Verzeichnis der Verarbeitungstätigkeit

(1)

Version: 1.1

Stand: 28.04.2020 Status: Final Klassifizierung: Intern Verantwortlich: DSB

für den Verantwortlichen und den Auftragsdatenverarbeiter

Verzeichnis der Verarbeitungstätigkeit

(2)

Stand: 28.04.2020 Seite: 2 von 12 Softwarebüro Zauner GmbH & Co. KG

Rudolf-Braas-Straße 20 | 63150 Heusenstamm | Deutschland

Inhaltsverzeichnis

1. Angaben zum Verantwortlichen (Art. 30 Abs. 1 lit. a DS-GVO) ... 3

1.1. Erläuterungen ... 4

2. Angaben zur Verarbeitungstätigkeit und zur Verantwortlichkeit (Art. 30 Abs. 1 lit. b DS- GVO) ... 5

2.1. Angaben zur Verarbeitungstätigkeit ...5

2.2. Weitere Dokumentationen zur Verarbeitungstätigkeit ... 7

1. Angaben zum Auftragsdatenverarbeiter und Verantwortlichen – (Art. 30 Abs. 2 lit. a DS- GVO) ... 10

1.1. Angaben zum Auftragsdatenverarbeiter ... 10

1.3. Angaben zum Verantwortlichen (Kunden) ... 12

2. Angaben zur Verarbeitungstätigkeit ...14

2.1 Angaben zur Verarbeitungstätigkeit ... 14 2.2 Erläuterungen ...15

3. Dokumentenmanagement ... 17

Tabellenverzeichnis

Tabelle 1 – Angaben zum Verantwortlichen... 4

Tabelle 2 – Erläuterungen ... 4

Tabelle 3 – Angaben zur Verantwortlichkeit ... 5

Tabelle 4 – Angaben zur Verarbeitungstätigkeit ... 6

Tabelle 5 – Optionale Dokumentationen ... 7

Tabelle 6 – Erläuterungen ... 9

Tabelle 7 – Angaben zum Auftragsdatenverarbeiter ...11 Tabelle 8 – Erläuterungen ...11

Tabelle 9 – Angaben zum Verantwortlichen (Kunden) ...12

Tabelle 10 – Erläuterungen ...13

Tabelle 11 – Angaben zur Verarbeitungstätigkeit ... 14 Tabelle 12 – Erläuterungen ...16 Tabelle 13 – Dokumentenhistorie ...17

(3)

Anlage 1 zur ADV

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen

1. Angaben zum Verantwortlichen (Art. 30 Abs. 1 lit. a DS-GVO)

Nr Beschreibung (durch den Kunden auszufüllen – Erläuterungen siehe Kapitel 1.1) 1 Verantwortlicher

2 Gesetzlicher Vertreter

3 Vertreter in der EU (gemäß Art. 27 DS-GVO) – optional

4 Datenschutzbeauftragter

5 Zuständige Aufsichtsbehörde

6 Regelungen zur Datensicherheit

7 Regelungen zur Datenlöschung

8 Sachverhalte zu Drittstaatenübermittlungen

Tabelle 1 – Angaben zum Verantwortlichen Klicken Sie hier, um Ihre Firma und Anschrift einzugeben.

Klicken Sie hier, um Namen/Kontakte Ihrer Geschäftsführer einzugeben.

Klicken Sie hier, um Name und Anschrift Ihres Vertreters in der EU einzugeben.

Klicken Sie hier, um Namen/Kontakte Ihrer/s Datenschutzbeauftragten einzugeben.

Klicken Sie hier, um die zuständige Datenschutzaufsichtsbehörde einzugeben.

Klicken Sie hier, um übergreifende IT-Sicherheitskonzepte einzugeben.

Klicken Sie hier, um übergreifende Löschkonzepte einzugeben.

Klicken Sie hier, um übergreifende Sachverhalte zur Datenübermittlung einzugeben.

(4)

1.1. Erläuterungen

Nr. Beschreibung

Nr. 1 Verantwortlicher ist jede Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO)

Angaben:

Nr. 2 Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter

Angaben:

Nr. 3 Bei Unternehmen ohne Niederlassung in der Europäischen Union ist hier der benannte Vertreter des Verantwortlichen (Art. 4 Nr. 17 DS-GVO, Art. 27 Abs. 1 DS-GVO) anzugeben.

