Verarbeitungstätigkeit – ein Muster

Dies Muster einer Verarbeitungstätigkeit wurde durch die Schwellwertanalyse und die Risikobetrachtung erweitert. Die Angaben über den Verantwortlichen und den Datenschutzbeauftragten können als Deckblatt gesondert vor das gesamte Verzeichnis eingefügt werden. Die Angaben, die mindestens im Verzeichnis für Verarbeitungstätigkeiten enthalten sein müssen, können Sie der Rechtsgrundlage (Art. 30 DSGVO) entnehmen.

Kontaktdatenverwaltung

1

Verantwortliche Organisationseinheit

Vertrieb

2

Fachverantwortlicher

Herr & Frau Mustermann

3

Zwecke der Verarbeitungstätigkeit

Kontaktdaten von Kunden und Lieferanten werden zur besseren Übersicht und Verfügbarkeit in ein Kunden-Management-System eingebracht und verwaltet.

4

Kategorien personenbezogener Daten

Kontaktdaten (Name, Telefon, Fax, E-Mail, Adresse)

5

Kategorien betroffener Personen

Externe Berater

Externe Dienstleister

Freiberufler

Gesellschafter

Kunden

Lieferanten

6

Kategorien von Empfängern

Interne Abteilung (Mitarbeiter mit Zugriff auf das CRM-/ERP-System)

7

Zugriffsberechtigte

Interne Abteilung (Mitarbeiter mit Zugriff auf das CRM-/ERP-System), siehe Berechtigungskonzept

8

Rechtsgrundlage der Verarbeitungstätigkeit

Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f) DS-GVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (Verbesserung des Geschäftsbetriebes durch Verwaltung von Kunden-, Lieferanten- und Dienstleisterkontakten).

9

Quelle der Daten

 Die Daten wurden bei der betroffenen Person direkt erhoben,
Eingabe in das System durch Mitarbeiter

10

Informationspflichten

Link auf der Webseite
Telefongespräch
e-Mail Anhang

11

Fristen für die Löschung der Datenkategorien

3 Jahre – Berechtigtes Interesse des Arbeitgebers

Für die Dauer der zugrundeliegenden Vertragsbeziehung

12

Datenübermittlung in ein Drittland

Eine Datenübermittlung in ein Drittland ist nicht vorgesehen.

13

Beschreibung der technischen und organisatorischen Maßnahmen

Technische-/organisatorische Maßnahmen gemäß Art. 32 DSGVO wie für die Organsiation festgestellt und dokumentiert

14

Eingesetzte Anwendung

„Progarammname der Anwendung“

15

Ergebnis der Schwellenwertanalyse

Es muss vorbehaltlich einer Auflistung der Aufsichtsbehörden keine DSFA durchgeführt werden.

16

Risikoeinschätzung

Es muss voraussichtlich keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.

17

Verfügbarkeit/Belastbarkeit

Niedrig

Die Verfügbarkeit hat keinen Einfluss auf die Rechte und Freiheiten der betroffenen Person. Mit der Nicht-Verfügbarkeit ist keine Beeinträchtigung verbunden.

18

Vertraulichkeit

Mittel
Die Vertraulichkeit der Daten ist für den Betroffenen wichtig, da die Daten Einblicke in die persönliche Lebensführung geben. Der Verlust der Vertraulichkeit ist aber in begrenztem Umfang akzeptabel und hat keine schwerwiegenden Folgen.

19

Integrität

Mittel
Die Integrität der Daten ist für den Betroffenen von Bedeutung. Die Integrität der Daten hat allenfalls geringe Auswirkungen auf Rechte und Freiheiten des Betroffenen.

20

Eintrittswahrscheinlichkeit eines Schadens

Mittel
Für das ausgewählte Gefährdungsszenario scheint es schwierig zu sein, eine Schwachstelle eines Informationswertes auszunutzen, um eine Bedrohung für die betroffenen Personen eintreten zu lassen.

21

Schadensauswirkung für die betroffene Person

Niedrig
Betroffene Personen erleiden eventuell Unannehmlichkeiten, die sie aber mit einigen Problemen überwinden können.


Haftungsausschluß: die JF.Consulting GmbH oder J. Feldt übernimmt keinerlei Haftung für Rechtsfolgen, die sich aus der Verwenung dieses Musters ergeben. Der Ihnalt ist gleichwohl mit größter Sorgfalt erstellt.

Rechtsgrundlage für das Verzeichnis von Verarbeitungstätigkeiten

dejure.org