R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BB - Betriebs-Berater
Header Pfeil
 
 
Verzeichnis von Verarbeitungstätigkeiten (2024), S. IX 
Inhaltsverzeichnis 
Heiko Roth 

IX Inhaltsverzeichnis

  1. Der Autor sagt „Moin“ – wichtige Leitsätze zum Umgang mit und zu den Zielen des Praxishandbuchs (bitte vorab lesen)
  2. Verzeichnis: Abbildungen, Diagramme, Tabellen
  3. Abkürzungsverzeichnis
  4. 1. Kapitel: Einstieg
  5. 2. Kapitel: Thesen & Kontraste
    1. I. Übersicht
    2. II. Literatur, Verbände, Behörden und Normgeber
      1. 1. Überblick
      2. 2. Meinungsbild 1: das VVT als bürokratische Bürde
      3. 3. Meinungsbild 2: das VVT ist nur ein (kleiner) Teil der Rechenschaftspflicht
      4. 4. Meinungsbild 3: Behörden und Gesetzgeber fordern Kontrollfähigkeit
        1. a) Überblick
        2. b) Aufsichtsbehörden in Deutschland
        3. c) Aufsichtsbehörden und Gesetzgeber in weiteren EU-Mitgliedstaaten
      5. 5. Meinungsbild 4: das VVT ist integraler Bestandteil des Datenschutz-Managementsystems
        1. a) Kirchliches Datenschutzrecht
        2. b) Aufsichtsbehörde und EDPS
        3. c) Praxisliteratur und Interessenvertretungen
    3. III. Amtliche und nicht-amtliche Umfragen sowie Querschnittsprüfungen
      1. 1. Überblick
      2. 2. Spezifische Umfragen und Prüfungen
        1. a) Umfrage 1: ASB Baden-Württemberg (2019)
        2. b) Umfrage 2: LRH Niedersachsen (2019)
        3. c) Umfrage 3: ASB Sachsen (2020)
        4. d) Umfrage 4: McCann FitzGerald/mazars (2021/22)
        5. e) Einzelprüfung 1: ASB Saarland (2018/19)
        6. f) Einzelprüfung 2: ASB Niedersachsen (2018/19)
        7. g) Einzelprüfung 3: ASB Thüringen (2018)
        8. h) Einzelprüfungen 4,5: KDSA Nord (2021)
        9. i) Einzelprüfung 6: ASB Irland (2022)
        10. j) Einzelprüfung 7: ASB Niedersachsen (2022)
        11. k) Prüfbogen: Bulgarien (undatiert)
        12. l) Sonstige Prüfdokumente der ASB
        13. m) Weitere Umfragen
    4. IV. Zwischenergebnisse
  6. 3. Kapitel: Praktische Umsetzung durch vergleichende Betrachtung: Recht, Organisation, IT
    1. I. Übersicht
    2. II. Recht
      1. 1. Übersicht
      2. 2. Norm- und Gesetzgebung sowie historische Entwicklungen
        1. a) Internationales Recht
          1. aa) Übersicht
          2. bb) Beispiel 1: EMBL
            1. (1) EMBL
            2. (2) Binnenorganisation
            3. (3) Fazit
          3. cc) Beispiel 2: CERN
            1. (1) CERN
            2. (2) Binnenorganisation
            3. (3) Fazit
        2. b) EU-Sekundärrecht
          1. aa) Übersicht
          2. bb) Vergleich zwischen EU-DSVO, DSGVO, JI-RL
            1. (1) Zweck
            2. (2) Historische Vorläufer des Art. 30 Abs. 1 DSGVO seit 1977
              1. (a) Übersicht der einzelnen „Datenschutz-Epochen“
              2. (b) Die erste Datenschutz-Epoche (1977–1990)
              3. (c) Die zweite Datenschutz-Epoche (1990–1995)
              4. (d) Die dritte Datenschutz-Epoche (1995–2016)
              5. (e) Die vierte Datenschutz-Epoche (ab 2016)
            3. (3) Anwendungsbereich
              1. (a) Anwendungsbereich
              2. (b) Ausnahmen zur Pflicht
              3. (c) Rück-Ausnahmen, die zur Pflicht zurückführen
              4. (d) Zwischenergebnis
            4. (4) Pflichtangaben: Übersicht und Vergleich zwischen DSGVO, JI-RL, EU-DSVO
            5. (5) Knotenpunkte innerhalb des Art. 30 Abs. 1 DSGVO
            6. (6) Knotenpunkte zu Art. 30 DSGVO: Kontrolle, Bußgeld, Schadensersatz, Verhaltensregel
            7. (7) Exkurs: Schadensersatzpflicht bei Verstoß gegen Organisationspflichten
              1. (a) Diskussion auf nationalstaatlicher Ebene
              2. (b) Entscheidungen des EuGH in den Rechtssachen C-300/21, C-60/22
              3. (c) Einordnung im kirchlichen Datenschutzrecht
            8. (8) Zwischenergebnis
        3. c) Umgang mit Art. 30 DSGVO und Art. 24 JI-RL im nationalen Recht am Beispiel der föderalen und der staatskirchenrechtlichen Gesetzgebung in Deutschland
          1. aa) Übersicht
          2. bb) Bund- und Landesgesetzgebung in Deutschland
            1. (1) Übersicht 1: Das allgemeine Datenschutzrecht
            2. (2) Beobachtung 1.1: Befreiung der Landesrechnungshöfe von der Pflicht des Art. 30 DSGVO
            3. (3) Beobachtung 1.2: Kopplung des VVT an ein „Freigabeverfahren“ (Risiko-Assessment) und ein „Change Management“
              1. (a) Übersicht
              2. (b) Das „Freigabeverfahren“
              3. (c) Das „Change Management“
            4. (4) Beobachtung 1.3: Erweiterung der Pflichtangaben bei Umsetzung von Art. 24 JI-RL
            5. (5) Übersicht 2: Zusammenschau mit dem übrigen Landesrecht
            6. (6) Beobachtung 2.1: Erweiterung der Pflichtangaben bei Adaption von Art. 30 DSGVO
          3. cc) Staatskirchenrecht in Deutschland
        4. d) Gesetzgebung in weiteren EU-Mitgliedstaaten
          1. aa) Übersicht
          2. bb) Bereichsprivileg 1: Art. 85 Abs. 2 DSGVO
          3. cc) Zwischenergebnis
          4. dd) Bereichsprivileg 2: Art. 89 Abs. 1 DSGVO
          5. ee) Zwischenergebnis
          6. ff) Sonderfall: verarbeitungsspezifische Register
          7. gg) Weitere Konstellationen im Fachrecht der EU-Mitgliedstaaten
        5. e) Gesetzgebung in Staaten abseits der EU
        6. f) Zusammenfassung
      3. 3. Rechtsprechung
        1. a) Übersicht
        2. b) Einzelne Gerichtsentscheidungen
          1. aa) Deutschland
            1. (1) Verwaltungsgerichtsbarkeit
            2. (2) Vergabekammer
            3. (3) Arbeitsgerichtsbarkeit
            4. (4) Zivilgerichtsbarkeit
          2. bb) Polen
          3. cc) Belgien
        3. c) Vertiefung: Verfahren vor dem EuGH
          1. aa) Übersicht
          2. bb) EuGH, C-579/21: Abgrenzung zwischen Art. 15 und Art. 30 DSGVO
          3. cc) EuGH, C-179/21: Kenntnis der Datenlieferanten und Datenempfänger „in der Kette“
          4. dd) EuGH, C-60/22: Formelle Rechtswidrigkeit durch fehlendes/mangelhaftes VVT?
            1. (1) Ausgangsverfahren
            2. (2) Einschub: Umgang mit dieser Frage unter Geltung der DS-RL
            3. (3) Entscheidung des EuGH
        4. d) Zwischenergebnis
      4. 4. Aktivitäten der Aufsichtsbehörden
        1. a) Übersicht
        2. b) Empfehlungen
        3. c) Vollzug
          1. aa) Datenbasis und Informationsquellen
            1. (1) GDPRHub.eu (NOYB e.V.)
            2. (2) OSS-Register (EDPB)
            3. (3) Freie Recherche
          2. bb) Statistische und inhaltliche Auswertung der Entscheidungsauswahl
            1. (1) Übersicht
            2. (2) Begleithinweis
            3. (3) Statistische Auswertung: Visualisierung
            4. (4) Inhaltsauswertung: Übersicht
            5. (5) Inhaltsauswertung: 1. Fallgruppe, direkte Interpretation von Art. 30 DSGVO
            6. (6) Inhaltsauswertung: 2. Fallgruppe, Querschnittsentscheidungen
        4. d) Vollzug im Speziellen: Untersuchungen
          1. aa) Übersicht
          2. bb) Untersuchung 1: Prüfung von Krankenhäusern
          3. cc) Untersuchung 2: Prüfung von Energieversorgungsunternehmen
          4. dd) Untersuchung 3: Prüfung von Arztpraxen
        5. e) Rückblick: Vollzug in der Zeit vor der DSGVO
        6. f) Zwischenergebnis
      5. 5. Zwischenergebnis (Recht)
    3. III. Organisation
      1. 1. Übersicht
      2. 2. Aufbau- und Ablauforganisation
        1. a) Vorfrage: „Verarbeitungstätigkeit“
          1. aa) Übersicht
            1. (1) Ausgangsfragen
            2. (2) Operative Bedeutung
            3. (3) Strategische Bedeutung
          2. bb) Abgrenzung 1: „Verarbeitungstätigkeit“ und „Verarbeitung“
            1. (1) „Verarbeitung“ vs. „Verarbeitungstätigkeit“ nach der DSGVO
            2. (2) „Verarbeitung“ nach dem Standard-Datenschutzmodell (SDM)
              1. (a) Prüffähigkeit einer Verarbeitung
              2. (b) Hierarchisches Begriffsverständnis
              3. (c) Zwecksingularität oder Zweckpluralität einer Verarbeitung?
            3. (3) Einordnung der Verarbeitungstätigkeit in einem 3-Ebenen-Modell (Makro, Meso, Mikro)
            4. (4) Beispiele zur Erläuterung des 3-Ebenen-Modells
              1. (a) Makro-Ebene
              2. (b) Meso-Ebene
              3. (c) Mikro-Ebene
            5. (5) Darstellung und Zwischenfazit
          3. cc) Abgrenzung 2: Granularität einer „Verarbeitungstätigkeit“
            1. (1) Übersicht
            2. (2) Bisher diskutierte Merkmale zur Bestimmung einer „Verarbeitungstätigkeit“
              1. (a) Übersicht
              2. (b) Diskurs: Einzelne Merkmalsgruppen und Merkmale
            3. (3) Vertiefung: Zweckfestlegung einer Verarbeitung durch den Verantwortlichen
              1. (a) Übersicht
              2. (b) Grundlagen: Die Ansätze von Podlech (1990) und Hoffmann (1991)
              3. (c) Vertiefung: „Zweckpräzision“, „Zweckhierarchien“ und „Datenschutzeignung“
              4. (d) Zwischenergebnis und Fortführung der Beispiele
              5. (e) Weitere Ansätze zur „Zweckpräzision“
              6. (f) Fazit
            4. (4) Vorschlag für eine Definition und für die Abgrenzung von „Verarbeitungstätigkeiten“
              1. (a) Definitionsvorschlag
              2. (b) Primär entscheidende Faktoren: Zweck und Risikoneigung
              3. (c) Korrektive: Kontext und Transparenz
              4. (d) Bedingt taugliche Merkmale
              5. (e) Untaugliche Merkmale
            5. (5) Fallbeispiele in Anknüpfung an den Definitionsvorschlag
              1. (a) Übersicht und „Bündelungsprozess“
              2. (b) Fall 1: Die Zusammenfassung zu einer VT kommt nicht in Betracht
              3. (c) Fall 2: Die Zusammenfassung zu einer VT kommt bei einem Teil der Verarbeitungen in Betracht
