Verarbeitungstätigkeiten
Was ist eine Verarbeitungstätigkeit?
Eine Verarbeitungstätigkeit ist jede Art von Handhabung personenbezogener Daten, wie das Erheben, Speichern, Organisieren, Nutzen, Weitergeben, Ändern oder Löschen von Daten. Jede dieser Aktionen fällt unter den Begriff der Datenverarbeitung und ist gemäß der DSGVO zu dokumentieren. Werden für die Verarbeitung von personenbezogenen Daten IT-Anwendungen (IT-Systeme, Software oder andere digitale Tools) herangezogen, müssen auch die erfasst werden. Diese dokumentation wird in dem Verzeichnis für Verarbeitungstätigkeiten geführt.
VVZ – einfach erklärt
Ein Verarbeitungsverzeichnis (VVZ) ist eine Übersicht, die alle Datenverarbeitungsprozesse eines Unternehmens oder einer Organisation dokumentiert. Es enthält wichtige Informationen wie die Zwecke der Verarbeitung, die Arten von verarbeiteten Daten, die betroffenen Personen und die Empfänger der Daten. Das Verzeichnis ist gem. Art 30 DSGVO verpflichtend zu führen.
Warum ist ein VVZ zu führen?
Klarheit und Übersicht: Es hilft dabei, alle Datenverarbeitungsprozesse an der Universität strukturiert darzustellen, sodass man jederzeit weiß, welche Daten wie und zu welchem Zweck verarbeitet werden.
Rechtliche Absicherung: Das VVZ erfüllt das Prinzip der Rechenschaftspflicht und dient dem Nachweis der datenschutzkonformen Verarbeitung personenbezogener Daten.
Erkennung von Risiken: Durch das Führen des VVZ können potenzielle Risiken für die Rechte und Freiheiten natürlicher Personen schnell erkannt und geeignete Schutzmaßnahmen ergriffen werden.
Effiziente Verwaltung: Es erleichtert die Verwaltung aller Datenschutzfragen, da alle relevanten Informationen gebündelt und leicht zugänglich sind.
Wer ist für das Führen des VFVZ zuständig?
Die Datenschutzkoordination ist für die Pflege des VVZ verantwortlich, während die Bereichsverantwortlichen (Leiter:innen von Organisationseinheiten, Instituten und Forschungsprojekten) sicherstellen, dass die Datenverarbeitung in ihrem Zuständigkeitsbereich korrekt erfolgt. Gemeinsam gewährleisten sie, dass das VVZ auf aktuellem Stand gehalten wird.
Meldung einer neuen Verarbeitungstätigkeit oder Anwendung
Um das VVZ aktuell zu halten, ist es wichtig, neue Verarbeitungstätigkeiten vor deren Einführung der Datenschutzkoordination zu melden. Diese Meldung sorgt dafür, dass alle Beteiligten – sowohl intern als auch extern – informiert sind, welche personenbezogenen Daten verarbeitet werden, zu welchem Zweck und auf welcher rechtlichen Grundlage dies geschieht.
Die Änderungen einer bestehenden Verarbeitungstätigkeit oder die Beendigung einer Verarbeitsungstätigkeit ist auch unverzüglich der Datenschutzkoordination zu melden.
Ist es geplant, eine neue Anwendung (IT-System, Software oder digitales Tool) einzuführen, und sollen personenbezogene Daten verarbeitet werden, ist dies der Datenschutzkoordination zu melden. Sollen personenbezogene Daten von Mitarbeitern und Mitarbeiterinnen der Universität verarbeitet werden, ist die Anwendung vor Einführung dem Datenschutzgremium der Universität Innsbruck vorzustellen, welches die datenschutzkonforme Umsetzung überprüft.
Hier finden Sie das Anmeldungsformular: Meldung einer Verarbeitungstätigkeit
Die Datenschutzkoordination hilft Ihnen bei Fragen und Problemen gerne weiter.
Beispiel 1: Verarbeitungstätigkeit in der Verwaltung
Beispiel 2: Verarbeitungstätigkeit in der Forschung
Auftragsverarbeitung
Eine Auftragsverarbeitung nach der DSGVO liegt vor, wenn ein Unternehmen oder eine Organisation (der/die Auftragsverarbeiter*in) personenbezogene Daten im Auftrag eines anderen Unternehmens oder einer anderen Organisation (dem/der Auftraggeber*in) verarbeitet. Der/die Auftragsverarbeiter*in handelt dabei nur nach den Weisungen des Auftraggebers/der Auftraggeberin, eine Nutzung der Daten für eigene oder nicht in Auftrag gegebene Zwecke ist unzulässig.
Der/die Auftragsverarbeiter*in hat geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten. Den/die Auftraggeber*in trifft eine Sorgfaltspflicht bei der Wahl des Auftragsverarbeiters/der Auftragsverarbeiterin.
Ein Beispiel für Auftragsverarbeitung ist, wenn ein Unternehmen einen externen Dienstleister mit der Verwaltung der IT-Infrastruktur oder der Speicherung von Kund*innendaten beauftragt. Das Unternehmen bleibt als Verantwortlicher (Auftraggeber*in) für die Datenverarbeitung verantwortlich, während der Dienstleister als Auftragsverarbeiter*in agiert.
Gem. Art 28 DSGVO ist ein Auftragsverarbeitungsvertrag zu schließen, der die Bedingungen und Verantwortlichkeiten klar regelt. Nähere Informationen zum Auftragsverarbeitungsvertrag finden Sie hier.
Vorlagen: