Beschreibung einer Verarbeitungstätigkeit

Ähnliche Dokumente
Welche Verarbeitungstätigkeiten sind in das Verzeichnis aufzunehmen?

Datenschutzreform 2018

Informationen gemäß Artikel 13 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

Informationen gemäß Artikel 14 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

Muster-Informationspflichten nach Art. 13 DSGVO (Datenerhebung direkt beim Betroffen) und nach Art. 14 DSGVO (Datenerhebung über Dritte)

Bayerisches Staatsministerium des Innern, für Bau und Verkehr. Arbeitshilfen

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) des Vereins

Verzeichnis der Verarbeitungstätigkeiten

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Verfahrensbeschreibung

Fortsetzung der Mittagsbetreuung

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

Datenschutzinformation für unsere Mitglieder

Nachfolgend erhalten Sie die ausführlichen Informationen zum Thema Datenschutz bei Schwarzer:

Antrag auf Erteilung der Erlaubnis zum Betrieb einer Spielhalle oder eines ähnlichen Unternehmens nach 33 i Gewerbeordnung (GewO)

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

Ä n d e r u n g bzw. A b m e l d u n g zur Mittagsbetreuung

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO) Liebe Teilnehmerinnen und Teilnehmer an unseren Gewinnspielen,

Merkblatt zur Erhebung von personenbezogenen Daten (Informationspflicht nach Art. 13 DS-GVO - Direkterhebung beim Betroffenen)

Verzeichnisführungspflicht

Pflichtinformation gemäß Art. 12 ff DSGVO

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Antrag auf Erteilung einer Reisegewerbekarte

Anschrift,, (Postleitzahl) (Ort) (Straße, Nr.) bei juristischen Personen) Anschrift,, (Postleitzahl) (Ort) (Straße, Nr.)

Antrag auf freiwillige Leistungen aus dem Projekt Kleine Hilfen für Alleinstehende, Senioren und alleinerziehende Frauen und Männer der Stadt Augsburg

Informationen gemäß Artikel 13 Absatz 3 und Absatz 2 DSGVO aufgrund nachträglicher Zweckänderung

Eni Schmiertechnik GmbH Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

UNSER UMGANG MIT IHREN DATEN UND IHRE RECHTE INFORMATIONEN NACH ART. 13, 14 UND 21 DER EU- DATENSCHUTZ- GRUNDVERORDNUNG (DSGVO)

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Informationen zur Verarbeitung personenbezogener Daten von Geschäftspartnern

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

DATENSCHUTZHINWEISE nach DS-GVO

PVU Energienetze GmbH, Feldstraße 27a, Perleberg, Tel.: 03876/ , Fax: 03876/ ,

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

Gesetzlich vertreten durch: Matthias Kellermann (CEO), Michael Wagner (CTO)

Anlage 7 Beiblatt für unmittelbar mitwirkende Arbeitnehmer/innen

Hinweise zur Datenverarbeitung

1. Angaben Teilnehmer/in

Datenschutzinformationen für Kunden und Interessenten der ML Gruppe

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO (Verantwortlicher)

Erfüllung rechtlicher Verpflichtungen (z. B. wegen handels- oder steuerrechtlicher Vorgaben) auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO.

Merkblatt zur Erhebung von personenbezogenen Daten (Informationspflicht nach Art. 14 DS-GVO - keine Direkterhebung beim Betroffenen)

Umgang mit Ihren Daten und Ihre Rechte Informationen nach Art.13, 14 und 21 der Datenschutz- Grundverordnung (DSGVO)

UNSER UMGANG MIT IHREN DATEN UND IHRE RECHTE INFORMATIONEN NACH ART. 13, 14 UND 21 DER EUDATENSCHUTZ-GRUNDVERORDNUNG (DSGVO)

DATENSCHUTZ IM VEREIN UND ORGANISATIONEN EU DSGVO. Jürgen Funke.