Nr. 4 Vom Verantwortlichen bestellter Datenschutzbeauftragter Angaben:

Nr. 5 Adresse der für den Verantwortlichen zuständigen Datenschutzaufsichtsbehörde entsprechend (Bundes-) Land der Unternehmenszentrale

Angaben:

Nr. 6 Gegebenenfalls Verweise auf übergreifende Regelungen (falls solche existieren, die grds.

alle Verarbeitungen betreffen) – Der Verweis an dieser Stelle auf übergreifende Regelungen entbindet nicht von der Dokumentation von ggf. erforderlichen Abweichungen zu den einzelnen Verarbeitungstätigkeiten.

Verweis z.B. auf ein IT-Sicherheitskonzept, das alle Verarbeitungstätigkeiten einschließt.

Eventuell auch Verweise auf relevante Dokumente eines ISMS nach ISO27001.

Nr. 7 Verweis auf Löschkonzepte, die grundsätzlich für alle Verarbeitungen gelten.

Nr. 8 Ein Verweis auf Regelungen zur Drittstaatenübermittlung ist hier sinnvoll, wenn alle oder die Mehrzahl der Verarbeitungen hierdurch geregelt werden, z.B. durch Binding Corporate Rules (BCR).

Tabelle 2 – Erläuterungen

Name/Firma, Anschrift, ggf. weitere Verantwortliche (Art. 26 DS-GVO)1

Namen der geschäftsführenden Personen1

Name, Kontaktdaten1

Behörde, Adresse1

(5)

2. Angaben zur Verarbeitungstätigkeit und zur Verantwortlichkeit (Art. 30 Abs. 1 lit. b DS-GVO)

Nr. Beschreibung (durch den Kunden auszufüllen – Erläuterungen siehe Kapitel 2.1)

1 Bezeichnung der Verarbeitungstätigkeit

Archivierung und Auswertung von Tachografendaten für Berufskraftfahrer und Fahrzeuge (ARC)

2 Zuständiger Fachbereich/verantwortliche Führungskraft (optional)

3 Bei mehreren Zuständigen (optional)

Tabelle 3 – Angaben zur Verantwortlichkeit

Klicken Sie hier, um Namen/Kontakte des zuständigen Bereichs einzugeben.

Klicken Sie hier, um Namen/Kontakte der weiteren Verantwortlichen einzugeben.

(6)

Nr. Beschreibung (durch den Kunden auszufüllen – Erläuterungen siehe Kapitel 2.1)

4 Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit

Die Verarbeitung erfolgt zur Erfüllung gesetzlicher Vorschriften (Art. 6 Abs. 1 lit. c DSGVO), hier:

Verordnung (EG) Nr. 561/2006, FPersG, FPersV und MiLoG

5 Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit C DS-GVO)

5.1 Betroffene Personengruppen 5.2 Kategorien personenbezogener Daten

☒Fahrer Daten der Fahrerkarte: Vorname, Nachname, Geburtsdatum, Fahrerkarte (Nummer, Ausgebestelle, Ausgabedatum, Sprache, Gültigkeit), Führerschein (Nummer,

Ausstellungsbehörde, Ausgebeland), Letzte Kontrollen,

Ereignisse und Störungen, Spezifische Bedingungen, Genutzte Fahrzeuge, Ortsdaten, Zeiterfassungsdaten

Optionale Daten zum Fahrer: Organisatorische Angaben, Anschrift, Führerscheinklassen

☒Nutzer Nachname, Vorname, Nutzername, Kennwort, Berechtigungen, Log-Daten

☐Sonstige (bitte angeben)

6 Kategorien von Empfängern, denen die Daten offengelegt werden (Art. 30 Abs. 1 lit. d DS-GVO) Interne Empfänger:

☐ Fachabteilung(en)

☐ Geschäftsführung

☐ IT-Administration

☐

Externe Empfänger

☐ Behörden

☐ IT-Dienstleister

☐

Sonstige

Klicken Sie hier, um weitere interne Empfänger einzugeben

Klicken Sie hier, um weitere externe Empfänger einzugeben1

(7)

7 Datenübermittlungen in Drittländer (Art. 30 Abs. 1 e DS-GVO)

☐Ja

☒Nein

Name des Drittlandes / der internationalen Organisation (DS-GVO):

Geeignete, ggf. vereinbarte Garantien (optionale Angabe)

☐Anerkannter Drittstaat

☐EU-Standardvertrag C/C

☐EU-Standardvertrag C/P

☐Aufsichtsbehördlich genehmigter Vertrag

☐BCR

☐Andere: Klicken Sie hier, um die Angaben einzugeben.

8 Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO)

Siehe ADV sz&p Kapitel 11

9 Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO)

Siehe Anlage 2, Datenschutz-Konzept sz&p

Tabelle 4 – Angaben zur Verarbeitungstätigkeit

2.1. Weitere Dokumentationen zur Verarbeitungstätigkeit

Optional z. B.:

 Zu Informationspflichten

 Zu Verträgen mit Dienstleistern

 Zu Vereinbarungen zur gemeinsamen Verantwortung

 Zu durchgeführten Datenschutzfolgeabschätzungen zur Verarbeitungstätigkeit oder einzelnen Verarbeitungsschritten

Tabelle 5 – Optionale Dokumentationen Klicken Sie hier, um das Drittland oder die Organisation einzugeben.

Klicken Sie hier, um die Angaben einzugeben.

(8)

2.1. Erläuterungen

Nr. Beschreibung

Nr. 1 Eindeutige Bezeichnung der dokumentierten Verarbeitung/der Verarbeitungstätigkeit auf Grundlage eines Fachprozesses. Es sollte eine im Unternehmen geläufige Bezeichnung des Fachprozesses gewählt werden.

Beispiele: Allgemeine Kundenverwaltung, Customer-Relationship-Management (CRM)

Nr. 2 Nach der Unternehmensorganisation für die konkrete Verarbeitungstätigkeit zuständige Fachbereich / Führungskraft (sofern möglich und sinnvoll, zumindest als Funktionsbezeichnung) Falls mehrere Legaleinheiten gemeinsam für die Verarbeitungstätigkeiten zuständig sind, z.B.

innerhalb einer Unternehmensgruppe, sind hier Name und Kontaktdaten des/der weiteren Zuständigen anzugeben.

Nr. 3 Beispiele:

 Verarbeitungstätigkeit: „Allgemeine Kundenverwaltung“; verfolgte Zweckbestimmungen:

„Auftragsbearbeitung, Buchhaltung und Inkasso“

 Verarbeitungstätigkeit: „Customer-Relationship-Management“; verfolgte Zweckbestimmungen:

„Dokumentation und Verwaltung von Kundenbeziehungen, Marketing, Neukundenakquise, Kundenbindung, Kundenberatung, Beschwerdemanagement, Kündigungsprozess“

Eine Verarbeitungstätigkeit kann mehrere Teil-Geschäftsprozesse zusammenfassen.

Dementsprechend kann eine Verarbeitung auch mehrere Zwecke umfassen, so dass auch mehrere Zweckbestimmungen angegeben werden können. Die erforderliche Detailtiefe hängt von der Geschäftstätigkeit des Verantwortlichen ab.

Es können neben dem Fachprozess auch begleitende mitarbeiterbezogene Unterstützungsprozesse vorliegen wie z.B. zur Personalführung/-einsatzplanung. Diese können entweder als Teil einer anderen Verarbeitung, oder als eigene Verarbeitung beschrieben sein.

Nr. 4 Die Nennung der einschlägigen Rechtsgrundlage ist für Accountability-Pflichten und die Gewährleistung von transparenzpflichten ggü. betroffenen Personen notwendig.

Nr. 5 Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit. c DS-GVO)

Nr. 5.1 Als betroffene Personengruppen kommen beispielsweise Kunden, Interessenten, Arbeitnehmer, Schuldner, Versicherungsnehmer usw. in Betracht.

Nr. 5.2 Den einzelnen Personengruppen, sind die jeweils auf sie bezogenen verwendeten Daten oder Datenkategorien zuzuordnen. Damit sind keine personenbezogenen Daten, sondern Datenbezeichnungen gemeint (z.B. „Adresse“, „Geburtsdatum“, „Bankverbindung“).

