VORSTAND / KLINIKUMSLEITUNG

Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

Zentrale Verfahrensanweisung zum Um-

gang mit Verarbeitungstätigkeiten
INHALTSVERZEICHNIS
1 Ziel ............................................................................................................................................ 2
2 Prozessverantwortliche Person.................................................................................................. 2
3 Geltungsbereich / Zielgruppe ..................................................................................................... 3
4 Begriffsdefinitionen .................................................................................................................... 3
5 Prozessbeschreibung ................................................................................................................ 4
5.1 Meldung eines geplanten Vorhabens bzw. der geplanten Änderung von
Verarbeitungstätigkeiten................................................................................................................ 4
5.2 Ersteinschätzung des geplanten Vorhabens bzw. der geplanten Änderung von
Verarbeitungstätigkeiten................................................................................................................ 4
5.3 Aufnahme der Dokumentation von Verarbeitungstätigkeiten............................................... 5
a. Dokumentation von neuen Verarbeitungstätigkeiten ........................................................... 5
b. Dokumentation von Anpassungen bestehender Verarbeitungstätigkeiten........................... 5
c. Prüfung der Dokumentation ................................................................................................ 5
5.4 Prüfung der Relevanz für das Verzeichnis der Verarbeitungstätigkeiten ............................. 6
5.5 Eintrag in das zentrale Verzeichnis der Verarbeitungstätigkeiten ........................................ 6
5.6 Durchführung der Schwellwertanalyse ................................................................................ 6
5.7 Dokumentation und Freigabe.............................................................................................. 7
5.8 Maßnahmenumsetzung ...................................................................................................... 7
6 Mitgeltende Dokumente ............................................................................................................. 9

Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert

29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
1 von 9
29.11.2022
 VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

1 Ziel
Die ZVA Umgang mit Verarbeitungstätigkeiten fast nachfolgende Datenschutzprozesse in einem
übergeordneten Prozess zusammen: die Aufnahme neuer/ Änderung bestehender
Verarbeitungstätigkeiten (VT) von personenbezogenen Daten in das Verzeichnis der
Verarbeitungstätigkeiten (VVT), die Durchführung einer Schwellwertanalyse und die Durchführung
einer Datenschutz-Folgenabschätzung1 (DSFA).
Neue oder Änderungen an Verarbeitungstätigkeiten dürfen erst nach positiver Beratung oder nach
Abschluss einer DSFA durch das Team Datenschutz Support in das Verzeichnis der
Verarbeitungstätigkeiten aufgenommen und durch den Durchführungsverantwortlichen operativ im
Produktivbetrieb implementiert werden.
Der kombinierte Ansatz hat zum Ziel, den Prozessbeteiligten als Übersicht zu den Einzelaktivitäten,
den (Teil-) Ergebnissen und den Kommunikationswegen zu dienen.

2 Prozessverantwortliche Person

Rolle Verantwortungsbereiche

 Müssen sicherstellen, dass geplante Vorhaben bzw. die Aufnahme

Durchführungsverantwortliche:r
(Leitung der Fachbereiche) neuer und/oder Änderung bereits vorhandener
Verarbeitungstätigkeiten durch die Mitarbeitenden an das Team
Datenschutz Support gemeldet werden
 Müssen sicherstellen, dass relevante Dokumentationen erstellt und
zur Prüfung mit eingereicht werden
 Operative Kommunikation bzw. Ausführung kann an einen
fachkundigen Mitarbeitenden delegiert werden. Jedoch verbleibt
die Verantwortung bei den jeweiligen
Durchführungsverantwortlichen.
 Meldet geplante Vorhaben bzw. die Aufnahme von neuen sowie
Mitarbeitende des Fachbereichs
Änderung bereits erfasster Verarbeitungstätigkeiten im
Fachbereich im Auftrag der/des Durchführungsverantwortlichen an
das Team Datenschutz Support
 Ist für das Erstellen relevanter Dokumentationen zuständig und für
die Planung und Durchführung der DSFA (bDSB, Team
Datenschutz Support und Bereich
Informationssicherheitsbeauftragter (CISO) koordinieren, beraten
und unterstützen)
 Steht bei datenschutzrechtlichen Fragestellungen hinsichtlich des
Behördliche
Datenschutzbeauftragte (bDSB) VVT, der Schwellwertanalyse und der DSFA dem Fachbereich
beratend zur Seite
 Prüft und berät vor der finalen Freigabe und der Aufnahme/
Änderung einer Verarbeitungstätigkeit die Dokumentation sofern
eine DSFA notwendig ist

1
Im Folgenden: DSFA.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
2 von 9
29.11.2022
 VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

 Steht bei Fragen bzgl. der Aufnahme und Erfassung von

Team Datenschutz Support
Änderungen im Verzeichnis von Verarbeitungstätigkeiten und der
Durchführung der DSFA den Mitarbeitenden der Fachbereiche
beratend zur Seite
 Ist für die Eintragung von neuen und Änderung bereits vorhandener
Verarbeitungstätigkeiten im VVT verantwortlich und überprüft diese
vor Eintragung
 Führt eine Schwellwertanalyse durch
 Unterstützt und koordiniert bei der Durchführung von DSFA
 Führt jährlich eine Überprüfung von Stichproben der im Verzeichnis
von Verarbeitungstätigkeiten festgehaltenen
Verarbeitungstätigkeiten durch
 Berät die Durchführungsverantwortlichen bei der Umsetzung von
Bereich
Informationssicherheitsbeauftragter sicherheitsrelevanten technischen und organisatorischen
(CISO) Maßnahmen (TOM)
 Prüft geplante Vorhaben auf die technische und organisatorische
Machbarkeit und meldet das Ergebnis an das Team Datenschutz
Support
 Begleitet zusammen mit der bDSB und dem Team Datenschutz
Support den Durchführungsverantwortlichen bei der Durchführung
von DSFA

3 Geltungsbereich / Zielgruppe
Diese ZVA gilt für alle Verarbeitungstätigkeiten von personenbezogenen Daten und
Durchführungsverantwortliche, welche für diese Verarbeitungstätigkeiten in der Charité –
Universitätsmedizin Berlin (Charité) verantwortlich sind. Ausgenommen vom Geltungsbereich sind
Verarbeitungstätigkeiten von

 Tochterunternehmen (in Eigenverantwortung, sofern die gesetzlichen Vorgaben zur Führung

eines VVT i.S. Art. 30 DS-GVO vorliegen)
 Beteiligungsunternehmen (mit einer Beteiligung unter 50% - in Eigenverantwortung, sofern
die gesetzlichen Vorgaben zur Führung eines VVT i.S. Art. 30 DS-GVO vorliegen)
 Klinische Forschungsprojekte2 (Bearbeitung durch das Clinical Trial Office).

4 Begriffsdefinitionen
Sofern hier nicht anders dargestellt gelten die Begriffsdefinitionen aus dem
Rahmendatenschutzkonzept Charité – Universitätsmedizin Berlin.

2
Führung des VVTs für klinische Forschungsprojekte erfolgt im Clinical Trial Office.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
3 von 9
29.11.2022
 VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

5 Prozessbeschreibung
Im Folgenden werden die drei Prozessabschnitte mit Aktivitäten und Rollen und Verantwortlichkeiten
definiert. Die Abschnitte sind miteinander verbunden und bilden den übergeordneten
Datenschutzprozess.

5.1 Meldung eines geplanten Vorhabens bzw. der geplanten Änderung von
Verarbeitungstätigkeiten
Die Durchführungsverantwortlichen haben die Verantwortung neue Verarbeitungstätigkeiten bzw.
Änderungen von bestehenden Verarbeitungstätigkeiten an das Team Datenschutz Support
(datenschutz-support@charite.de) zu melden.
Im Vorfeld ist durch die Durchführungsverantwortlichen über die Key Account Manager (KAM) des
GB IT prüfen zu lassen, ob eine Anforderung zur Softwareeinführung an der Charité geboten ist oder
bereits nutzbare Tools implementiert sind.
Neue Verarbeitungstätigkeiten sind Verarbeitungen die noch nicht in der prozessualen Abbildung3
des jeweiligen Verantwortungsbereichs vorliegen.
Eine Änderung einer bestehenden Verarbeitungstätigkeit hat dann zu erfolgen, wenn wesentliche
Prozessschritte geändert werden. Beispielsweise ist dies der Fall, wenn eine neue Software zur
Datenverarbeitung angeschafft und implementiert werden soll oder ein erweiterter Personenkreis auf
die Daten Zugriff erlangen soll.
Sofern weiterführende Dokumentationen vorliegen sind diese der Meldung beizufügen.

5.2 Ersteinschätzung des geplanten Vorhabens bzw. der geplanten Änderung von
Verarbeitungstätigkeiten
Um den Anfragenden eine erste Einschätzung zu geben prüft das Team Datenschutz Support

 ob personenbezogene Daten verarbeitet werden,

 ob das geplante Vorhaben bzw. die Änderung rechtlichen Vorgaben entgegensteht,
 ob eine Rechtsgrundlage für die Verarbeitungstätigkeit vorliegt bzw. eine Einwilligung
erforderlich ist sowie
 ob eine Zuordnung zu einer bestehenden Verarbeitungstätigkeit möglich ist.
Im Rahmen der Ersteinschätzung kann die bDSB konsultiert werden.
Die Ersteinschätzung kann dabei folgende Ergebnisse haben:

 Dem Vorhaben stehen nach kursorischer Prüfung keine offensichtlichen

Hinderungsgründe entgegen und eine Änderung einer bestehenden Verarbeitungstätigkeit
bzw. eine neue Verarbeitungstätigkeit ist anzumelden. In diesem Fall weiter mit Punkt 5.3.

3
Im Sinne des Verzeichnisses der Verarbeitungstätigkeiten.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
4 von 9
29.11.2022
 VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

 Dem Vorhaben stehen nach kursorischer Prüfung offensichtliche Hinderungsgründe

entgegen. Hierbei erfolgen mit der Einschätzung Hinweise zur erforderlichen Abhilfe.
Die Ergebnisse werden den Antragstellenden durch das Team Datenschutz Support übermittelt.
Sofern keine personenbezogenen Daten verarbeitet werden, wird der Bearbeitungsprozess
federführend an den Bereich Informationssicherheitsbeauftragter (CISO) übergeben und der VVT-
Prozess endet hier. Relevante Informationen und Unterlagen sind dem Bereich
Informationssicherheitsbeauftragter (CISO) durch den Durchführungsverantwortlichen zur Verfügung
zu stellen.

5.3 Aufnahme der Dokumentation von Verarbeitungstätigkeiten

Nach der erfolgreichen Ersteinschätzung haben die jeweiligen Durchführungsverantwortlichen die
notwendigen Dokumentationen zu erstellen bzw. an das Team Datenschutz Support zu übersenden.

a. Dokumentation von neuen Verarbeitungstätigkeiten

Die notwendigen Dokumentationen inkl. der jeweiligen Anlagen bestehen dabei aus dem
Datenschutzkonzept4 inkl.

 einer Datenschutzrisikoanalyse der Verarbeitungstätigkeit,

 einem Berechtigungskonzept,
 einem Betriebshandbuch der Anwendung,
 einem Löschkonzept und
 eventuell weiterer notwendiger Unterlagen (bspw. Verträge zur Auftragsverarbeitung).
Neben den o. a. Dokumentationen ist ein BSI konformes Sicherheitskonzept (gemäß VA Erstellung
von Sicherheitskonzepten) Voraussetzung.

b. Dokumentation von Anpassungen bestehender Verarbeitungstätigkeiten

Sofern bestehende Verarbeitungstätigkeiten angepasst werden sollen, sind die bestehenden
Dokumente durch die jeweiligen Durchführungsverantwortlichen entsprechend 5.3.a anzupassen.

c. Prüfung der Dokumentation

Nach erfolgtem Eingang der erstellten bzw. angepassten Dokumentationen werden diese durch das
Team Datenschutz Support und den Bereich Informationssicherheitsbeauftragter (CISO) geprüft. Bei
Bedarf konsultieren diese die bDSB.
Sofern hier Anpassungsbedarf oder Rückfragen bestehen, werden diese den jeweiligen
Durchführungsverantwortlichen kommuniziert und mit diesen zusammen beraten. Sollte die Prüfung
der Dokumentation zu keinen Rückfragen führen, ist mit 5.4 weiter zu verfahren.

4
Muster siehe Intranet (Link), Reiter VVT.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
5 von 9
29.11.2022
 VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

5.4 Prüfung der Relevanz für das Verzeichnis der Verarbeitungstätigkeiten

Das Team Datenschutz Support prüft, wie die zu behandelnde Verarbeitungstätigkeit in das zentrale
Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden muss.
Dabei werden im Wesentlichen zwei Varianten unterschieden:
1. Einzeleintrag, wenn die Verarbeitungstätigkeit eine dauerhafte und umfangreiche
Verarbeitung von personenbezogenen Daten vorsieht.
2. Gruppeneintrag, wenn die Verarbeitungstätigkeit eine temporäre Verarbeitung von
personenbezogenen Daten vorsieht.

