Version: 1.1
Stand: 28.04.2020 Status: Final Klassifizierung: Intern Verantwortlich: DSB
für den Verantwortlichen und den Auftragsdatenverarbeiter
Verzeichnis der Verarbeitungstätigkeit
Stand: 28.04.2020 Seite: 2 von 12 Softwarebüro Zauner GmbH & Co. KG
Rudolf-Braas-Straße 20 | 63150 Heusenstamm | Deutschland
Inhaltsverzeichnis
1. Angaben zum Verantwortlichen (Art. 30 Abs. 1 lit. a DS-GVO) ... 3
1.1. Erläuterungen ... 4
2. Angaben zur Verarbeitungstätigkeit und zur Verantwortlichkeit (Art. 30 Abs. 1 lit. b DS- GVO) ... 5
2.1. Angaben zur Verarbeitungstätigkeit ...5
2.2. Weitere Dokumentationen zur Verarbeitungstätigkeit ... 7
2.3. Erläuterungen ... 7
1. Angaben zum Auftragsdatenverarbeiter und Verantwortlichen – (Art. 30 Abs. 2 lit. a DS- GVO) ... 10
1.1. Angaben zum Auftragsdatenverarbeiter ... 10
1.2. Erläuterungen ... 11
1.3. Angaben zum Verantwortlichen (Kunden) ... 12
1.4. Erläuterungen ... 13
2. Angaben zur Verarbeitungstätigkeit ...14
2.1 Angaben zur Verarbeitungstätigkeit ... 14 2.2 Erläuterungen ...15
3. Dokumentenmanagement ... 17
Tabellenverzeichnis
Tabelle 1 – Angaben zum Verantwortlichen... 4Tabelle 2 – Erläuterungen ... 4
Tabelle 3 – Angaben zur Verantwortlichkeit ... 5
Tabelle 4 – Angaben zur Verarbeitungstätigkeit ... 6
Tabelle 5 – Optionale Dokumentationen ... 7
Tabelle 6 – Erläuterungen ... 9
Tabelle 7 – Angaben zum Auftragsdatenverarbeiter ...11 Tabelle 8 – Erläuterungen ...11
Tabelle 9 – Angaben zum Verantwortlichen (Kunden) ...12
Tabelle 10 – Erläuterungen ...13
Tabelle 11 – Angaben zur Verarbeitungstätigkeit ... 14 Tabelle 12 – Erläuterungen ...16 Tabelle 13 – Dokumentenhistorie ...17
Anlage 1 zur ADV
Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen
1. Angaben zum Verantwortlichen (Art. 30 Abs. 1 lit. a DS-GVO)
Nr Beschreibung (durch den Kunden auszufüllen – Erläuterungen siehe Kapitel 1.1) 1 Verantwortlicher
2 Gesetzlicher Vertreter
3 Vertreter in der EU (gemäß Art. 27 DS-GVO) – optional
4 Datenschutzbeauftragter
5 Zuständige Aufsichtsbehörde
6 Regelungen zur Datensicherheit
7 Regelungen zur Datenlöschung
8 Sachverhalte zu Drittstaatenübermittlungen
Tabelle 1 – Angaben zum Verantwortlichen Klicken Sie hier, um Ihre Firma und Anschrift einzugeben.
Klicken Sie hier, um Namen/Kontakte Ihrer Geschäftsführer einzugeben.
Klicken Sie hier, um Name und Anschrift Ihres Vertreters in der EU einzugeben.
Klicken Sie hier, um Namen/Kontakte Ihrer/s Datenschutzbeauftragten einzugeben.
Klicken Sie hier, um die zuständige Datenschutzaufsichtsbehörde einzugeben.
Klicken Sie hier, um übergreifende IT-Sicherheitskonzepte einzugeben.
Klicken Sie hier, um übergreifende Löschkonzepte einzugeben.
Klicken Sie hier, um übergreifende Sachverhalte zur Datenübermittlung einzugeben.
Stand: 28.04.2020 Seite: 4 von 12 Softwarebüro Zauner GmbH & Co. KG
Rudolf-Braas-Straße 20 | 63150 Heusenstamm | Deutschland
1.1. Erläuterungen
Nr. Beschreibung
Nr. 1 Verantwortlicher ist jede Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO)
Angaben:
Nr. 2 Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter
Angaben:
Nr. 3 Bei Unternehmen ohne Niederlassung in der Europäischen Union ist hier der benannte Vertreter des Verantwortlichen (Art. 4 Nr. 17 DS-GVO, Art. 27 Abs. 1 DS-GVO) anzugeben.
