Beschreibung einer Verarbeitungstätigkeit
Verzeichnis der Verarbeitungstätigkeiten
Der Datenschutzbeauftragte ist laut Datenschutz-Geschäftsordnung der TUM (TUM-DSGO (mit TUM-Login erreichbar)) verpflichtet, das Verzeichnis aller Verarbeitungstätigkeiten für die TUM zu führen. Hierfür melden die Organisationseinheiten, die eine Verarbeitungstätigkeit verantwortlich durchführen, unaufgefordert die neu aufgenommenen Verarbeitungstätigkeiten sowie wesentliche Änderungen bereits gemeldeter Verarbeitungstätigkeiten (§10 der TUM-DSGO).
Verarbeitungstätigkeiten
Der Begriff Verarbeitungstätigkeit umfasst alle Vorgänge, die im Zusammenhang mit der Verarbeitung personenbezogener Daten entstehen. Dazu zählt der Einsatz eines automatisierten Verfahrens (wie bisher auch) sowie der Einsatz teilautomatisierter und nicht automatisierter Verfahren und die Verarbeitung personenbezogener Daten auf Papier (neu).
Bisher sprachen Datenschützer übrigens von Erhebung, Verarbeitung und Nutzung, dies ist nach dem neuen rechtlichen Sprachgebrauch im Begriff Verarbeitung zusammengefasst, so dass auch eine reine Erhebung von Daten schon eine Verarbeitungstätigkeit darstellt.
Verantwortung
Die Leitung der Organisationseinheit ist für die Meldung einer neuen Verarbeitungstätigkeit bzw. einer Änderung an einer bestehenden Verarbeitungstätigkeit an den Datenschutzbeauftragten verantwortlich.
Meldung an den Datenschutzbeauftragten
Zur Meldung oder Änderung Ihrer Verarbeitungstätigkeit nutzen Sie bitte das Datenschutz Management System (DSMS). Es ist erreichbar unter dem Link:
- https://dsms.datenschutz.tum.de (TUM-Login ist erforderlich)
Das System ist nur im Münchner Wissenschaftsnetz (MWN) erreichbar. Ggf. muss eine EDU-VPN-Verbindung ins LRZ aufgebaut werden. Grundlegende Informationen zum System finden Sie im TUM Wiki Datenschutz. (mit TUM-Login erreichbar)
Das nachfolgende Formular kann als Anlage für Ihre Beschreibung im DSMS nötig sein.
- Beschreibung einer Verarbeitungstätigkeit IT Sicherheit (mit TUM-Login erreichbar)
Sollten sich beim Ausfüllen der Felder im DSMS oder dem Formular Fragen ergeben, wenden Sie sich gerne an support(at)datenschutz.tum.de .
Frühe Einbindung des Datenschutzbeauftragten
Der Datenschutzbeauftragte ist frühzeitig, d.h. bereits bei der Planung eines Einsatzes einer neuer Verarbeitungstätigkeit miteinzubeziehen. Dadurch können datenschutzrechtliche Aspekte von Anfang an berücksichtigt werden, wie z.B.
- bei der Verarbeitung "besonderer Kategorien" personenbezogener Daten lt. Art. 9 DSGVO (dies sind z.B. Gesundheitsdaten, Daten über politische Meinungen, ethnische Herkunft, biometrische Daten,....)
- bei dem Umgang mit großen Mengen an personenbezogenen Daten oder
- wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen könnte.
Wenden Sie sich auch hierfür gerne an support(at)datenschutz.tum.de .
Hinweise
Personenbezogene Daten
Am Begriff der personenbezogenen Daten (z.B. Daten über Beschäftigte, Studierende, externe Gäste, Lieferanten, Probanden, …) hat sich durch die neuen rechtlichen Regelungen keine Änderung ergeben. Dies sind weiterhin alle Informationen, die sich auf eine natürliche Person beziehen.
Rechtmäßigkeit der Verarbeitung
Weiterhin gilt ebenfalls, dass eine Verarbeitung nur möglich ist, wenn es eine Rechtsgrundlage für die Verarbeitung gibt. Diese sind in Art. 6 der DSGVO zu finden. Grob zusammengefasst, muss die Verarbeitung entweder eine Aufgabe der TUM erfüllen oder von allen Betroffenen eine Einwilligung vorliegen bzw. eingeholt werden.