Sobald Sie personenbezogene Daten erheben, speichern, bearbeiten, weiterleiten oder anderweitig verarbeiten, müssen Sie ein Verarbeitungsverzeichnis führen. Das Verarbeitungsverzeichnis soll alle datenrelevanten Prozesse Ihrer Organisation abbilden und muss im Fall einer Kontrolle der Aufsichtsbehörde vorgelegt werden.
Mithilfe des DSGVO-Managers können Sie Ihr Verarbeitungsverzeichnis erstellen.
Wie erfasse ich meine Stammdaten?
Bevor Sie ein Verarbeitungsverzeichnis erstellen, müssen Sie Ihre Stammdaten erfassen.
- In Ihren Legal-Account einloggen.
- In der Hauptnavigation auf „DSGVO-Manager“ () klicken. Anschließend auf „Jetzt zum DSGVO-Manager“ () klicken. Der DSGVO-Manager erscheint.
- In der Hauptnavigation auf „Organisation“ () klicken. Die Übersicht Ihrer Stammdaten erscheint. Im Bereich „Stammdaten“ den „Namen“ (), die „Organisationsform“ (), die „E-Mail-Adresse“ (), die „Telefonnummer“ (), die „Adresse“ () sowie das „Land“ () Ihrer Organisation in die entsprechenden Felder eingeben. Den „Link zu Ihrem Impressum“ () eingeben. Anschließend auf „Speichern“ () klicken.
- Zum Bereich „Verantwortliche“ scrollen. Den Namen (), die E-Mail-Adresse () und die Telefonnummer () der verantwortlichen Person für die Datenverarbeitung in die entsprechenden Felder eingeben. Anschließend auf „Speichern“ () klicken.
- Zum Bereich „Unternehmenstätigkeit“ scrollen. Die Kerngeschäfte Ihrer Organisation in ein bis zwei Sätzen ins Feld „Beschreibung“ () eingeben. Die Anzahl der Beschäftigten () in das entsprechende Feld eingeben und mithilfe des Dropdown-Menüs die Branche () Ihrer Organisation auswählen. Anschließend auf „Speichern“ () klicken.
- Zum Bereich „Datenschutzaufsichtsbehörde und Datenschutzbeauftragter“ scrollen. Mithilfe des Dropdown-Menüs die für Ihre Organisation zuständige „Aufsichtsbehörde“ () auswählen. Anschließend auf „Speichern“ () klicken.
- Haben Sie einen Datenschutzbeauftragten benannt? Dann die Daten der Person in die entsprechenden Felder im Bereich „Datenschutzbeauftragter“ () eingeben. Anschließend auf „Speichern“ () klicken.
- Zum Bereich „Logo, Farbe und Signatur“ scrollen. Auf das Feld „Primärfarbe“ () klicken, um eine Farbe für das Layout Ihres Verarbeitungsverzeichnisses auszuwählen. Eine „E-Mail-Signatur“ () in das Feld eingeben. Auf „Logo ändern“ () klicken, um das Logo Ihrer Organisation im JPG- oder PNG-Format hochzuladen. Anschließend auf „Speichern“ () klicken.
Damit haben Sie Ihre Stammdaten erfolgreich erfasst und können mit der Erstellung Ihres Verarbeitungsverzeichnisses beginnen.
Wie füge ich eine Verarbeitungstätigkeit zum Verzeichnis hinzu?
Trusted Shops hat bereits zahlreiche Verarbeitungstätigkeiten beschrieben und als Vorlagen im DSGVO-Manager für Sie bereitgestellt. Sofern eine der beschriebenen Verarbeitungstätigkeiten in Ihrer Organisation genutzt wird, müssen Sie nur die Vorlage auswählen und zu Ihrem Verzeichnis hinzufügen. Dadurch sparen Sie nicht nur Zeit, sondern grenzen auch Ihr Risiko ein, da Trusted Shops die Haftung für die bereitgestellten Vorlagen übernimmt.
- In Ihren Legal-Account einloggen.
- In der Hauptnavigation auf „DSGVO-Manager“ () klicken. Anschließend auf „Jetzt zum DSGVO-Manager“ () klicken. Der DSGVO-Manager erscheint.
- In der Hauptnavigation auf „Verarbeitungstätigkeiten“ () klicken. Die Übersicht „Verzeichnis der Verarbeitungstätigkeiten“ erscheint. Auf „+ Neuer Eintrag“ () klicken.