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

TRANSPARENZ- UND INFORMATIONSPFLICHTEN

Handakte. Dr. Roland Müller-Jena. Rechtsanwalt. Angaben des Auftraggebers

DSGVO Die DSGVO kommt am 25. Mai Gut vorbereitet auf die DSGVO

Information zur Verarbeitung Ihrer Bewerberdaten

EIFELER METALL- UND ZINKWERKE AG

Datenschutzinformation

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Sparkasse Heidelberg IBAN DE SWIFT-BIC SOLADES1HDB Steuernummer 32081/ , Finanzamt Heidelberg, VR

Datenschutzinformationen für Bewerber/innen

Datenschutzinformation der SPECTRO Analytical Instruments GmbH nach Art. 13, 14 und 21 DSGVO

TRANSPARENZ- UND INFORMATIONSPFLICHTEN

Informationspflichten nach Art. 12 und 13 DSGVO

DATENSCHUTZ in der Praxis

Informationsblatt für Lieferanten und Dienstleistern zur Datenverarbeitung gemäß Art. 13 und 14 DS-GVO

Spezielle Sicherheitsfragen

Formblatt zu Nummer 1.3 der Dateienrichtlinie-Polizei.... <Bezeichnung des Verfahrens>

INFORMATION gemäß Artikel 13, Artikel 14 DSGVO

Datenschutzinformation für Bewerber

A-s Informationspflicht gegenüber Kunden

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

1. Name und Kontaktangaben des Verantwortlichen (Art. 13 Abs. 1 lit. a) DS-GVO. -Adresse Fax-Nr. Telefon-Nr.

DATENSCHUTZERKLÄRUNG DER BUNDESARCHITEKTENKAMMER e.v. (BAK) ZU BEWERBUNGEN

der Ottmar Buchberger GmbH zu Bewerbungen

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Absender: Vorname/-n (Rufname bitte unterstreichen): Im Handels-, Genossenschafts- oder Vereinsregistergericht eingetragener Name mit Rechtsform:

Datenschutzhinweise LBG (Ludewig, Busch, Gloe)

isdacom GmbH Datenschutzhinweise für Bewerber/innen

Informationen zur Umsetzung der datenschutzrechtlichen Vorgaben der Artikel 12 bis 14 der Datenschutz-Grundverordnung 1 in der Justizverwaltung

Informationspflichten aus Art. 13 und 14 DS-GVO

Datenschutzerklärung für Bewerber

I. Name und Anschrift der Verantwortlichen sowie des Datenschutzbeauftragen

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person - Art. 13 DSGVO

Unser Umgang mit Ihren Daten und Ihre Rechte Informationen nach Art. 13, 14 und 21 der EU-Datenschutz-Grundverordnung (DSGVO) für unsere Kunden

Verfahrensbeschreibung Teil A (öffentlich) nach 9 Absatz 1 Nummern 1 bis 7 HmbDSG

Dokumentation der Verarbeitungstätigkeit

Datenschutzinformationen für Kunden und Interessenten der designfunktion Holding GmbH. Sehr geehrte Kunden, sehr geehrte Interessenten,

Hinweise zur Datenverarbeitung

Information über die Verarbeitung Ihrer personenbezogenen Daten im Bewerbungsverfahren

Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO)

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Datenschutzerklärung der Firma Bell Flavors & Fragrances zu Bewerbungen

1. Wer ist für die Verarbeitung meiner personenbezogenen Daten verantwortlich und an wen kann ich mich bei Fragen wenden?

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen

Anlage 5 Beiblatt für weitere gesetzliche Vertreter/-innen juristischer Personen

2. Antragsteller/-in bzw. Erlaubnis(-befreiungs)inhaber/-in nach 34d Absatz 1 GewO bzw. 34d Absatz 2 bzw. 34d Absatz 6 GewO:

Transkript:

Beschreibung einer Verarbeitungstätigkeit 1. Allgemeine Angaben Bezeichnung der Verarbeitungstätigkeit Aktenzeichen Stand OK.FIS Kameral Haushalts-, Kassen und Rechnungswesen 11.12.2018 Verantwortlicher (Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer der öffentlichen Stelle) Gemeinde Penzing Fritz-Börner-Str. 11 86929 Penzing Email: info@penzing.de Telefon: 08191/9840-0 Falls zutreffend: Angaben zu weiteren gemeinsam für die Verarbeitung Verantwortlichen (jeweils Bezeichnung, Anschrift, E- Mail-Adresse und Telefonnummer) Behördlicher Datenschutzbeauftragter (Name, dienstliche Anschrift, E-Mail-Adresse, Telefonnummer) Secure Consult GmbH & Co.KG Keplerstr. 5 86529 Schrobenhausen Email: dsb.penzing@secure-consult.com Telefon: 08252/9094110 2. Zwecke und Rechtsgrundlagen der Verarbeitung Zwecke Haushaltsplanung Anordnungswesen Buchhaltung/Kasse Jahresabschluss Forderungsmanagement Zahlungsverkehr Vollstreckung Rechtsgrundlagen Art. 6 DSGVO, Art. 4 BayDSG-E i.v.m. Kommunalhaushaltsverordnung Kameralistik (KommHV- Kameralistik), 82, 89, 90, 95, 96 Insolvenzverordnung (InsO) 3. Kategorien der personenbezogenen Daten Nr. Bezeichnung der Daten 1 Finanzadressen 1.1 Zahlungspflichtige 1.1.1 Name 1.1.2 Vorname 10-2018 www.secure-consult.com Seite 1 von 10

1.1.3 Name 1 bis Name 5 bei natürlichen Personen 1.1.4 Geburtsdatum 1.1.5 Kontaktdaten 1.1.5.1 Straße 1.1.5.2 Hausnummer 1.1.5.3 Hausnummerzusatz (alphanumerisch) 1.1.5.4 Nationenkennzeichen 1.1.5.5 Postleitzahl 1.1.5.6 Postleitzahl Hausanschrift 1.1.5.7 Ort 1.1.5.8 Postfach 1.1.5.9 Postleitzahl Postfachanschrift 1.1.5.10 Telefon-Nummer (optional) 1.1.5.11 Fax-Nummer (optional) 1.1.5.12 Email-Adresse (optional) 1.1.5.13 Internet-Adresse (optional) 1.1.6 Kennzeichen Insolvenz 1.1.7 Umsatzsteuer-ID 1.1.8 Bankverbindung 1.1.8.1 Bankleitzahl 1.1.8.2 Kontonummer 1.1.8.3 BIC 1.1.8.4 IBAN 1.1.8.5 Abweichender Kontoinhaber 1.1.8.6 Eigenschaft geschäftlich/privat 1.1.8.7 Mandat 1.2 Zahlungsempfänger (Datenumfang wie 1.1) 1.3 Gesetzlicher Vertreter (Datenumfang wie 1.1) 1.4 Zustellvertreter (Datenumfang wie 1.1) 2 Eigenschaft einer Finanzadresse - Zahlungspflichtiger - Zahlungsempfänger 4. Kategorien der betroffenen Personen Nr. Betroffene Personen 1. Natürliche und juristische Personen 10-2018 www.secure-consult.com Seite 2 von 10

