Vorlagen bearbeiten

Wählen Sie im Navigationsmenü den Menüpunkt 'Verarbeitungstätigkeiten' (Art. 30 DSGVO).

Wie im Abschnitt zu den Grund­einstellungen und Stammdaten beschrieben, wird NiōBase mit einer Reihe von Vorlagen für Verarbeitungs­tätigkeiten geliefert. Sie können diese zur Umsetzung der DSGVO Anforderungen in Ihrer Organisation verwenden, müssen Sie aber im Detail prüfen. Insbesondere sind Auftrags­verarbeiter, Systeme, Betroffenen­kategorien, technische und organi­satorische Maßnahmen zu prüfen und gegebenenfalls anzupassen. Prüfen Sie bitte auch ein potentielles Risiko und eine eventuell benötigte Datenschutz­folgenabschätzung, falls Sie besondere Kategorien gemäß Art. 9 DSGVO verwenden.

Bevor Sie mit der Prüfung und Anpassung der Vorlagen beginnen, empfehlen wir Ihnen, sich durch die Neuanlage einer Verarbeitungstätigkeit mit dem System vertraut zu machen.

In den folgenden Schritten zeigen wir Ihnen, wie Sie eine Verarbeitungstätigkeit am Beispiel „Reisemanagement“ anlegen.

1. Verarbeitungstätigkeit anlegen
Klicken Sie in der Übersicht der Verarbeitungs­tätigkeiten auf den Button 'Neu' rechts oben, wie im vorher­gehenden Screen dargestellt. Sie erhalten nachfolgenden Screen (Ausschnitt) und können mit der Eingabe einer neuen Verarbeitungs­tätigkeit starten.

Die Screens sind zweispaltig aufgebaut. Sollten Sie über einen Bildschirm mit einer niederen Auflösung verfügen, werden möglicherweise alle Felder der Reihe nach in einer Spalte angezeigt. Falls Sie mit dem System und der Definition von Verarbeitungs­tätigkeiten im Rahmen der DSGVO noch nicht ausreichend vertraut sind, empfehlen wir Ihnen, mit der linken Spalte zu beginnen. Scrollen Sie nach unten und bearbeiten Sie diese vollständig. Danach können Sie mit den TOMs auf der rechten Seite weitermachen.

2. Status anpassen

Zu Beginn wählen Sie im Drop-down-Menü 'Status' die gewünschte Einstellung aus. In diesem Beispiel am besten „In Prüfung“.

Akarion NiōBase – Auswahl Status mittels Drop-down-Menü
3. Bezeichnung wählen

Geben Sie als nächstes eine aussage­kräftige Bezeichnung ein und beschreiben Sie den Verwendungs­zweck möglichst genau. Bedenken Sie, dass dieser bei der Generierung bzw. Druck des Verzeich­nisses für die Auskunft bei der Datenschutz­behörde verwendet wird.

Akarion NiōBase – Eingabe Bezeichnung und Verwendungszweck
4. Abteilung und Prozessverantwortlichen zuweisen

Wählen Sie im nächsten Schritt die Abteilung, der Sie die Verarbeitungs­tätigkeit zuweisen möchten, durch Klicken auf das Drop-down-Menü 'Abteilung'.

Akarion NiōBase – Eingabe Abteilung und Prozessverantwortlicher

Geben Sie unter 'Abteilung' und 'Prozessverantwortlicher' die Abteilung und den Verantwortlichen an, in dessen Zuständigkeit diese Verarbeitungstätigkeit fällt.

5. Betroffenenkategorien auswählen

Fügen Sie nun im Abschnitt „Betroffene“ (Betroffenenkategorie) die Mitarbeiter oder andere Betroffene sowie deren Datenkategorien (Namen, Adresse, Geburtsdaten, etc.) mit den Aufbewahrungs- und Speicherfristen1 an, die für diesen Zweck gesetzlich vorgesehen sind2. Führen Sie alle Kategorien einzeln an (künftig können Sie die Speicherfrist auch gesammelt angeben). Fehlende Speicherfristen können Sie im Navigationsabschnitt „Kategorien“ unter „Aufbewahrungsfristen“ nachtragen3.

1 Falls Sie Fragen haben, wenden Sie sich bitte an Ihren Rechts­berater, Daten­schutz­koordinator oder -beauftragten oder an Ihre Wirtschafts- bzw. Handels­kammer.

2 Wenden Sie sich hierfür gegebenenfalls an Ihren Datenschutzverantwortlichen oder -beauftragten, bzw. an Ihren Rechtsbeistand

3 Die Speicherfristen sind leider nicht in allen Ländern gesammelt verfügbar. Jene von Österreich finden Sie unter diesem Link:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-speicher-und-aufbewahrungsfristen.html, abgerufen am 26.05.2018

Akarion NiōBase – Hinzufügen der Betroffenen- und Datenkategorien
6. Erhebungsquelle erfassen

Als nächstes erfassen Sie die Erhebungs­quelle der Daten unter 'Datenfluss'. Wählen Sie für dieses Beispiel „Andere Verarbeitungstätigkeit“. Dies deshalb, da es mit Sicherheit eine vorgelagerte Verarbeitungstätigkeit gibt, z.B. „Personalmanagement“.

Akarion NiōBase – Auswahl Datenerhebungsquelle
7. Zielsystem angeben

Das System erkennt mit der integrierten Logik automatisch den nächsten Schritt und bittet Sie, die vorgehende Verarbeitungs­tätigkeit 'Personalmanagement' auszuwählen. Wählen Sie im nächsten Schritt 'System' und wählen Sie dort die entsprechende HR-Software - in diesem Beispiel 'Salesforce'.