              4. (d) Fall 3: Die Zusammenfassung zu einer VT kommt bei allen Verarbeitungen in Betracht
            6. (6) Zwischenergebnis
          4. dd) Abgrenzung 3: „Verarbeitungstätigkeit“ und „Geschäftsprozess“
            1. (1) Übersicht
            2. (2) Prozessbegriff im Qualitätsmanagement
            3. (3) Bewertung
              1. (a) Bezugsobjekte im QMS und im VVT
              2. (b) Prozesseigner im QMS und im VVT
              3. (c) Einordnung von Organisationseinheiten, die keine VT verantworten
              4. (d) Zwischenergebnis
            4. (4) Fallbeispiel: Orientierung an standardisierten Prozessen am Beispiel von ITIL®
          5. ee) Abgrenzung 4: „Verarbeitungstätigkeit“ und „Geschäftsgeheimnisse“
          6. ff) Zwischenergebnis
        2. b) Auswertung: Praxisbeispiele aus öffentlichen Quellen
          1. aa) Übersicht
          2. bb) Quelle 1: Empirie zu den VVT von Organisationen der EU
            1. (1) Einstieg: Methodik, Auswahl der EU (nahen) Organisationen
            2. (2) Einsicht 1: ausgewählte Organisationen, Anzahl VVT-Einträge, Status der Veröffentlichung
            3. (3) Einsicht 2: öffentliche VVT-Einträge nach Art. 31 EU-DSVO im Erhebungszeitraum
            4. (4) Einsicht 3: quantitative Verteilung der VVT-Einträge
            5. (5) Einsicht 4: Inhaltliche und prozessuale Auswertung der untersuchten EUI-Verzeichnisse
              1. (a) Vorgehen
              2. (b) Aufgabengruppierung (Strukturierung des VVT)
              3. (c) Zusatzangaben im VVT
              4. (d) Ablaufprozess hinter dem VVT
            6. (6) Zwischenergebnis
          3. cc) Quelle 2: Verhaltensregeln (Code of Conduct, CoC)
            1. (1) Übersicht
            2. (2) Beispiel 1: EGBA (2020)
              1. (a) Übersicht
              2. (b) Exkurs: „Verarbeitungsverzeichnis“ vs. „Data Map“ vs. „Verarbeitung“ nach SDM
            3. (3) Beispiel 2: SCOPE Europe (2020)
            4. (4) Beispiel 3: GDV (2018)
            5. (5) Zwischenergebnis
          4. dd) Quelle 3: Öffentliche Ausschreibungen
            1. (1) Übersicht
            2. (2) Fallbeispiel: NTMA (2022)
            3. (3) Bewertung: die einzelnen Schnittstellen des VVT im DSMS
            4. (4) Zwischenergebnis
          5. ee) Quelle 4: Datenschutz-Aufsichtsbehörden und andere öffentliche Stellen
            1. (1) Übersicht
            2. (2) Fallgruppe 1: eigene VVT von Aufsichtsbehörden und anderen öffentlichen Stellen
            3. (3) Fallgruppe 2: Vorlagen, Orientierungshilfen, Online-Tools
              1. (a) Aufsichtsbehörden
              2. (b) Andere öffentliche Stellen
            4. (4) Fallgruppe 3: VVT von öffentlichen Stellen auf Antrag
              1. (a) Übersicht
              2. (b) Meinungsbild auf Bundes- und Landesebene
            5. (5) Zwischenergebnis
          6. ff) Quelle 5: Binding Corporate Rules (BCR)
            1. (1) Übersicht
            2. (2) Empfehlungen 01/2022 des EDPB zu BCR (Version 1.0, 2.0)
            3. (3) Auswertung: Vorgaben zum VVT in veröffentlichten BCR-C
            4. (4) Zwischenergebnis und Bewertung der ausgewählten BCR
          7. gg) Zwischenergebnis
        3. c) Ableitung von Standard-Anforderungen bzw. Entscheidungsbedarfe für die Aufbau- und Ablauforganisation
          1. aa) Übersicht
          2. bb) Aufbau- und Ablauforganisation
            1. (1) Definition
            2. (2) Übersicht der Standard-Anforderungen A1 bis A14
            3. (3) Zielsetzung und Beschreibung der Standard-Anforderungen A1 bis A14
          3. cc) Zwischenergebnis
        4. d) Vertiefung von Einzelfragen im Rahmen der Aufbau- und Ablauforganisation
          1. aa) Übersicht
          2. bb) Einzelne Entscheidungsbedarfe
            1. (1) Isoliertes oder integriertes VVT, Reifegrad, Kennzahlen (A1)
              1. (a) Kontrollfragen
              2. (b) Begleitende Hinweise mit Beispielen der Auswirkungen dieser ersten Entscheidung
            2. (2) Verhältnis in und Verlinkungen zu anderen Managementsystemen (A2)
              1. (a) „Managementsystem“
              2. (b) Verhältnis zwischen mehreren Managementsystemen
              3. (c) Beispiel 1: Informationssicherheits-Managementsystem (ISMS)
              4. (d) Beispiel 2: Datenschutzmanagementsystem (DSMS)
            3. (3) Notwendige Aktivitäten im VVT-Workflow (A3)
              1. (a) Übersicht
              2. (b) Fallgruppe 1: Aktivitäten zur „Führung“ im weiteren Sinne
              3. (c) Fallgruppe 2: Aktivitäten zur „Führung“ im engeren Sinne
              4. (d) Zwischenfrage: Führung des VVT als Verarbeitungstätigkeit?
            4. (4) Rollen und Zuständigkeiten im VVT-Workflow, insbesondere des Betriebsrats und des Datenschutzbeauftragten (A4)
              1. (a) Übersicht
              2. (b) Rollen im Rahmen der „Führung“ des VVT
              3. (c) Rolle 1: Rolle des Datenschutzbeauftragten
              4. (d) Rolle 2: Rolle des VVT-Managers
              5. (e) Rolle 3: Rolle des Betriebsrats
            5. (5) Pflichtenverteilung im arbeitsteiligen Umfeld mit konzernexternen Entitäten (A5)
              1. (a) Übersicht
              2. (b) Beispiel 1: Zusammenwirken von gemeinsam Verantwortlichen
              3. (c) Beispiel 2: Zusammenwirken von Verantwortlichen und Auftragsverarbeiter
            6. (6) Kapazitäten, speziell Ressourcenbindung durch Change-Management (A6)
            7. (7) Umgang mit verteilten Zuständigkeiten im Konzernverbund (A7)
            8. (8) Umgang mit abweichenden VVT-Inhalten je Land/Region (A8)
            9. (9) Amtssprache vs. Organisationssprache vs. Informationssprache, was gilt? (A9)
            10. (10) Hilfsmittel zur prozessualen Darstellung des VVT-Workflows (A10)
            11. (11) Versionen des VVT für externe Empfänger (A11)
              1. (a) Übersicht
              2. (b) Verständlichkeit, Übersichtlichkeit
              3. (c) Zeitvorgabe zur Bereitstellung
              4. (d) Weitere Anlässe zur Zugänglichmachung des VVT
              5. (e) Sonstiges
              6. (f) Exkurs: Detailtiefe und Dynamik der Beschreibung der TOM nach Art. 30 Abs. 1 lit. g DSGVO
            12. (12) Festlegung der formalen Elemente eines VVT (A12)
              1. (a) Übersicht
              2. (b) Einzelne formale Elemente
            13. (13) Festlegung von Zusatzangaben im VVT (A13)
              1. (a) Übersicht
              2. (b) Daumenregeln
              3. (c) Einzelne Zusatzangaben
            14. (14) Festlegung von Verknüpfungen der VT zu anderen Objekten (A14)
              1. (a) Übersicht
              2. (b) Einzelne Verknüpfungen
          3. cc) Zwischenergebnis
        5. e) Reifegrad und Kennzahlen
          1. aa) Übersicht
          2. bb) Qualitativer Ansatz: Reifegrad
            1. (1) Übersicht
            2. (2) Reifegradmodelle im Datenschutz
            3. (3) Praxisbeispiele für das VVT
              1. (a) Beispiel 1: bitkom.e.V. (Beta, 2022)
              2. (b) Beispiel 2: CNIL (Entwurf, 2021)
              3. (c) Vergleich beider Modell-Entwürfe
            4. (4) Zwischenergebnis
          3. cc) Quantitativer Ansatz: (Leistungs-)Kennzahlen
            1. (1) Übersicht
            2. (2) Leistungskennzahlen im DSMS
            3. (3) Zwischenergebnis
            4. (4) Leistungskennzahlen für die dem VVT zugeordneten Prozesse
      3. 3. Zwischenergebnis (Organisation)
    4. IV. IT
      1. 1. Übersicht: zulässige Formformate
      2. 2. Die „elektronische“ Form
      3. 3. Auswahl und Migration einer softwaregestützten Lösung
        1. a) Marktangebot und Angebotsmarkt
        2. b) Auswahlfaktoren
        3. c) Mitbestimmung des Betriebsrats
      4. 4. Fallbeispiele: funktionale Anforderungen, softwaregestützte Implementierung
        1. a) Übersicht
        2. b) Fallbeispiel 1: NTMA (2022) (Fortsetzung)
        3. c) Fallbeispiel 2: EMBL-EBI: Data Protection Engine (DPE)
      5. 5. Umsetzung Standard-Anforderung 14: Verknüpfungen zum VVT
        1. a) Übersicht
        2. b) Identifizierung geeigneter Schnittstellen
          1. aa) Übersicht
          2. bb) Beispiele für Systemschnittstellen zum VVT: Vertrags-, Vendor- und Asset-Management
            1. (1) Einstieg
            2. (2) Fall 1: Change-Management
              1. (a) Anforderung
              2. (b) Asset-Lokation: Umgang mit dynamischen Datenübermittlungen (Art. 30 Abs. 1 lit. e DSGVO)
              3. (c) Prozess: Umgang mit Änderungen der Rechtslage
            3. (3) Fall 2: Vertragsgestaltung
              1. (a) Anforderung
              2. (b) Beispiele
            4. (4) Fall 3: Risikobewertung
              1. (a) Szenario 1: Positionierung von ASB zu einzelnen Produkten
              2. (b) Szenario 2: Bekannt gewordene Schwachstellen von eingesetzten Assets
        3. c) Zwischenergebnis
      6. 6. Gemeinsame Sprache: Ontologie & Taxonomie, Enterprise Architecture
        1. a) Übersicht
        2. b) Disziplin 1: Ontologie und Taxonomie
          1. aa) Grundlagen
          2. bb) Relevanz für das VVT
            1. (1) Herleitung eines formalen Modells
            2. (2) Etablierung einer Taxonomie
              1. (a) Übersicht
              2. (b) ISO 19944
              3. (c) „Privacy Taxonomy“ (Ethyca)
              4. (d) „Data Privacy Vocabulary“ (W3C)
            3. (3) Regional- und länderspezifische Besonderheiten
            4. (4) Aktualisierung des Vokabulars
        3. c) Disziplin 2: Enterprise Architecture Management
          1. aa) Grundlagen
          2. bb) Relevanz von EA für das DSMS, speziell das VVT
      7. 7. Zwischenergebnis (IT)
  7. 4. Kapitel: Gesamtergebnis
  8. 5. Kapitel: Audit-Checkliste
    1. I. Übersicht
    2. II. Audit-Checkliste
  9. Quellenverzeichnis
    1. I. Übersicht: Metriken und Statistiken des Quellenapparats
    2. II. Auszug Quellen 1: Facharbeiten, Literatur
    3. III. Auszug Quellen 2: Exekutive (in Teilen)
    4. IV. Auszug Quellen 3: Legislative (in Teilen)
    5. V. Auszug Quellen 4: Private Akteure, Selbstregulierung
    6. VI. Der Autor sagt „Weest bedankt!“
  10. Sachregister
 
stats