Nr. 4 Vom Verantwortlichen bestellter Datenschutzbeauftragter Angaben:
Nr. 5 Adresse der für den Verantwortlichen zuständigen Datenschutzaufsichtsbehörde entsprechend (Bundes-) Land der Unternehmenszentrale
Angaben:
Nr. 6 Gegebenenfalls Verweise auf übergreifende Regelungen (falls solche existieren, die grds.
alle Verarbeitungen betreffen) – Der Verweis an dieser Stelle auf übergreifende Regelungen entbindet nicht von der Dokumentation von ggf. erforderlichen Abweichungen zu den einzelnen Verarbeitungstätigkeiten.
Verweis z.B. auf ein IT-Sicherheitskonzept, das alle Verarbeitungstätigkeiten einschließt.
Eventuell auch Verweise auf relevante Dokumente eines ISMS nach ISO27001.
Nr. 7 Verweis auf Löschkonzepte, die grundsätzlich für alle Verarbeitungen gelten.
Nr. 8 Ein Verweis auf Regelungen zur Drittstaatenübermittlung ist hier sinnvoll, wenn alle oder die Mehrzahl der Verarbeitungen hierdurch geregelt werden, z.B. durch Binding Corporate Rules (BCR).
Tabelle 2 – Erläuterungen
Name/Firma, Anschrift, ggf. weitere Verantwortliche (Art. 26 DS-GVO)1
Namen der geschäftsführenden Personen1
Name, Kontaktdaten1
Behörde, Adresse1
2. Angaben zur Verarbeitungstätigkeit und zur Verantwortlichkeit (Art. 30 Abs. 1 lit. b DS-GVO)
Nr. Beschreibung (durch den Kunden auszufüllen – Erläuterungen siehe Kapitel 2.1)
1 Bezeichnung der Verarbeitungstätigkeit
Archivierung und Auswertung von Tachografendaten für Berufskraftfahrer und Fahrzeuge (ARC)
2 Zuständiger Fachbereich/verantwortliche Führungskraft (optional)
3 Bei mehreren Zuständigen (optional)
Tabelle 3 – Angaben zur Verantwortlichkeit
Klicken Sie hier, um Namen/Kontakte des zuständigen Bereichs einzugeben.
Klicken Sie hier, um Namen/Kontakte der weiteren Verantwortlichen einzugeben.
Stand: 28.04.2020 Seite: 6 von 12 Softwarebüro Zauner GmbH & Co. KG
Rudolf-Braas-Straße 20 | 63150 Heusenstamm | Deutschland
Nr. Beschreibung (durch den Kunden auszufüllen – Erläuterungen siehe Kapitel 2.1)
4 Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit
Die Verarbeitung erfolgt zur Erfüllung gesetzlicher Vorschriften (Art. 6 Abs. 1 lit. c DSGVO), hier:
Verordnung (EG) Nr. 561/2006, FPersG, FPersV und MiLoG
5 Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit C DS-GVO)
5.1 Betroffene Personengruppen 5.2 Kategorien personenbezogener Daten
☒Fahrer Daten der Fahrerkarte: Vorname, Nachname, Geburtsdatum, Fahrerkarte (Nummer, Ausgebestelle, Ausgabedatum, Sprache, Gültigkeit), Führerschein (Nummer,
Ausstellungsbehörde, Ausgebeland), Letzte Kontrollen,
Ereignisse und Störungen, Spezifische Bedingungen, Genutzte Fahrzeuge, Ortsdaten, Zeiterfassungsdaten
Optionale Daten zum Fahrer: Organisatorische Angaben, Anschrift, Führerscheinklassen
☒Nutzer Nachname, Vorname, Nutzername, Kennwort, Berechtigungen, Log-Daten
☐Sonstige (bitte angeben)
6 Kategorien von Empfängern, denen die Daten offengelegt werden (Art. 30 Abs. 1 lit. d DS-GVO) Interne Empfänger:
☐ Fachabteilung(en)
☐ Geschäftsführung
☐ IT-Administration
☐
Externe Empfänger
☐ Behörden
☐ IT-Dienstleister
☐
Sonstige
Klicken Sie hier, um weitere interne Empfänger einzugeben
Klicken Sie hier, um weitere externe Empfänger einzugeben1
7 Datenübermittlungen in Drittländer (Art. 30 Abs. 1 e DS-GVO)
☐Ja
☒Nein
Name des Drittlandes / der internationalen Organisation (DS-GVO):
Geeignete, ggf. vereinbarte Garantien (optionale Angabe)
☐Anerkannter Drittstaat
☐EU-Standardvertrag C/C
☐EU-Standardvertrag C/P
☐Aufsichtsbehördlich genehmigter Vertrag
☐BCR
☐Andere: Klicken Sie hier, um die Angaben einzugeben.
8 Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO)
Siehe ADV sz&p Kapitel 11
9 Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO)
Siehe Anlage 2, Datenschutz-Konzept sz&p
Tabelle 4 – Angaben zur Verarbeitungstätigkeit
2.1. Weitere Dokumentationen zur Verarbeitungstätigkeit
Optional z. B.:
Zu Informationspflichten
Zu Verträgen mit Dienstleistern
Zu Vereinbarungen zur gemeinsamen Verantwortung
Zu durchgeführten Datenschutzfolgeabschätzungen zur Verarbeitungstätigkeit oder einzelnen Verarbeitungsschritten
Tabelle 5 – Optionale Dokumentationen Klicken Sie hier, um das Drittland oder die Organisation einzugeben.
Klicken Sie hier, um die Angaben einzugeben.
Stand: 28.04.2020 Seite: 8 von 12 Softwarebüro Zauner GmbH & Co. KG
Rudolf-Braas-Straße 20 | 63150 Heusenstamm | Deutschland
2.1. Erläuterungen
Nr. Beschreibung
Nr. 1 Eindeutige Bezeichnung der dokumentierten Verarbeitung/der Verarbeitungstätigkeit auf Grundlage eines Fachprozesses. Es sollte eine im Unternehmen geläufige Bezeichnung des Fachprozesses gewählt werden.
Beispiele: Allgemeine Kundenverwaltung, Customer-Relationship-Management (CRM)
Nr. 2 Nach der Unternehmensorganisation für die konkrete Verarbeitungstätigkeit zuständige Fachbereich / Führungskraft (sofern möglich und sinnvoll, zumindest als Funktionsbezeichnung) Falls mehrere Legaleinheiten gemeinsam für die Verarbeitungstätigkeiten zuständig sind, z.B.
innerhalb einer Unternehmensgruppe, sind hier Name und Kontaktdaten des/der weiteren Zuständigen anzugeben.
Nr. 3 Beispiele:
Verarbeitungstätigkeit: „Allgemeine Kundenverwaltung“; verfolgte Zweckbestimmungen:
„Auftragsbearbeitung, Buchhaltung und Inkasso“
Verarbeitungstätigkeit: „Customer-Relationship-Management“; verfolgte Zweckbestimmungen:
„Dokumentation und Verwaltung von Kundenbeziehungen, Marketing, Neukundenakquise, Kundenbindung, Kundenberatung, Beschwerdemanagement, Kündigungsprozess“
Eine Verarbeitungstätigkeit kann mehrere Teil-Geschäftsprozesse zusammenfassen.
Dementsprechend kann eine Verarbeitung auch mehrere Zwecke umfassen, so dass auch mehrere Zweckbestimmungen angegeben werden können. Die erforderliche Detailtiefe hängt von der Geschäftstätigkeit des Verantwortlichen ab.
Es können neben dem Fachprozess auch begleitende mitarbeiterbezogene Unterstützungsprozesse vorliegen wie z.B. zur Personalführung/-einsatzplanung. Diese können entweder als Teil einer anderen Verarbeitung, oder als eigene Verarbeitung beschrieben sein.
Nr. 4 Die Nennung der einschlägigen Rechtsgrundlage ist für Accountability-Pflichten und die Gewährleistung von transparenzpflichten ggü. betroffenen Personen notwendig.
Nr. 5 Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit. c DS-GVO)
Nr. 5.1 Als betroffene Personengruppen kommen beispielsweise Kunden, Interessenten, Arbeitnehmer, Schuldner, Versicherungsnehmer usw. in Betracht.
Nr. 5.2 Den einzelnen Personengruppen, sind die jeweils auf sie bezogenen verwendeten Daten oder Datenkategorien zuzuordnen. Damit sind keine personenbezogenen Daten, sondern Datenbezeichnungen gemeint (z.B. „Adresse“, „Geburtsdatum“, „Bankverbindung“).
Datenkategorien sind möglichst konkret anzugeben. Nicht ausreichend wäre etwa „Kundendaten“.
Beispiele:
Kundendaten: Adressdaten, Kontaktkoordinaten (Telefon, Fax, E-Mail), Geburtsdatum, Vertragsdaten, Bonitätsdaten, Betreuungsinformationen einschließl. Kundenentwicklung, Produkt- bzw. Vertragsinteresse, Abrechnungs- und Leistungsdaten, Bankverbindung
Beschäftigtendaten (Lohn und Gehalt): Kontakte, Bankverbindung, Sozialversicherungsdaten, etc.
Nr. 6 Empfängerkategorien sind insbesondere am Prozess beteiligte weitere Stellen des Unternehmens/Konzerns oder andere Gruppen von Personen oder Stellen, die Daten – ggf. über Schnittstellen – erhalten z.B. in den Prozess eingebundene weitere Fachabteilungen, Vertragspartner, Kunden, Behörden, Versicherungen, Auftragsverarbeiter (z.B.
Dienstleistungsrechenzentrum, Call-Center, Datenvernichter, Anwendungsentwicklung, Cloud Service Provider) usw.
Nr. 7 Drittländer sind solche außerhalb der EU/des EWR
Beispiele für internationale Organisationen: Institutionen der UNO, der EU Optionale Angabe: Geeignete Garantien gem. Art. 44 ff. DS-GVO
Die Übermittlung in ein Drittland ist nur zulässig mit
Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DS-GVO
Geeigneten Garantien gem. Art 46 Abs. 2 DS-GVO (z.B. BCR, EU-Standardverträge)
Ausnahmen für bestimmte Fälle gem. Art. 49 DS-GVO.
Nr. 8 Anzugeben sind hier die konkreten Aufbewahrungs-/Löschfristen, die in Verarbeitungstätigkeiten implementiert sind, bezogen auf einzelne Verarbeitungsschritte, falls unterschiedlich.
Soweit diese in einem Löschkonzept dokumentiert sind, reicht der konkrete Verweis auf das vorhandene und in der Verarbeitungstätigkeit umgesetzte Löschkonzept aus.
Nr. 9 Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit.
g i.V.m. Art. 32 Abs. 1 DS-GVO)
Optional kann an dieser Stelle eine knappe Beschreibung der technischen Infrastruktur wie der technischen und organisatorischen Sicherheitsmaßnahmen angegeben werden, um ein besseres Verständnis der allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen (siehe 10.2.) zu ermöglichen
Soweit sich die technischen und organisatorischen Maßnahmen schon aus vorhandenen Sicherheitsrichtlinien/Konzepten/Zertifizierungen ergeben, ist ein konkreter Verweis hierauf ausreichend.
Insbesondere sind hier Abweichungen zu einem übergreifenden Sicherheitskonzept zu dokumentieren. Wenn eine Datenschutz-Folgenabschätzung für die Verarbeitung hohe Risiken ausweist, so sind die zur Bewältigung dieser Risiken getroffenen Sicherheitsvorkehrungen für die Verarbeitung in der Datenschutz-Folgenabschätzung zu dokumentieren. (Art. 35 Abs. 7 lit. d DS- GVO). Ein Verweis auf das Vorhandensein einer Datenschutz-Folgenabschätzung ist eine sinnvolle optionale Angabe (siehe unten).
Optional Im Hinblick auf die vielfältigen Nachweispflichten, denen das Unternehmen im Datenschutz unterliegt, kann es sinnvoll sein, weitere Aspekte zur Verarbeitungstätigkeit zu dokumentieren.
Diese sind nur intern zu verwenden. Zu diesen zusätzlichen Dokumentationen, die sinnvollerweise hier erfolgen, gehören z. B.
Angaben zur Zusammenstellung der Informationspflichten (insbes. Art. 13,14 DS-GVO)
Verträge mit Dienstleistern (Art. 28 DS-GVO)
Vereinbarungen zur gemeinsamen Verantwortung (Art. 26 DS-GVO)
Eine Bewertung der Risiken der Verarbeitungstätigkeit für die Rechte und Freiheiten natürlicher Personen
durchgeführte Datenschutzfolgeabschätzungen zur Verarbeitungstätigkeit oder einzelnen Verarbeitungsschritten (Art. 35 DS-GVO)
Stand: 28.04.2020 Seite: 10 von 12 Softwarebüro Zauner GmbH & Co. KG
Rudolf-Braas-Straße 20 | 63150 Heusenstamm | Deutschland
Verzeichnis von Verarbeitungstätigkeiten des Auftragsdatenverarbeiters
3. Angaben zum Auftragsverarbeiter (Art. 30 Abs. 2 lit. a DS-GVO)
Nr Beschreibung (durch sp&z auszufüllen)
1 Auftragsverarbeiter
Softwarebüro Zauner GmbH & Co. KG Rudolf-Braas-Straße 20
63150 Heusenstamm
2 Gesetzlicher Vertreter
Gerhard J. Mairhofer
Softwarebüro Zauner GmbH & Co. KG
Rudolf-Braas-Straße 20, 63150 Heusenstamm Tel: +49 (0)6104 699 170, Fax: +49 (0)6104 699 184
3 Vertreter in der EU (gemäß Art. 27 DS-GVO) nicht zutreffend
4 Datenschutzbeauftragter
Götz Blechschmidt, msecure GmbH Bajuwarenring 21, 82041 Oberhaching datenschutz@zamik.de
5 Zuständige Aufsichtsbehörde Hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch
Gustav-Stresemann-Ring 1, 65189 Wiesbaden Postfach 31 63, 65021 Wiesbaden
Telefon: (0611) 14 08-0., Telefax: (0611) 14 08-900
poststelle@datenschutz.hessen.de, http://www.datenschutz.hessen.de Tabelle 7 – Angaben zum Auftragsverarbeiter
3.1. Angaben zur Verarbeitungstätigkeit
Nr. Beschreibung (durch den Auftragsverarbeiter auszufüllen – Erläuterungen siehe Kapitel 2.2)
1 Zweck und Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit ARC Web: Bereitstellung einer Softwarelösung zur Archivierung und Auswertung von
Tachografendaten für Berufskraftfahrer und Fahrzeuge gemäß Verordnung (EG) Nr. 561/2006, FPersG, FPersV und MiLoG
Verwaltung von Kontakt und Vertragsdaten für Support, Informationen und Abrechnung Durchführung von Wartung und Entstörung
Rechtsgrundlage: berechtigtes Interesse an der Vertragserfüllung (Art. 6 Abs. 1 lit. f DS-GVO)
2 Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit C DS-GVO)
Beschäftigte der Kunden (Nutzer) Beschäftigte der sz&p
Fahrpersonal der Kunden (Im Rahmen von Betrieb bzw. Wartung kann sz&p mit diesen Daten in Kontakt kommen)
Anmeldedaten, Kontaktdaten (E-Mail, Telefon) Namen, Kontaktdaten, Anmeldedaten, Zeitdaten Daten der Fahrerkarte: Vorname, Nachname, Geburtsdatum, Fahrerkarte (Nummer, Ausgebestelle, Ausgabedatum, Sprache, Gültigkeit), Führerschein (Nummer,
Ausstellungsbehörde, Ausgebeland), Letzte Kontrollen, Ereignisse und Störungen,
Spezifische Bedingungen, Genutzte Fahrzeuge, Ortsdaten, Zeiterfassungsdaten
Optionale Daten zum Fahrer: Organisatorische Angaben, Anschrift, Führerscheinklassen
3 Kategorien von Empfängern, denen die Daten offengelegt werden (Art. 30 Abs. 1 lit. d DS-GVO) Intern: nur berechtigte Mitarbeiter von sz&p
Extern: Im Normalfall keine Übermittlung.
4 Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 2 lit. c i.V.m Art. 32 Abs. 1 DS-GVO)
Siehe Anlage 2 zur Vereinbarung der Auftragsdatenverarbeitung.
5 Weitere Auftragsverarbeiter (Unterbeauftragung)
Claranet GmbH, Hanauer Landstraße 196, 60314 Frankfurt am Main (IaaS)
Tabelle 8 – Angaben zur Verarbeitungstätigkeit
Stand: 28.04.2020 Seite: 12 von 12 Softwarebüro Zauner GmbH & Co. KG
Rudolf-Braas-Straße 20 | 63150 Heusenstamm | Deutschland
3. Dokumentenmanagement
Versionierung
Version Datum Autor(en) Durchgeführte Änderung 1.0 01.04.2018 K. Groß Dokumentenerstellung
1.1 28.04.2020 G. Blechschmidt Überarbeitung
Tabelle 9 – Dokumentenhistorie