Beruflich Dokumente
Kultur Dokumente
ZVA - Umgang Mit Verarbeitungstätigkeiten - V1 - 221129
ZVA - Umgang Mit Verarbeitungstätigkeiten - V1 - 221129
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten
1 Ziel
Die ZVA Umgang mit Verarbeitungstätigkeiten fast nachfolgende Datenschutzprozesse in einem
übergeordneten Prozess zusammen: die Aufnahme neuer/ Änderung bestehender
Verarbeitungstätigkeiten (VT) von personenbezogenen Daten in das Verzeichnis der
Verarbeitungstätigkeiten (VVT), die Durchführung einer Schwellwertanalyse und die Durchführung
einer Datenschutz-Folgenabschätzung1 (DSFA).
Neue oder Änderungen an Verarbeitungstätigkeiten dürfen erst nach positiver Beratung oder nach
Abschluss einer DSFA durch das Team Datenschutz Support in das Verzeichnis der
Verarbeitungstätigkeiten aufgenommen und durch den Durchführungsverantwortlichen operativ im
Produktivbetrieb implementiert werden.
Der kombinierte Ansatz hat zum Ziel, den Prozessbeteiligten als Übersicht zu den Einzelaktivitäten,
den (Teil-) Ergebnissen und den Kommunikationswegen zu dienen.
2 Prozessverantwortliche Person
Rolle Verantwortungsbereiche
1
Im Folgenden: DSFA.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
2 von 9
29.11.2022
VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten
3 Geltungsbereich / Zielgruppe
Diese ZVA gilt für alle Verarbeitungstätigkeiten von personenbezogenen Daten und
Durchführungsverantwortliche, welche für diese Verarbeitungstätigkeiten in der Charité –
Universitätsmedizin Berlin (Charité) verantwortlich sind. Ausgenommen vom Geltungsbereich sind
Verarbeitungstätigkeiten von
4 Begriffsdefinitionen
Sofern hier nicht anders dargestellt gelten die Begriffsdefinitionen aus dem
Rahmendatenschutzkonzept Charité – Universitätsmedizin Berlin.
2
Führung des VVTs für klinische Forschungsprojekte erfolgt im Clinical Trial Office.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
3 von 9
29.11.2022
VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten
5 Prozessbeschreibung
Im Folgenden werden die drei Prozessabschnitte mit Aktivitäten und Rollen und Verantwortlichkeiten
definiert. Die Abschnitte sind miteinander verbunden und bilden den übergeordneten
Datenschutzprozess.
5.1 Meldung eines geplanten Vorhabens bzw. der geplanten Änderung von
Verarbeitungstätigkeiten
Die Durchführungsverantwortlichen haben die Verantwortung neue Verarbeitungstätigkeiten bzw.
Änderungen von bestehenden Verarbeitungstätigkeiten an das Team Datenschutz Support
(datenschutz-support@charite.de) zu melden.
Im Vorfeld ist durch die Durchführungsverantwortlichen über die Key Account Manager (KAM) des
GB IT prüfen zu lassen, ob eine Anforderung zur Softwareeinführung an der Charité geboten ist oder
bereits nutzbare Tools implementiert sind.
Neue Verarbeitungstätigkeiten sind Verarbeitungen die noch nicht in der prozessualen Abbildung3
des jeweiligen Verantwortungsbereichs vorliegen.
Eine Änderung einer bestehenden Verarbeitungstätigkeit hat dann zu erfolgen, wenn wesentliche
Prozessschritte geändert werden. Beispielsweise ist dies der Fall, wenn eine neue Software zur
Datenverarbeitung angeschafft und implementiert werden soll oder ein erweiterter Personenkreis auf
die Daten Zugriff erlangen soll.
Sofern weiterführende Dokumentationen vorliegen sind diese der Meldung beizufügen.
5.2 Ersteinschätzung des geplanten Vorhabens bzw. der geplanten Änderung von
Verarbeitungstätigkeiten
Um den Anfragenden eine erste Einschätzung zu geben prüft das Team Datenschutz Support
3
Im Sinne des Verzeichnisses der Verarbeitungstätigkeiten.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
4 von 9
29.11.2022
VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten
4
Muster siehe Intranet (Link), Reiter VVT.
Version: 2.0 Letzte Überprüfung: Erstellt: Christian Seifert
29.11.2022 Geprüft: Janet Fahron, Airen Reich, Alexa Ziegeler
Seite
Beschluss-Nr.: Nächste Überprüfung: Freigegeben: Vorstand
Freigabe am: 29.11.2025
5 von 9
29.11.2022
VORSTAND / KLINIKUMSLEITUNG
Campus: alle
Zentrale Verfahrensanweisung
ZVA zum Umgang mit
Geltungsbereich: Charité
Verarbeitungstätigkeiten
Sofern es sich um keine wesentlichen Änderungen handelt werden diese im VVT dokumentiert
und es folgt 5.7.
Sofern es sich um wesentliche Änderungen handelt, folgt 5.6.
Die zwingende Voraussetzung für die Durchführung einer Schwellwertanalyse ist die vollständige
Kenntnis über den Datenfluss und die Prozesse der Verarbeitungstätigkeit inkl. aller beteiligten
internen und/oder externen Parteien. Diese Angaben werden in 5.3 aufgenommen.
Das Ergebnis der durchgeführten Schwellwertanalyse kann sein:
Der Schwellwert wurde nicht überschritten und eine DSFA ist nicht erforderlich. In diesem
Fall, weiter mit 4.7.
Der Schwellwert wurde überschritten und eine DSFA ist erforderlich. In diesem Fall, ergeht
die Information an den Durchführungsverantwortlichen, dass eine DSFA durchgeführt werden
muss. Die initiale Planung der DSFA erfolgt durch das Team Datenschutz Support. Hierbei ist
die bDSB zwingend zu konsultieren. Der Prozess der DSFA ist in der VA Durchführung von
Datenschutz-Folgenabschätzungen beschrieben.
5.8 Maßnahmenumsetzung
Die Risikoidentifikation und -Bewertung folgt im Rahmen der DSFA in Übereinstimmung mit den
Vorgaben aus dem Risikomanagement der Charité, adjustiert auf die besonderen Anforderungen mit
Blick auf die Identifikation und Bewertung von Datenschutzrisiken aus Betroffenensicht.
Auf Basis der identifizierten und bewerteten Datenschutzrisiken werden durch das DSFA-Team
risikomitigierende Maßnahmen adressiert.
Die Umsetzung dieser Maßnahmen zur Risikoreduzierung folgt dann einem risikobasierten Ansatz.
Entscheidend ist die jeweils individuelle Risikobewertung unter Beachtung bereits implementierter
Maßnahmen (Nettorisiko). Dabei werden folgende Stufen unterschieden:
Dieser Ansatz gilt nur für Maßnahmen, welche aus einer durchgeführten DSFA erfolgen.
Maßnahmen, welche im Rahmen einer Schwellwertanalyse zu erledigen sind, liegen ausschließlich
im Verantwortungsbereich der jeweiligen Durchführungsverantwortlichen.
6 Mitgeltende Dokumente
Muster Datenschutzkonzept
Muster Berechtigungskonzept
Muster Löschkonzept
Muster Informationssicherheitskonzept
Verfahrensanweisung zur Durchführung einer Datenschutz-Folgenabschätzung
Leitlinie Datenschutz und Informationssicherheit
ZVA Leitlinie zur Aufrechterhaltung von Informationssicherheit
VA Erstellung von Sicherheitskonzepten
Rahmendatenschutzkonzept