Datenkategorien sind möglichst konkret anzugeben. Nicht ausreichend wäre etwa „Kundendaten“.

Beispiele:

Kundendaten: Adressdaten, Kontaktkoordinaten (Telefon, Fax, E-Mail), Geburtsdatum, Vertragsdaten, Bonitätsdaten, Betreuungsinformationen einschließl. Kundenentwicklung, Produkt- bzw. Vertragsinteresse, Abrechnungs- und Leistungsdaten, Bankverbindung

Beschäftigtendaten (Lohn und Gehalt): Kontakte, Bankverbindung, Sozialversicherungsdaten, etc.

(9)

Nr. 6 Empfängerkategorien sind insbesondere am Prozess beteiligte weitere Stellen des Unternehmens/Konzerns oder andere Gruppen von Personen oder Stellen, die Daten – ggf. über Schnittstellen – erhalten z.B. in den Prozess eingebundene weitere Fachabteilungen, Vertragspartner, Kunden, Behörden, Versicherungen, Auftragsverarbeiter (z.B.

Dienstleistungsrechenzentrum, Call-Center, Datenvernichter, Anwendungsentwicklung, Cloud Service Provider) usw.

Nr. 7 Drittländer sind solche außerhalb der EU/des EWR

Beispiele für internationale Organisationen: Institutionen der UNO, der EU Optionale Angabe: Geeignete Garantien gem. Art. 44 ff. DS-GVO

Die Übermittlung in ein Drittland ist nur zulässig mit

 Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DS-GVO

 Geeigneten Garantien gem. Art 46 Abs. 2 DS-GVO (z.B. BCR, EU-Standardverträge)

 Ausnahmen für bestimmte Fälle gem. Art. 49 DS-GVO.

Nr. 8 Anzugeben sind hier die konkreten Aufbewahrungs-/Löschfristen, die in Verarbeitungstätigkeiten implementiert sind, bezogen auf einzelne Verarbeitungsschritte, falls unterschiedlich.

Soweit diese in einem Löschkonzept dokumentiert sind, reicht der konkrete Verweis auf das vorhandene und in der Verarbeitungstätigkeit umgesetzte Löschkonzept aus.

Nr. 9 Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit.

g i.V.m. Art. 32 Abs. 1 DS-GVO)

Optional kann an dieser Stelle eine knappe Beschreibung der technischen Infrastruktur wie der technischen und organisatorischen Sicherheitsmaßnahmen angegeben werden, um ein besseres Verständnis der allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen (siehe 10.2.) zu ermöglichen

Soweit sich die technischen und organisatorischen Maßnahmen schon aus vorhandenen Sicherheitsrichtlinien/Konzepten/Zertifizierungen ergeben, ist ein konkreter Verweis hierauf ausreichend.

Insbesondere sind hier Abweichungen zu einem übergreifenden Sicherheitskonzept zu dokumentieren. Wenn eine Datenschutz-Folgenabschätzung für die Verarbeitung hohe Risiken ausweist, so sind die zur Bewältigung dieser Risiken getroffenen Sicherheitsvorkehrungen für die Verarbeitung in der Datenschutz-Folgenabschätzung zu dokumentieren. (Art. 35 Abs. 7 lit. d DS- GVO). Ein Verweis auf das Vorhandensein einer Datenschutz-Folgenabschätzung ist eine sinnvolle optionale Angabe (siehe unten).

Optional Im Hinblick auf die vielfältigen Nachweispflichten, denen das Unternehmen im Datenschutz unterliegt, kann es sinnvoll sein, weitere Aspekte zur Verarbeitungstätigkeit zu dokumentieren.

Diese sind nur intern zu verwenden. Zu diesen zusätzlichen Dokumentationen, die sinnvollerweise hier erfolgen, gehören z. B.

 Angaben zur Zusammenstellung der Informationspflichten (insbes. Art. 13,14 DS-GVO)

 Verträge mit Dienstleistern (Art. 28 DS-GVO)

 Vereinbarungen zur gemeinsamen Verantwortung (Art. 26 DS-GVO)

 Eine Bewertung der Risiken der Verarbeitungstätigkeit für die Rechte und Freiheiten natürlicher Personen

durchgeführte Datenschutzfolgeabschätzungen zur Verarbeitungstätigkeit oder einzelnen Verarbeitungsschritten (Art. 35 DS-GVO)

(10)

Verzeichnis von Verarbeitungstätigkeiten des Auftragsdatenverarbeiters

3. Angaben zum Auftragsverarbeiter (Art. 30 Abs. 2 lit. a DS-GVO)

Nr Beschreibung (durch sp&z auszufüllen)

1 Auftragsverarbeiter

Softwarebüro Zauner GmbH & Co. KG Rudolf-Braas-Straße 20

63150 Heusenstamm

2 Gesetzlicher Vertreter

Gerhard J. Mairhofer

Softwarebüro Zauner GmbH & Co. KG

Rudolf-Braas-Straße 20, 63150 Heusenstamm Tel: +49 (0)6104 699 170, Fax: +49 (0)6104 699 184

3 Vertreter in der EU (gemäß Art. 27 DS-GVO) nicht zutreffend

4 Datenschutzbeauftragter

Götz Blechschmidt, msecure GmbH Bajuwarenring 21, 82041 Oberhaching datenschutz@zamik.de

5 Zuständige Aufsichtsbehörde Hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch

Gustav-Stresemann-Ring 1, 65189 Wiesbaden Postfach 31 63, 65021 Wiesbaden

Telefon: (0611) 14 08-0., Telefax: (0611) 14 08-900

poststelle@datenschutz.hessen.de, http://www.datenschutz.hessen.de Tabelle 7 – Angaben zum Auftragsverarbeiter

(11)

3.1. Angaben zur Verarbeitungstätigkeit

Nr. Beschreibung (durch den Auftragsverarbeiter auszufüllen – Erläuterungen siehe Kapitel 2.2)

1 Zweck und Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit ARC Web: Bereitstellung einer Softwarelösung zur Archivierung und Auswertung von

Tachografendaten für Berufskraftfahrer und Fahrzeuge gemäß Verordnung (EG) Nr. 561/2006, FPersG, FPersV und MiLoG

Verwaltung von Kontakt und Vertragsdaten für Support, Informationen und Abrechnung Durchführung von Wartung und Entstörung

Rechtsgrundlage: berechtigtes Interesse an der Vertragserfüllung (Art. 6 Abs. 1 lit. f DS-GVO)

2 Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit C DS-GVO)

Beschäftigte der Kunden (Nutzer) Beschäftigte der sz&p

Fahrpersonal der Kunden (Im Rahmen von Betrieb bzw. Wartung kann sz&p mit diesen Daten in Kontakt kommen)

Anmeldedaten, Kontaktdaten (E-Mail, Telefon) Namen, Kontaktdaten, Anmeldedaten, Zeitdaten Daten der Fahrerkarte: Vorname, Nachname, Geburtsdatum, Fahrerkarte (Nummer, Ausgebestelle, Ausgabedatum, Sprache, Gültigkeit), Führerschein (Nummer,

Ausstellungsbehörde, Ausgebeland), Letzte Kontrollen, Ereignisse und Störungen,

Spezifische Bedingungen, Genutzte Fahrzeuge, Ortsdaten, Zeiterfassungsdaten

Optionale Daten zum Fahrer: Organisatorische Angaben, Anschrift, Führerscheinklassen

3 Kategorien von Empfängern, denen die Daten offengelegt werden (Art. 30 Abs. 1 lit. d DS-GVO) Intern: nur berechtigte Mitarbeiter von sz&p

Extern: Im Normalfall keine Übermittlung.

4 Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 2 lit. c i.V.m Art. 32 Abs. 1 DS-GVO)

Siehe Anlage 2 zur Vereinbarung der Auftragsdatenverarbeitung.

5 Weitere Auftragsverarbeiter (Unterbeauftragung)

Claranet GmbH, Hanauer Landstraße 196, 60314 Frankfurt am Main (IaaS)

Tabelle 8 – Angaben zur Verarbeitungstätigkeit

(12)

3. Dokumentenmanagement

Versionierung

Version Datum Autor(en) Durchgeführte Änderung 1.0 01.04.2018 K. Groß Dokumentenerstellung

1.1 28.04.2020 G. Blechschmidt Überarbeitung

Tabelle 9 – Dokumentenhistorie