2. Zahlungspflichtige und Empfänger 3. Benutzer des Verfahrens OK.FIS Kameral 4. Sachbearbeiter/innen in Kämmereien, Kassen und Anordnungsdienststellen 5. Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen Ja, es erfolgt Datenübermittlung Nr. Empfänger Anlass der Offenlegung 1 Banken und Sparkassen sowie Clearingstellen der Banken (Leitbanken) 1.1 Finanz Informatik 1.2 Fiducia IT AB 1.3 Hypo Vereinsbank 1.4 Postbank 1.5 SEB Bank 1.6 Commerzbank 1.7 Deutsche Bank 1.8 Sozialbank 1.9 GAD (IT-Dientleiste4r der nord- und westdeutschen Genossenschaftsbanken) Durchführung von Gut- und Lastschriften bzw. Weiterleitung innerhalb und außerhalb ihres Bankenverbundes. Die Weiterleitung von Zahlungsverkehrsdaten erfolgt in der Regel täglich. Zur Durchführung der Bewirtschaftung und Abwicklung der Personenkontenbuchhaltung werden lediglich personenbezogene Daten gespeichert. Nein, es erfolgt keine Datenübermittlung an ein Drittland oder an eine internationale Organisation. 6. Falls zutreffend: Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation Nr. Drittland oder internationale Organisation Geeignete Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO 7. Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien Nr. Löschungsfrist 1 6 bzw. 10 Jahre gemäß 37 i.v.m. 82 und 41 sowie 62 KommHV Kameral Die Fristen beginnen gem. 82 Abs. 2 Satz 3 KommHV Kameral am 01. Januar des der Aufstellung der Jahresrechnung folgenden Haushaltsjahres. 10-2018 www.secure-consult.com Seite 3 von 10

8. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO, ggf. einschließlich der Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG Beschreibung der technischen und organisatorischen Maßnahmen: Das Haushalts- und Buchhaltungssystem OK.FIS Kameral steht mit den Betriebsformen - Autonomer Einsatz - Outsourcingbetrieb und - Rechenzentrumsbetrieb (eigene Bezeichnung FINzD) zur Verfügung. Die Auftragsdatenverarbeitung durch die Anstalt für Kommunale Datenverarbeitung Bayern (AKDB) erfolgt im Rechenzentrumsbetrieb (FINzD) und im Outsourcing. Keine Auftragsdatenverarbeitung erfolgt im autonomen Einsatz. Weitere technische und organisatorische Maßnahmen können je nach Betriebsart (Outsourcing / Autonom) dem Betriebskonzept der AKDB bzw. des Verantwortlichen entnommen werden. 9. Nur für Polizei- und Strafjustizbehörden Erfolgt ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO? Ja X Nein Falls ja: Welche Art von Profiling wird durchgeführt? Besteht für die Verarbeitung eine Errichtungsanordnung? Ja, Nein Falls ja, bitte Datum und Aktenzeichen angeben 10. Verantwortliche Organisationseinheit Dienststelle / Sachgebiet / Abteilung Finanzverwaltung / Kasse Frau Kohlberger Ramona Frau Kohlhund Claudia 11. Datenschutz-Folgenabschätzung Ist für die Form der Verarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich? Ja, X Nein Falls ja, bis wann durchzuführen oder zu überprüfen Begründung 10-2018 www.secure-consult.com Seite 4 von 10

12. Gewährleistung der Informationspflichten Durchführung einer ordnungsgemäßen Speicherbuchhaltung (GOB) nach den Vorgaben der jeweiligen landesspezifischen Kommunalvorschriften. Das Verfahren bietet die Möglichkeit, dem Recht auf Auskunft nachzukommen (Art. 13 Abs. 2a EU- DSGVO) Die Bereitstellung der personenbezogenen Daten ist gesetzlich vorgeschrieben. Die betroffene Person ist verpflichtet, die personenbezogenen Daten bereitzustellen. Nein, es besteht KEINE automatisierte Entscheidungsfindung. 12. Stellungnahme des behördlichen Datenschutzbeauftragten Liegt eine Stellungnahme des behördlichen Datenschutzbeauftragten vor? Ja Nein Ggf. nähere Erläuterung 10-2018 www.secure-consult.com Seite 5 von 10

