem Element können Sie eine Verarbeitungstätigkeit manuell erstellen oder von einer anderen Organisation herunterladen. Dieser Leitfaden konzentriert sich auf die manuelle Erstellung. Um mehr über das Herunterladen von Elementen zu erfahren, lesen Sie den entsprechenden Artikel.

Klicken Sie auf Erstellen und wählen Sie Verarbeitungstätigkeit erstellen. Machen Sie folgende Eingaben:

  • Wählen Sie die verantwortliche Person und den Status aus.
  • Benennen Sie die Verarbeitungstätigkeit und beschreiben Sie kurz, wie die Verarbeitung erfolgt.
  • Ordnen Sie die Verarbeitungstätigkeit der zuständigen organisatorischen Einheit zu.
  • Der Typ definiert Ihre Rolle in Bezug auf die Verarbeitungstätigkeit:
    • Datenverarbeiter: Wenn Sie personenbezogene Daten im Auftrag eines anderen verarbeiten, in seinem Namen handeln und die Verarbeitung ihm dient.
    • Verantwortlicher: Wenn die Verarbeitung Ihnen dient und Sie das Wie und Warum der Verarbeitung festlegen.
    • Gemeinsamer Verantwortlicher: Wenn Sie gemeinsam mit einer anderen Partei die Zwecke und Mittel der Verarbeitung festlegen.
    • Hinweis: Wenn Sie sich als Datenverarbeiter kategorisieren, müssen Sie den Verantwortlichen im nächsten Feld angeben. Bei Unsicherheiten wenden Sie sich an die datenschutzbeauftragte Person Ihrer Organisation.
  • Klassifizieren Sie die Verarbeitungstätigkeit mit einem Attribut. Es handelt sich dabei um ein organisatorisches Hilfsmittel. Sie können es aus der Dropdown-Liste wählen oder ein neues Attribut erstellen, indem Sie es ins Feld eingeben und dann anwählen.
  • Wählen Sie die geltenden Gesetze und Regularien aus, die für diese Verarbeitungstätigkeit gelten.
  • Legen Sie das Risikoziel zwischen sehr niedrig und sehr hoch fest.
  • Geben Sie eine Begründung zur Notwendigkeit der Verarbeitung ein.
  • Speichern Sie Ihre Eingaben.

Verwaltung Ihres VVT

Allgemein

Wenn Sie auf eine Ihrer Verarbeitungstätigkeiten klicken, erhalten Sie allgemeine Informationen zu dieser Tätigkeit. Wenn Sie diese Informationen bearbeiten möchten, klicken Sie auf Bearbeiten.

Wie bei den meisten Elementen können Sie es Teilen, den Zugang verwalten oder eine Notiz hinzufügen, indem Sie rechts auf Notizen klicken.

Am unteren Bildschirmrand können Sie Dokumente zu Ihrem VVT hochladen.

Klicken Sie auf das blaue Menüsymbol oben links, um das Menü zu erweitern oder zu minimieren.

Zweck der Verarbeitung

Auf der Registerkarte Zweck der Verarbeitung finden Sie alle verknüpften Zwecke der Verarbeitungstätigkeit. Um einen Zweck zu verknüpfen, klicken Sie auf Hinzufügen.

Hier finden Sie eine Liste aller Zwecke. 

  • Sie können einen oder mehrere Zwecke auswählen oder einen neuen erstellen, indem Sie auf Erstellen klicken und dann eine Beschreibung in das entsprechende Eingabefeld eingeben. 
  • Für jeden Zweck können Sie die anwendbaren Gesetze & Verordnungen auswählen.

Notwendigkeit der Verarbeitung

Auf der Registerkarte Notwendigkeit der Verarbeitung wird beschrieben, warum die Verarbeitung erforderlich ist. Wenn Sie noch keine Beschreibung eingegeben haben oder diese bearbeiten möchten, klicken Sie auf Bearbeiten, geben die Informationen ein und Speichern sie.

Diese Informationen sind für eine angemessene Datenschutzcompliance unerlässlich. Sie müssen vernünftige Gründe für eine Verarbeitungstätigkeit haben, um die Verarbeitung durchführen zu dürfen.

Betroffene Personen

Auf der Registerkarte Betroffene Personen werden die Kategorien von Personen aufgelistet, die von der Verarbeitung betroffen sind, wie z.B. Kunden oder Mitarbeiter. Es ist wichtig zu wissen, wessen Daten gemäss den geltenden Datenschutzgesetzen verarbeitet werden.

Sie können Kategorien betroffener Personen Hinzufügen. Wählen Sie entweder aus der vorhandenen Bibliothek aus oder Erstellen Sie neue.

Datenerhebungspunkte

Es ist entscheidend, zu dokumentieren, wo die Daten gesammelt wurden, um den Pflichten der Transparenz und der Bereitstellung von Informationen nachzukommen. Diese sogenannten Datenerhebungspunkte oder DEP können unter dieser Registerkarte verknüpft und verwaltet werden.

Wenn Sie auf Hinzufügen klicken, können Sie bestehende DEP mit der spezifischen Verarbeitungstätigkeit verknüpfen oder neue erstellen.

Um ihn zu verwalten, klicken Sie auf einen vorhandenen DEP. Lesen Sie den Leitfaden über Datenerhebungspunkte um mehr darüber zu erfahren.

Personenbezogene Daten

Unter der Registerkarte Personenbezogene Daten finden Sie eine Liste aller mit der Verarbeitungstätigkeit verknüpften Kategorien personenbezogener Daten.

Es ist wichtig, diese Liste vollständig zu halten. Stellen Sie sicher, dass keine Kategorien personenbezogener Daten aus der spezifischen Verarbeitungstätigkeit ausgelassen werden. Das Hinzufügen neuer Elemente funktioniert genauso wie zuvor in den anderen Registerkarten beschrieben.

Besondere Kategorien

Einige Verarbeitungstätigkeiten können Besondere Kategorien personenbezogener Daten verwenden. Je nach Datenschutzrecht können besondere Kategorien personenbezogener Daten unterschiedlich definiert sein. Im Allgemeinen handelt es sich dabei um sehr sensible Datenkategorien wie genetische oder biometrische Daten.

Diese Registerkarte listet alle besonderen Datenkategorien, die mit der Verarbeitungstätigkeit verknüpft sind. Um neue Kategorien hinzuzufügen oder zu erstellen, klicken Sie auf Hinzufügen.

Hinweis: Beim Erstellen einer neuen besonderen Kategorie müssen Sie das anwendbare Datenschutzrecht auswählen, das die Kategorie als solche festlegt. Wie oben erwähnt, definieren nicht alle Datenschutzgesetze besondere Kategorien auf die gleiche Weise. Konsultieren Sie Ihren Datenschutzbeauftragten, wenn Sie Klarheit benötigen.

Assets

Neben dem Datenschutz als rechtlichem Aspekt stellt die Informationssicherheit den technischen Datenschutz dar. Zum letztgenannten technischen Umgang mit den Daten gehören auch die Assets. Assets sind daher alles, was der Verarbeitung der Daten dient. Dies können Software oder Datenbanken, physische Assets wie Serverzentren oder Sicherheitsmassnahmen wie Firewalls sein.

Diese Registerkarte ermöglicht es Ihnen, alle Assets zu verknüpfen, die für die spezifische Verarbeitungstätigkeit verwendet werden. Sie können aus vorhandenen Assets auswählen, indem Sie auf Hinzufügen klicken, oder ein neues erstellen.

Wenn Sie auf ein verknüpftes Asset klicken, werden Sie auf dessen Verwaltungsseite geleitet. Verwalten Sie ein neu erstelltes Asset, um alle erforderlichen Informationen zu ergänzen. Folgen Sie dem Leitfaden zum Verzeichnis der Assets, um mehr darüber zu erfahren.

Bewertung und Behandlung des Risikos

Risikoszenarien

Sie können alle Risikoszenarien, die für diese Verarbeitungstätigkeit verwendet werden, auf der Registerkarte Risikoszenarien verknüpfen:

  • Sie können aus vorhandenen Szenarien auswählen, indem Sie auf Hinzufügen klicken.
  • Erstellen Sie bei Bedarf ad-hoc ein neues Szenario. 
  • Klicken Sie Zur Liste hinzufügen.
  • Klicken Sie danach auf jedes verknüpfte Risikoszenario um das aktuelle Risiko zu bewerten. 
  • Geben Sie unten die Gründe für die Risikoeinstufung / Rechtfertigung der Risikobewertung ein.

TOMs

Die Verarbeitung personenbezogener Daten erfordert vom Verantwortlichen, diese Daten entsprechend zu schützen. Dies geschieht durch die Verwendung geeigneter technischer und organisatorischer Massnahmen, sogenannter TOMs.

Die Registerkarte TOMs zeigt Ihnen alle mit der Verarbeitungstätigkeit verknüpften Massnahmen an. TOMs werden implementiert, um Risiken zu verhindern oder zu minimieren.

TOMs hinzufügen:

  • Klicken Sie auf das Risikoszenario.
  • Wählen die entsprechenden TOMs aus der Bibliothek aus. 
  • Bewerten Sie danach das Risiko nach Behandlung
  • Geben Sie unten wieder die Gründe für die Risikoeinstufung / Rechtfertigung der Risikobewertung ein.

Das Erstellen eines TOMs kann aufwändiger sein als das Erstellen anderer Elemente einer Verarbeitungstätigkeit. Studieren Sie den Leitfaden über Massnahmen & TOM bevor Sie eine neue TOM erstellen, um den erforderlichen Detaillierungsgrad zu erreichen.

DSFA

Die Registerkarte DSFA enthält die Datenschutz-Folgenabschätzungen (DSFA), die für Ihre Verarbeitungstätigkeit durchgeführt wurden. In der Regel müssen Sie Ihrer Verarbeitungstätigkeit nicht eine DSFA hinzufügen, da diese explizit für die bestimmte Verarbeitungstätigkeit durchgeführt wurde.

Wenn Sie eine DSFA erstellen oder mehr darüber erfahren möchten, folgen Sie dem entsprechenden Leitfaden.

Involvierte Org. Einheiten

Um die Integrität und Vertraulichkeit sicherzustellen ist es wichtig, den Zugriff auf personenbezogene Daten einzuschränken und nachverfolgen zu können. Diese Anforderung wird teilweise durch die Verknüpfung mit internen Organisatorischen Einheiten erfüllt.

Die Registerkarte enthält eine Liste der bereits verknüpften Einheiten und ermöglicht es Ihnen, zusätzliche Einheiten hinzuzufügen, indem Sie auf Hinzufügen klicken. Sie können auch neue organisatorische Einheiten Erstellen.

Rechtliche Grundlage

Nicht alle, jedoch viele Datenschutzgesetze verlangen, dass die Verarbeitung personenbezogener Daten auf einer rechtlichen Grundlage basiert. Im Allgemeinen sind diese rechtlichen Grundlagen im entsprechenden Gesetz vordefiniert. Daher ist die Angabe einer rechtlichen Grundlage und der anwendbaren Gesetze & Verordnungen für jede Verarbeitungstätigkeit von entscheidender Bedeutung.

Die Registerkarte zeigt die Liste der mit der Verarbeitungstätigkeit verknüpften Rechtsgrundlagen an. Wenn Sie neue rechtliche Grundlagen verknüpfen möchten, klicken Sie auf Hinzufügen. Wenn Sie neue Elemente auswählen, ist es wichtig, zwei Dinge zu beachten:

  • Erstens müssen Sie eine rechtliche Grundlage auswählen, die das anwendbare Datenschutzgesetz vorsieht. Wenn Sie z. B. die DSGVO einhalten müssen, benötigen Sie eine von der DSGVO anerkannte rechtliche Grundlage. Die zweite Spalte der Liste zeigt an, aus welchem Gesetz die jeweilige Grundlage stammt. 
  • Zweitens benötigen Sie eine rechtliche Grundlage für jedes Gesetz, das auf Ihre Verarbeitung anwendbar ist. Wenn Sie z.B. die koreanische PIPA und die DSGVO beachten müssen, müssen Sie eine rechtliche Grundlage für die PIPA und eine für die DSGVO auswählen. Dies ist notwendig, da verschiedene Gesetze & Verordnungen unterschiedliche rechtliche Grundlagen anerkennen. Obwohl sich einige rechtlichen Grundlagen ähnlich anhören können, können sie unter den jeweiligen Gesetzen unterschiedliche Bedeutungen haben. Konsultieren Sie unbedingt Ihre datenschutzbeauftragte Person, wenn Sie Hilfe benötigen.

Die Erstellung einer neuen rechtlichen Grundlage ist ebenfalls möglich. Stellen Sie jedoch sicher, dass Sie die notwendige rechtliche Beratung einholen, da rechtliche Grundlagen nicht frei erstellt werden können.

Externe Parteien

Aus verschiedenen Gründen ist es wichtig, den Datenfluss verfolgen zu können. Man sollte aufzeichnen, woher personenbezogene Daten stammen, was mit ihnen gemacht wird und wohin sie fliessen. Unter der Registerkarte Externe Parteien kommen Sie dem nach. Es werden alle Drittempfänger angezeigt und neue Empfänger können mit Hinzufügen ausgewählt werden.

Wenn eine externe Partei in Ihrer Bibliothek fehlt, können Sie die entsprechende Erstellen. Der Leitfaden über Lieferanten wird Ihnen dabei helfen.

Aufbewahrung & Löschung

Es gibt eine Begrenzung, wie lange personenbezogene Daten gespeichert oder verarbeitet werden dürfen. Natürlich hängen die Aufbewahrungs- und Löschungsfristen von der Art der personenbezogenen Daten und der Verarbeitungstätigkeit ab. Die Registerkarte Aufbewahrung & Löschung zeigt alle erforderlichen Fristen an, die mit der Verarbeitungstätigkeit verknüpft sind. Wenn Sie neue Fristen hinzufügen möchten, klicken Sie auf Hinzufügen. Wenn die von Ihnen gesuchte Frist bereits in Ihrer Bibliothek vorhanden ist, können Sie sie dort auswählen. Andernfalls müssen Sie möglicherweise eine neue erstellen. Der Leitfaden zu Aufbewahrungs- und Löschungsfristen bietet hierzu weitere Informationen.

Aufgaben

Sie finden die mit Ihrer aktuellen Verarbeitungstätigkeit verknüpften Aufgaben in der entsprechenden Registerkarte. Wenn Sie einer Verarbeitungstätigkeit eine Aufgabe zuweisen möchten, wählen Sie eine mit Hinzufügen aus der Bibliothek oder Erstellen Sie eine neue. Um mehr zu erfahren, folgen Sie den Schritten im Leitfaden über Aufgaben

Assessments

Mit Hilfe der Assessments können die für die Verarbeitungstätigkeit verantwortlichen Personen Fragebögen ausfüllen, um relevante Informationen zur Verarbeitungstätigkeit und deren Handhabung zu sammeln und zu dokumentieren. Daher sind die Assessments ein wichtiges Instrument, um Ihren Stand und die Entwicklungen in der Verarbeitungstätigkeit zu überprüfen.

Wenn Sie bereits ein Assessment erstellt haben, klicken Sie auf Hinzufügen und wählen Sie das entsprechende aus. Andernfalls können Sie neue Erstellen. Folgen Sie dem Leitfaden zu Assessments, um mehr zu erfahren.


 

 

Was this article helpful?

German
Powered by Product Fruits