5.5 Eintrag in das zentrale Verzeichnis der Verarbeitungstätigkeiten

Das Team Datenschutz Support führt das zentrale charitéweite Verzeichnis der
Verarbeitungstätigkeiten. Ausgenommen davon sind klinische Forschungsprojekte, welche im
Clinical Trial Office bearbeitet und dokumentiert werden.
Jede Verarbeitungstätigkeit erhält einen Individualeintrag im VVT gem. Art. 30 DS-GVO. Hier werden
auch die relevanten Dokumentationen (bspw. Datenschutzkonzept, Verträge) hinterlegt. Die
Verantwortung für die Aktualität der Dokumentation tragen die jeweiligen
Durchführungsverantwortlichen.
Darüber hinaus führt das Team Datenschutz Support eine Übersicht über alle
Verarbeitungstätigkeiten im Geltungsbereich dieser ZVA. Die Übersicht gibt jederzeit Auskunft über
die im VVT dokumentierten Verarbeitungstätigkeiten.
Für neue Verarbeitungstätigkeiten wird durch das Team Datenschutz Support ein erster
Individualeintrag im VVT vorgenommen und eine sogenannte Schwellwertanalyse (gem. 5.6)
durchgeführt.
Durch Änderungen an bestehenden Verarbeitungstätigkeiten können sich die Bewertungen für
einzelne zum Teil wesentliche Verarbeitungsschritte ändern. Diese gilt es dahingehend zu prüfen.

 Sofern es sich um keine wesentlichen Änderungen handelt werden diese im VVT dokumentiert
und es folgt 5.7.
 Sofern es sich um wesentliche Änderungen handelt, folgt 5.6.

5.6 Durchführung der Schwellwertanalyse

Sofern alle notwendigen Dokumentationen beim Team Datenschutz Support vorliegen und es sich
um eine neue Verarbeitungstätigkeit bzw. eine wesentliche Änderung einer bestehenden
Verarbeitungstätigkeit handelt, wird eine sogenannte Schwellwertanalyse durchgeführt. Ziel dieser
Schwellwertanalyse ist es, festzustellen, ob im Rahmen der geplanten Verarbeitungstätigkeit ein
potentiell hohes Risiko von Grundrechtsverletzungen der betroffenen Personen (Schwellwert)
angenommen werden kann. Dies kann sich bspw. schon allein aus den verarbeiteten
Datenkategorien (bspw. Gesundheitsdaten) oder dem Umfang der verarbeiteten Daten ergeben. Die
Dokumentation der Durchführung einer Schwellwertanalyse erfolgt durch das Team Datenschutz
Support im VVT.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
6 von 9
29.11.2022
 VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

Die zwingende Voraussetzung für die Durchführung einer Schwellwertanalyse ist die vollständige
Kenntnis über den Datenfluss und die Prozesse der Verarbeitungstätigkeit inkl. aller beteiligten
internen und/oder externen Parteien. Diese Angaben werden in 5.3 aufgenommen.
Das Ergebnis der durchgeführten Schwellwertanalyse kann sein:

 Der Schwellwert wurde nicht überschritten und eine DSFA ist nicht erforderlich. In diesem
Fall, weiter mit 4.7.
 Der Schwellwert wurde überschritten und eine DSFA ist erforderlich. In diesem Fall, ergeht
die Information an den Durchführungsverantwortlichen, dass eine DSFA durchgeführt werden
muss. Die initiale Planung der DSFA erfolgt durch das Team Datenschutz Support. Hierbei ist
die bDSB zwingend zu konsultieren. Der Prozess der DSFA ist in der VA Durchführung von
Datenschutz-Folgenabschätzungen beschrieben.

5.7 Dokumentation und Freigabe

Die im Rahmen der vorangegangenen Prozessschritte (Schwellwertanalyse, DSFA) identifizierten
Maßnahmen zur Reduzierung von Risiken für die Rechte und Freiheiten betroffener Personen sind
in Verantwortung der jeweiligen Durchführungsverantwortlichen umzusetzen (siehe 5.8).
Das Team Datenschutz Support führt eine zentrale Übersicht über zu erledigende Maßnahmen und
deren Fristen.
Sofern es sich bei den in Frage stehenden Verarbeitungstätigkeiten keine DSFA relevante
Verarbeitungstätigkeiten handelt, erfolgt die Freigabe durch das Team Datenschutz Support in
Abstimmung mit dem Bereich Informationssicherheitsbeauftragter (CISO).
Sofern es sich um bei den in Frage stehenden Verarbeitungstätigkeiten um DSFA relevante
Verarbeitungstätigkeiten (neue VT bzw. wesentliche Änderungen an bestehenden VT) handelt, erfolgt
gegebenenfalls eine (vorläufige) Freigabe durch das Team Datenschutz Support in Abstimmung mit
dem Bereich Informationssicherheit (CISO) im Rahmen des DSFA Prozesses. Relevante noch zu
erledigende Maßnahmen sind gem. 5.8 durch die Durchführungsverantwortlichen umzusetzen.