Erläuterungen Welche Verarbeitungstätigkeiten sind in das Verzeichnis aufzunehmen? Aufzunehmen sind alle ganz oder teilweise automatisierten Verarbeitungstätigkeiten also alle Verarbeitungstätigkeiten, die ganz oder teilweise mit Hilfe von IT-Systemen erfolgen. Nichtautomatisierte Verarbeitungstätigkeiten sind aufzunehmen, soweit die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO, Art. 2 Satz 2 BayDSG). Dateisystem ist nach Art. 4 Nr. 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Diese Voraussetzung wird regelmäßig vorliegen, wenn eine strukturierte Verarbeitungstätigkeit schriftlich oder elektronisch dokumentiert und in einer Registratur gespeichert wird, wie dies bei Behörden üblich ist (vgl. z.b. 12 ff. der Allgemeinen Geschäftsordnung für die Behörden des Freistaates Bayern AGO). Insbesondere die Verwendung von Vordrucken für die Erhebung von Daten oder den Verwaltungsablauf ist ein Anhaltspunkt für die Pflicht zur Aufnahme in das Verarbeitungsverzeichnis. Das Verarbeitungsverzeichnis soll einerseits alle Verarbeitungstätigkeiten ausreichend konkret darstellen, anderseits nicht zu kleinteilig sein. Der Begriff der Verarbeitungstätigkeit umfasst alle Verarbeitungsschritte, Vorgänge und Vorgangsreihen, die einem gemeinsamen Zweck dienen. Es ist daher nicht zu jedem einzelnen Verarbeitungsschritt bzw. Vorgang oder zu einer Vorgangsreihe ein eigener Verzeichniseintrag zu erstellen. Vielmehr ist ein zusammenfassender Verzeichniseintrag für die durch den Zweck gleichsam verklammerte Verarbeitungstätigkeit ausreichend. Insbesondere müssen Verarbeitungsschritte, die nur untergeordnete Hilfsfunktion haben und damit keinem eigenen neuen Zwecken, sondern letztlich nur dem Zweck der eigentlichen Verarbeitungstätigkeit dienen, nicht gesondert aufgeführt werden. Beispiele für aufzunehmende Verarbeitungstätigkeiten: - Führung des Melderegisters - Führung des Gewerberegisters - Personalaktenverwaltung - Beihilfebearbeitung - Wohngeldbearbeitung - Bearbeitung von Bauanträgen - Zeiterfassung - Einzelne Videoüberwachungen (auch mit mehreren Kameras, soweit an einem Ort) - Durchführung von Wahlen und Abstimmungen - Fahrerlaubnisverwaltung 10-2018 www.secure-consult.com Seite 6 von 10

- Kfz-Zulassung Zu Nr. 1 (Allgemeine Angaben) (Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO) Die Bezeichnung der Verarbeitungstätigkeit soll allgemeinverständlich sein und den jeweiligen Zweck erkennen lassen. Beispiele siehe oben. Verantwortlicher ist die Behörde oder sonstige öffentliche Stelle, die selbst oder mittels eines Auftragsverarbeiters die Verarbeitung durchführt. Die in Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO genannten Vertreter beziehen sich auf den Vertreter im Sinne von Art. 4 Nr. 17 DSGVO und sind damit für öffentliche Stellen nicht relevant. Gemeinsam für die Verarbeitung Verantwortliche liegen vor, wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen (Art. 26 DSGVO). Als Anschrift ist jeweils Postleitzahl, Ort, Straße und Hausnummer anzugeben. Zu Nr. 2 (Zwecke und Rechtsgrundlagen der Verarbeitung) (Art. 30 Abs. 1 Satz 2 Buchst. b DSGVO; Art. 31 BayDSG) Die Angabe der Rechtsgrundlagen der Verarbeitungstätigkeit geht über die in Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten Mindestangaben hinaus. Die Angabe dient dem Nachweis, dass diese Frage geprüft wurde. Für Verarbeitungen im Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz (Richtlinie (EU) 2016/680, vgl. Art. 28 Abs. 1 BayDSG) ist die Angabe der Rechtsgrundlagen demgegenüber verpflichtend (Art. 31 BayDSG). Soweit keine bereichsspezifische gesetzliche Regelung (wie etwa auch Art. 4 Abs. 1 BayDSG) besteht, kommen als Rechtsgrundlagen die Tatbestände nach Art. 6 bei besonderen Kategorien personenbezogener Daten in Verbindung mit Art. 9 DSGVO und Art. 8 BayDSG - in Betracht. Zu Nr. 3 (Kategorien der personenbezogenen Daten) (Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO) Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.b. Name und Vorname, Anschrift, Staatsangehörigkeit. Angaben rein technischer Art (z.b. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich. Die Bezugnahme auf beigefügte Beschreibungen von Datensätzen ist zulässig, wenn aus diesen die personenbezogenen Daten eindeutig hervorgehen. Zu Nr. 4 (Kategorien der betroffenen Personen) (Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO) Zu beschreiben sind hier Personengruppen, die von der Verarbeitung betroffen sind. Beispiel: Bauantragsteller oder Beihilfeberechtigte und deren Angehörige. 10-2018 www.secure-consult.com Seite 7 von 10