Sie sollten nun folgende Einträge haben:

Akarion NiōBase – Übersicht Datenverarbeitung
8. Datenverarbeitung hinzufügen

Fügen Sie nun über '+ Datenverarbeitung hinzufügen' die Datenübertragung an Hotels hinzu, da Sie bei einem Reise­management personen­bezogene Daten für die Hotelbuchung weitergeben.

Akarion NiōBase – Hinzufügen einer Datenübertragung

Fügen Sie nun über „+ Add Data Processing“ weitere Datenübertragungen an Eisenbahnen, Fluglinien, Auto­vermietungen, Botschaften, Immigrations­behörden oder ähnliche bzw. jene, die Sie für Ihre Geschäftsaktivitäten benötigen, hinzu. Denken Sie dabei immer an die Betroffenen­kategorien, die Sie als nächstes Erfassen werden.

Zuvor sollten Sie einen Screen mit Einträgen haben, der dem folgenden ähnelt:

Akarion NiōBase – Datenverarbeitungen einer Verarbeitungstätigkeit
9. Rechtsgrundlage hinzufügen

Fügen Sie nun die entsprechende Rechtsgrundlage hinzu und beschreiben Sie diese kurz.

Akarion NiōBase – Hinzufügen von Rechtsgrundlagen zur Verarbeitungstätigkeit
10. Zugriffsberechtigungen festlegen

Legen Sie nun fest, wer in Ihrer Organisation Zugriff auf diese Daten im Unternehmen hat. Die ausgewählten Rollen sind typisch, können aber in jeder Organisation unterschiedlich sein. Bitte prüfen Sie auch hier gewissenhaft und wählen Sie die entsprechenden Rollen. Sollten Rollen fehlen, können Sie diese direkt hier, ohne den Screen zu verlassen, über die Funktion '+ Job Titel hinzufügen' ergänzen. Die Rollen stehen Ihnen ab sofort auch für andere Verarbeitungs­tätigkeiten zur Verfügung.

Akarion NiōBase – Festlegung der Zugriffsberechtigungen
11. Risikoanalyse durchführen

Als nächstes gilt es eine Risiko­analyse zu erstellen. Diese ist gegebenenfalls mit einer Datenschutz­folgena­bschätzung und mit den bereits getroffenen technischen und organi­satorischen Maßnahmen (TOMs) abzugleichen. Gegebenen­falls ist auch ein Data Breach Notification Prozess von Nöten.

NiōBase bietet hierfür eine Mustervorlage mit einem typischen Ablauf für einen eventuellen Datenvorfall an.

Achtung
Die Mustervorlage muss auf jeden Fall für die Anwendung in Ihrer Organisation überprüft und eventuell angepasst werden.

Konsultieren Sie zu diesen Themen den DSGVO Gesetzestext in NiōBase unter dem Navigations­abschnitt „Rechtliche Infos“. Die entsprech­enden Hinweise finden Sie unter Art. 32, 33, 34, 35 und 36. Konsultieren außerdem bei Bedarf Ihren Rechtsberater, Datenschutz­koordinator oder -beauftragten, oder Ihre Wirtschafts- oder Handelskammer.

Akarion NiōBase – Risikoanalyse

1. Treffen Sie hier Ihre Einschätzung zur Risikoanalyse. Diese muss manuell durchgeführt werden.

2. Beschreiben Sie Ihre getroffene Einschätzung zur Risikoanalyse.
Wichtig: 
Sie müssen Ihre Risikoanalyse auch dann beschreiben, wenn sie das Risiko als gering einschätzen.

3. In Abhängigkeit Ihrer Einschätzung wird der Regler auf aktiv gesetzt.

12. Privacy by Design & Default

„Datenschutz durch Technikgestaltung“ (Privacy by Design) und „Datenschutz durch datenschutz­freundliche Voreinstellungen“ (Privacy by Default). Beschreiben Sie jetzt, welche technische und organisatorische Maßnahmen Sie grundsätzlich und frühzeitig treffen.

Akarion NiōBase – Privacy by Design & Default
13. Zusatzmaßnahmen treffen (je nach Verarbeitungs­tätigkeit)

In Abhängigkeit der Verarbeitungs­tätigkeiten und der im Rahmen der Risikoanalyse getroffenen technischen und organisatorischen Maßnahmen, können sowohl Datenlösch- als auch Daten­korrektur­­prozesse sowie Daten­minimierungs­maßnahmen erforderlich sein. Die erforderlichen Prozesse können Sie direkt verlinken, sofern Sie sie im System hinterlegt haben. Außerdem ist es möglich, Dokumente zu verlinken, die entsprechende Maßnahmen beinhalten. Diese wurden zuvor über das Dokumenten­management (Navigationsabschnitt Management – „Dokumente“) von Ihnen hochgeladen oder extern verlinkt.

Akarion NiōBase – Privacy by Design & Default - Zusatzmaßnahmen

Speichern Sie Ihre Eingaben regelmäßig und finalisieren Sie die Eingabe durch Klick auf 'Hinzufügen'.

Verarbeitungstätigkeit aktivieren

Wenn Ihre Verarbeitungsaktivität vollständig definiert ist, können Sie sie unter dem Drop-down-Menü „Status“ auf „Aktiv“ stellen. Es erscheint nun ein Schieberegler, mit dem Sie einen Zeitraum einstellen können. Das macht Sinn, wenn sich die Verarbeitungs­tätigkeiten über die Jahre verändern und sie eine Verarbeitungs­aktivität kopieren und modifizieren sowie die alte deaktivieren. Damit haben Sie die von der DSGVO geforderte Historie.

Akarion NiōBase – Verarbeitungstätigkeit als aktiv setzen