5.8 Maßnahmenumsetzung
Die Risikoidentifikation und -Bewertung folgt im Rahmen der DSFA in Übereinstimmung mit den
Vorgaben aus dem Risikomanagement der Charité, adjustiert auf die besonderen Anforderungen mit
Blick auf die Identifikation und Bewertung von Datenschutzrisiken aus Betroffenensicht.

Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert

29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
7 von 9
29.11.2022
 VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

Auf Basis der identifizierten und bewerteten Datenschutzrisiken werden durch das DSFA-Team
risikomitigierende Maßnahmen adressiert.
Die Umsetzung dieser Maßnahmen zur Risikoreduzierung folgt dann einem risikobasierten Ansatz.
Entscheidend ist die jeweils individuelle Risikobewertung unter Beachtung bereits implementierter
Maßnahmen (Nettorisiko). Dabei werden folgende Stufen unterschieden:

Risikohöhe Nettorisiko Maßnahmenumsetzung

(Sehr) Hoch Treffen von unmittelbaren Sofortmaßnahmen zur Milderung des
Risikos bis zu einer festgelegten Frist
Mittel Planung und Umsetzung von definierten Maßnahmen zur Milderung
des Risikos bis zu einer festgelegten Frist
Gering Maßnahmenempfehlungen haben einen empfehlenden Charakter
und können durch die jeweiligen Durchführungsverantwortlichen
umgesetzt werden

Dieser Ansatz gilt nur für Maßnahmen, welche aus einer durchgeführten DSFA erfolgen.
Maßnahmen, welche im Rahmen einer Schwellwertanalyse zu erledigen sind, liegen ausschließlich
im Verantwortungsbereich der jeweiligen Durchführungsverantwortlichen.

Alle relevanten Fristen werden zusammen mit den jeweiligen Durchführungsverantwortlichen

festgelegt. Dabei sollte, sofern es sich nicht um Sofortmaßnahmen handelt, die Machbarkeit der
Umsetzung und etwaige noch unvorhersehbare Ereignisse bedacht werden. In erster Linie sind die
Durchführungsverantwortlichen für die Einhaltung der Fristen zuständig und melden eine Umsetzung
bzw. etwaige Verschiebungen zeitgerecht an das Team Datenschutz Support. Sofern die
Maßnahmen zentrale technische bzw. organisatorischen Bereiche betreffen, sind die
Durchführungsverantwortlichen dafür zuständig, die relevanten Zentralebereiche zur Umsetzung
aufzufordern.
Das Team Datenschutz Support führt eine Fristenkontrolle durch.
Im Fall einer überfälligen Maßnahme und der Information durch den fachlichen Verantwortlichen
sowie den Durchführungsverantwortlichen an das Team Datenschutz Support wird eine Begründung
der Fristüberschreitung eingefordert. In diesen Fällen ist eine Verschiebung von Fristen nur mit
plausibler Begründung und in Abstimmung mit der Teamleitung Datenschutz Support möglich.

Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert

29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
8 von 9
29.11.2022
 VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten

Fristeneskalation (keine Information durch den fachlichen Verantwortlichen sowie den

Durchführungsverantwortlichen)
Das Team Datenschutz Support ist befugt bei erheblichem Zeitverzug bei der Umsetzung von
technischen und organisatorischen Maßnahmen eine Eskalation an das jeweilige zuständige
Vorstandsmitglied über die GB Leitung Datenschutz und Governance durchzuführen.

6 Mitgeltende Dokumente
 Muster Datenschutzkonzept
 Muster Berechtigungskonzept
 Muster Löschkonzept
 Muster Informationssicherheitskonzept
 Verfahrensanweisung zur Durchführung einer Datenschutz-Folgenabschätzung
 Leitlinie Datenschutz und Informationssicherheit
 ZVA Leitlinie zur Aufrechterhaltung von Informationssicherheit
 VA Erstellung von Sicherheitskonzepten
 Rahmendatenschutzkonzept

Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert

29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
9 von 9
29.11.2022