Anzugeben sind auch Personengruppen innerhalb der öffentlichen Stellen, deren Daten verarbeitet werden. Beispiel: Sachbearbeiter im Bauamt. Zu Nr. 5 (Kategorien der Empfänger) (Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO) Nach Art. 4 Nr. 9 DSGVO ist Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Zu den Empfängern gehören daher auch Auftragsverarbeiter sowie Stellen innerhalb der Behörde, denen die Daten weitergegeben werden oder die Zugriff auf die Daten haben. Zu beachten ist ferner die Ausnahmeregelung des Art 4 Nr. 9 Satz 2 DSGVO, wonach Behörden unter bestimmten, in dieser Vorschrift genannten Voraussetzungen nicht als Empfänger gelten. Zu Nr. 6 (Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation) (Art. 30 Abs. 1 Satz 2 Buchst. e DSGVO) Als Drittländer werden alle Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes bezeichnet. Im Falle einer Übermittlung an ein Drittland oder eine internationale Organisation nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO sind die geeigneten Garantien in Bezug auf den Schutz personenbezogener Daten in Spalte 3 festzuhalten. Soweit erforderlich kann dazu auf ergänzende Dokumente verwiesen werden. Zu Nr. 7 (Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien) Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist, für die sie verarbeitet werden (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 Buchst. e DSGVO). Gespeicherte Daten sind daher unverzüglich zu löschen, sobald sie für die Aufgabenerfüllung der öffentlichen Stelle nicht mehr erforderlich sind (vgl. DSGVO- Erwägungsgrund 39). Der Verantwortliche sollte daher Fristen für die Löschung oder regelmäßige Überprüfung der personenbezogenen Daten vorsehen (vgl. DSGVO-Erwägungsgrund 39). Fachgesetzliche Regelungen sind zu beachten. Über den eigentlichen Speicherungsanlass hinaus (z.b. zur Bearbeitung eines Antrags auf Baugenehmigung) kann eine Speicherung auch zur Erfüllung von Dokumentationspflichten erforderlich sein. Anzugeben ist auch der Beginn der Löschungsfrist. Vor einer Löschung von Daten sind die archivrechtlichen Anbietungspflichten zu beachten. 10-2018 www.secure-consult.com Seite 8 von 10