- Ein Pop-up erscheint. Die gewünschte Vorlage im Dropdown-Menü „Vorlage kopieren“ () auswählen. Anschließend auf „Speichern“ () klicken.
- Die Übersicht der ausgewählten Verarbeitungstätigkeit erscheint. Soll die Verarbeitungstätigkeit automatisch aktualisiert werden, wenn Trusted Shops inhaltliche Änderungen an der Vorlage vornimmt? Dann den Schalter „Automatisch aktualisieren“ aktivieren.
Damit haben Sie erfolgreich eine Verarbeitungstätigkeit zu Ihrem Verarbeitungsverzeichnis hinzugefügt.
Wie lege ich eine neue Verarbeitungstätigkeit an?
Fehlt eine in Ihrer Organisation genutzte Verarbeitungstätigkeit in den Vorlagen? In diesem Fall können Sie eigene Verarbeitungstätigkeiten im DSGVO-Manager anlegen.
- In Ihren Legal-Account einloggen.
- In der Hauptnavigation auf „DSGVO-Manager“ () klicken. Anschließend auf „Jetzt zum DSGVO-Manager“ () klicken. Der DSGVO-Manager erscheint.
- In der Hauptnavigation auf „Verarbeitungstätigkeiten“ () klicken. Die Übersicht „Verzeichnis der Verarbeitungstätigkeiten“ erscheint. Auf „+ Neuer Eintrag“ () klicken.
- Ein Pop-up erscheint. Einen Namen für die Verarbeitungstätigkeit ins Feld „Bezeichnung“ () eingeben. Anschließend auf „Speichern“ () klicken.
Die Eingabemaske zur Erfassung der Verarbeitungstätigkeit erscheint. Innerhalb der Eingabemaske müssen nun alle Pflichtangaben ausgefüllt werden. Die Pflichtangaben sind in der Eingabemaske mit einer kleinen 1 markiert.
Darüber hinaus können Sie ergänzende Angaben machen, die optional sind. Die ergänzenden Angaben sind mit einer kleinen 2 markiert.
Sie können mithilfe der Eingabemaske Angaben in den folgenden Bereichen machen:
- Grundangaben
- Empfänger innerhalb Ihrer Organisation
- Empfänger außerhalb Ihrer Organisation
- Rechtsgrundlage und Sicherheitsmaßnahmen
- Informationspflicht
- Datenschutz-Folgenabschätzung
- Zusätzliche Nachweise und Dokumente
Die einzelnen Bereiche werden am linken Rand der Eingabemaske angezeigt. Alle Angaben, die vollständig hinterlegt wurden, werden mit einem grünen Haken gekennzeichnet. Angaben, deren Pflichtangaben vollständig sind, aber bei denen noch optionale Angaben fehlen, werden mit einem grünen Kreis gekennzeichnet. Angaben, die noch nicht hinterlegt wurden oder bei denen Pflichtangaben fehlen, werden mit einem roten Kreis gekennzeichnet.
Grundangaben erfassen
In den Grundangaben hinterlegen Sie die Basisdaten Ihrer Verarbeitungstätigkeit. Innerhalb der Dropdown-Menüs können Sie entweder voreingestellte Einträge verwenden oder fehlende Einträge manuell ergänzen. Ergänzte Einträge werden automatisch in die Voreinstellungen übernommen.
- Die Übersicht „Grundangaben“ () öffnen.
- Einen Namen für die Verarbeitungstätigkeit ins Feld „Bezeichnung“ () eingeben. Die „Zwecke der Datenverarbeitung“ () auswählen. Anschließend mithilfe des Dropdown-Menüs „Kreis/Kategorie betroffener Personengruppen“ () die von der Verarbeitungstätigkeit betroffenen Personen auswählen.
- Die „Art der Daten/Datenkategorien“ () auswählen. Anschließend mithilfe des Dropdown-Menüs „Besondere Datenkategorien“ () auswählen, ob personenbezogene Date verarbeitet werden, die im Sinne von Art. 9 DSGVO besonders geschützt sind.
- Optional können Sie die Verarbeitungstätigkeit im Feld „Beschreibung“ () näher erläutern. Zudem können Sie optional die „Art der Verarbeitung“ () auswählen.
- Ergänzend können Sie zudem noch die „Quellen der Daten“ () auswählen.
- Falls die Daten im Auftrag eines Auftraggebers oder in gemeinsamer Verantwortung verarbeitet werden oder eine automatisierte Entscheidungsfindung einschließlich Profiling stattfindet, die entsprechenden Kästchen () markieren.
- Auf „Speichern“ () klicken.
Damit haben Sie die Grundangaben erfolgreich erfasst.
Empfänger innerhalb Ihrer Organisation erfassen
Die Empfänger innerhalb Ihrer Organisation zu erfassen, ist optional. Dennoch sollten Sie diese Informationen hinterlegen, damit der Datenfluss innerhalb Ihrer Organisation nachvollzogen werden kann.
- Die Übersicht „Empfänger intern“ () öffnen.
- Mithilfe des Dropdown-Menüs „Empfänger intern“ () auswählen, welche Abteilungen an der Verarbeitungstätigkeit beteiligt sind.
- Die „Verantwortliche Abteilung“ () auswählen, die als Ansprechpartner zum Datenschutz für diese Verarbeitungstätigkeit fungiert.
- Auf „Speichern“ () klicken.
Damit haben Sie die Empfänger innerhalb Ihrer Organisation erfolgreich erfasst.
Empfänger außerhalb Ihrer Organisation erfassen
Die Empfänger außerhalb Ihrer Organisation gehören zu den Pflichtangaben innerhalb des Verarbeitungsverzeichnisses. Damit kann der Datenfluss aus Ihrer Organisation heraus nachvollzogen werden.
- Die Übersicht „Empfänger extern“ () öffnen. Auf „+ Dienstleister hinzufügen“ () klicken.
- Ein Pop-up erscheint. Einen „Dienstleister“ () auswählen. Anschließend auf „Speichern“ () klicken.
- Das Pop-up schließt sich. Auswählen, ob in diesem Fall eine „Auftragsverarbeitung“ () vorliegt. Anschließend auf „Speichern“ () klicken.
- Mithilfe des Dropdown-Menüs „Übermittlung/Offenlegung gegenüber Dritten“ () auswählen, gegenüber welchen Dritten die Daten gegebenenfalls offengelegt werden. Anschließend auf „Speichern“ () klicken.
Damit haben Sie die Empfänger außerhalb Ihrer Organisation erfolgreich erfasst.
Rechtsgrundlage & Löschung erfassen
Während die Informationen zur Rechtsgrundlage und speziellen Sicherheitsmaßnahmen optional sind, sind die Angaben zu den Löschfristen der Daten verpflichtend.
- Die Übersicht „Rechtsgrundlage & Löschung“ () öffnen.
- Zum Bereich „Aufbewahrung, Löschfristen & Löschprozesse“ scrollen.
- Die betroffenen „Datenkategorien“ () auswählen. Anschließend die dazu gehörigen „Löschfristen“ () auswählen.
- Ergänzend können Sie Angaben zur „Gesetzlichen Grundlage für die Aufbewahrung“ (), die „Zuständige Abteilung für die Löschung“ () und „Spezielle Maßnahmen zur Löschung“ () machen.
- Darüber hinaus können Sie die „Art der Löschung“ () auswählen und bestimmen, wie die Löschung dokumentiert () und kontrolliert () wird. Im Feld „Sonstige Erläuterungen zum Löschprozess“ () können Sie weitere Informationen hinterlegen.
- Auf „Speichern“ () klicken.
Möchten Sie auch Angaben zur Rechtsgrundlage und speziellen Sicherheitsmaßnahmen machen?
- Dann zum Bereich „Rechtsgrundlage & Sicherheitsmaßnahmen“ scrollen.
- Die „Rechtsgrundlagen der Verarbeitung“ () auswählen. Ergänzend können Sie weitere „Informationen zur Rechtsgrundlage“ () und „Spezielle Sicherheitsmaßnahmen“ () erfassen.
- Auf „Speichern“ () klicken.
Damit haben Sie die Informationen zur Rechtsgrundlage, zu speziellen Sicherheitsmaßnahmen und Löschfristen erfolgreich erfasst.
Informationspflicht erfassen
Je nach Rechtsgrundlage kann es gemäß Artikel 13 / 14 DSGVO notwendig sein, den betroffenen Personen weitere Informationen zur Verfügung zu stellen.
- Die Übersicht „Informationspflicht“ () öffnen.
- Auswählen, wie die Betroffenen informiert werden ().
- Auf „Speichern“ () klicken.
Damit haben Sie die Angaben zur Informationspflicht erfolgreich erfasst.
Datenschutz-Folgenabschätzung erfassen
Mit dem DSGVO-Manager haben Sie die Möglichkeit, zu überprüfen, ob für die Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung (DSFA) erstellt werden muss.
- Die Übersicht „Risikobewertung / DSFA“ () öffnen.
- Auf „Erforderlichkeitsprüfung starten“ () klicken.
- Ein Pop-up erscheint. Sie werden nun durch verschiedene Fragen geführt. Die Fragen beantworten und auf „Prüfung abschließen“ klicken.
- Das Ergebnis der Erforderlichkeitsprüfung erscheint. Auf „Ergebnis übernehmen“ klicken.
- Das Pop-up schließt sich. Das Ergebnis der Erforderlichkeitsprüfung wird automatisch in die passenden Felder eingefügt.
- Auf „Speichern“ () klicken.
Damit haben Sie erfolgreich erfasst, ob eine Datenschutz-Folgenabschätzung notwendig ist.
Dokumente zur Verarbeitungstätigkeit hochladen / erstellen
Sie können weitere Dokumente hochladen oder auch neue Dokumente erstellen.
- Die Übersicht „Nachweise und Dokumente“ () öffnen.
- Möchten Sie ein bestehendes Dokument hochladen? Dann auf „Dateien hochladen“ () klicken.
- Möchten Sie ein neues Dokument erstellen? Dann auf „Datei erstellen“ () klicken.
- Ein Pop-up erscheint. Einen Namen für das neue Dokument in das Feld „Bezeichnung“ () eingeben. Mithilfe des Dropdown-Menüs „Klassifizierung“ () über die Vertraulichkeit des Dokuments entscheiden. Die „Sprache der Datei“ () definieren. Anschließend einen „Dateityp“ () auswählen.
- Auf „Speichern“ () klicken. Dadurch wird das gewünschte Dokument geöffnet und Sie können es bearbeiten.
Damit haben Sie erfolgreich ein Dokument hochgeladen oder ein neues Dokument erstellt.
Wie kann ich die Verarbeitungstätigkeiten gruppieren und sortieren?
Sobald Sie mehrere Verarbeitungstätigkeiten angelegt haben, kann es schnell unübersichtlich werden. Daher haben Sie die Möglichkeit, die Verarbeitungstätigkeiten zu gruppieren und zu sortieren.
Eine neue Gruppe anlegen
- In Ihren Legal-Account einloggen.
- In der Hauptnavigation auf „DSGVO-Manager“ () klicken. Anschließend auf „Jetzt zum DSGVO-Manager“ () klicken. Der DSGVO-Manager erscheint.
- In der Hauptnavigation auf „Verarbeitungstätigkeiten“ () klicken.
- Die Übersicht „Verzeichnis der Verarbeitungstätigkeiten“ erscheint. Auf „Gruppen und Sortierung“ () klicken.
- Die Übersicht „Gruppen und Sortierung“ erscheint. Auf „+ Neue Gruppe“ klicken.
- Ein Pop-up erscheint. Einen Namen () und eine Beschreibung () für die Gruppe eingeben. Anschließend auf „Speichern“ () klicken.
Damit haben Sie erfolgreich eine neue Gruppe angelegt.
Verarbeitungstätigkeiten gruppieren und sortieren
- Die Übersicht „Gruppen und Sortierung“ wie oben beschrieben öffnen.
- Die gewünschte Verarbeitungstätigkeit mit der Maus im Drag-and-Drop-Verfahren der gewünschten Gruppe zuordnen und an der gewünschten Stelle platzieren.
Damit haben Sie erfolgreich eine Verarbeitungstätigkeit gruppiert und sortiert.
Wie kann ich das Verarbeitungsverzeichnis exportieren?
- In Ihren Legal-Account einloggen.
- In der Hauptnavigation auf „DSGVO-Manager“ () klicken. Anschließend auf „Jetzt zum DSGVO-Manager“ () klicken. Der DSGVO-Manager erscheint.
- In der Hauptnavigation auf „Cockpit“ () klicken. Anschließend auf „Exporte“ () klicken.
- Ein Dropdown-Menü öffnet sich. Eine der Optionen „Datenschutzdokumentation“ () auswählen, um das Verarbeitungsverzeichnis im PDF- oder Word-Format zu exportieren.
Damit haben Sie Ihr Verarbeitungsverzeichnis erfolgreich exportiert.