Zu Nr. 8 (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO ggf. einschließlich der Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG) (Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO; Art. 8 Abs. 2 Satz 2 BayDSG) Hier sind die technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO allgemein zu beschreiben. Trotz der in Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO verwendeten Formulierung wenn möglich hat der Verantwortliche hier in aller Regel Angaben zu machen, da er ohnehin verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu treffen. Entsprechende Informationen werden dem Verantwortlichen daher in aller Regel vorliegen. Eine Beschreibung von Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG ist erforderlich, wenn besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verarbeitet werden. Aus datenschutzrechtlicher Sicht zentral ist insbesondere die Fähigkeit, die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Es ist zulässig und oft auch ausreichend, wenn dazu und im Hinblick auf die weiteren in Art. 32 Abs. 1 DSGVO genannten Maßnahmen auf ein vorhandenes Informationssicherheitskonzept verwiesen wird (vgl. Art. 11 Abs. 1 Satz 2 Bayerisches E-Government-Gesetz). Zu Nr. 9. (Nur für Verarbeitungen durch Polizei- und Strafjustizbehörden) (Art. 31 BayDSG) Angaben zum Profiling sind nur erforderlich, wenn bei Verarbeitungen im Sinne des Art. 28 Abs. 1 BayDSG im Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz ein Profiling erfolgt. Relevant kann dies für Behörden der Polizei, Gerichte in Strafsachen und Staatsanwaltschaften, Strafvollstreckungs- und Justizvollzugsbehörden sowie Behörden des Maßregelvollzugs sein, soweit diese personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeiten. Sonstige Behörden können nur betroffen sein, soweit diese personenbezogene Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen oder zu ahnden. Profiling ist nach Art. 4 Abs. 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. 10-2018 www.secure-consult.com Seite 9 von 10

Errichtungsanordnungen werden nach Art. 47 PAG bzw. zukünftig nach Art. 64 Abs. 1 PAG-E 2018 erstellt. Zu Nr. 10 (Verantwortliche Organisationseinheit) Hier ist die Dienststelle, das Referat oder die sonstige Organisationseinheit der öffentlichen Stelle anzugeben, in der die Verarbeitungstätigkeit erfolgt. Beispiele: Personalreferat oder Bauamt. Zu Nr. 11 (Datenschutz-Folgenabschätzung) Die Angabe, ob eine Datenschutz-Folgenabschätzung für die Verarbeitungstätigkeit durchzuführen ist, geht über die Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten Mindestangaben für die Beschreibung von Verarbeitungstätigkeiten hinaus. Sie dient dem Nachweis, dass diese Frage in Abstimmung mit dem behördlichen Datenschutzbeauftragten geprüft wurde. Welches Risiko für die Rechte und Freiheiten natürlicher Personen von einer beabsichtigten Verarbeitung personenbezogener Daten ausgeht und wie dieses Risiko bewältigt werden kann, ist vor jeder Verarbeitung zu prüfen. Eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 Satz 1 DSGVO ist dagegen nur durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Voraussetzung wird nur bei wenigen Verarbeitungstätigkeiten vorliegen. Für Polizeibehörden richtet sich die Datenschutz-Folgenabschätzung nach Art. 64 Abs. 2 PAG-E 2018. Die Datenschutz-Folgenabschätzung ist vorab, d.h. vor dem Einsatz einer Verarbeitung durchzuführen. Für bereits laufende Verarbeitungen, die ohne wesentliche Änderungen fortgeführt werden und die eine Datenschutz-Folgenabschätzung erfordern, ist diese in einer Übergangsfrist spätestens bis zum 25. Mai 2021 nachzuholen. Nr. 8 dieser Arbeitshilfe enthält weitere Hinweise zu den Voraussetzungen und der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Zu Nr. 12 (Stellungnahme des behördlichen Datenschutzbeauftragten) Dem behördlichen Datenschutzbeauftragten ist vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden, Gelegenheit zur Stellungnahme zu geben (Art. 12 Abs. 1 Satz 1 Nr. 2 BayDSG). Eine Stellungnahme des behördlichen Datenschutzbeauftragten ist nach Art. 24 Abs. 5 BayDSG auch vor dem Einsatz einer Videoüberwachung einzuholen. 10-2018 www.secure-consult.com Seite 10 von 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback