Start der DSM-App

Beim Öffnen der DSM-App erscheint folgende Ansicht.

Startbildschirm Datenschutzmanagement — Startbildschirm der DSM-App

Nach dem Start der DSM-App werden alle aktiven Verfahren in einer Tabelle angezeigt, für die der angemeldete Benutzer Rechte besitzt.

(1) Aktiv: Diese Verfahren sind gerade zu bearbeiten. Entweder, weil sie neu erstellt wurden oder weil sie überprüft werden müssen. Dies ist der Fall, wenn sich der Prozess geändert hat, ein bestimmtes Zeitintervall abgelaufen ist oder das Verfahren vom DSB händisch zur Überprüfung gegeben wurde.

(2) Andere: Hier befinden sich die Verfahren, die gerade durch den DSB freigegeben werden müssen. Diese können nicht bearbeitet, aber angesehen werden.

(3) Wiedervorlage: Im letzten Ordner liegen die Freigegebenen Verfahren. Diese warten dort auf eine erneute Überprüfung. Sie können angesehen, aber nicht geändert werden. Der DSB kann diese Verfahren jederzeit zur erneuten Überprüfung vorsehen.

(4) Seitengröße: Hier kann die Anzahl der auf einmal angezeigten Verfahren geändert werden.

(5) Filter: Bei vielen Verfahren kann die Anzeige der Verfahren durch Eingabe eines Filters reduziert werden.

(6) Name: Der Name des Verfahrens. Er entspricht dem Namen des zugehörigen Prozesses.

(7) Status: Der aktuelle Status des Verfahrens.

(8) Zuständig: Alle Mitarbeiter, die für das Verfahren zuständig sind.

(9) Verantwortlich: Alle Mitarbeiter, die für das Verfahren verantwortlich sind.

(10) Verantwortliche OU: Die Organisationseinheit, die für das Verfahren zuständig ist.

(11) Prozess Start: Das letzte Freigabedatum des Prozesses, zu dem das Verfahren gehört.

(12) Anzahl genehmigt: Die Anzahl Genehmigungen, die das Verfahren schon durchlaufen hat.

In den Ordnern Andere und Wiedervorlage sind die Anzeigen ähnlich aufgebaut. Unter Wiedervorlage wird zusätzlich noch das Freigabedatum des Verfahrens und das Ablaufdatum angezeigt, nach dem das Verfahren auf jeden Fall wieder geprüft werden muss.

Zusätzliche Spalten in der Wiedervorlage

Ausfüllen eines Verzeichnisses

Zum Ausfüllen eines Verzeichnisses gibt es mehrere Formulare, in die alle Informationen eingetragen werden. Diese werden im folgenden näher beschrieben.

Es ist möglich, zwischen den Schritten hin und her zu springen oder von Schritt zu Schritt durch die Formulare zu gehen.

Schon gemachte Eingaben können zwischengespeichert werden, um die Bearbeitung später fortzusetzen, eine Bearbeitung kann auch wieder abgebrochen werden. Dann werden die Änderungen nicht gespeichert.

Es gibt Eingaben, die gemacht werden können und Eingaben, die gemacht werden müssen, die sogenannten Pflichtfelder. Bevor diese nicht ausgefüllt sind, kann das Verfahren nicht abgeschlossen werden.

Sind alle Angaben vollständig, so wird das Verfahren abgeschickt und der DSB bekommt es zur Freigabe.

Umfangreiche erklärende Texte zur Eingabe können bei Bedarf eingeblendet werden.

Im Titel in den Formularen wird angezeigt, in welchem Verfahren sich der Bearbeiter gerade befindet, was gerade zu tun und wer verantwortlich ist.

Darunter befindet sich die Angabe, welcher Schritt gerade ausgefüllt wird.

Wenn das Formular gerade erfasst wird, dann erscheint die Meldung:

Die Informationen zum Verfahren werden vom Verantwortlichen vervollständigt.

Ist das Verfahren schon einmal durch den DSB abgelehnt worden, so wird der Kommentar des DSB dazu ebenfalls im Titel angezeigt.

Schritt 1: Übersicht

Auf dem ersten Formular werden die übernommenen Daten, Bezeichnung, zugehöriger Prozess, Ansprechpartner, Organisationseinheit, an dem Prozess modellierte Anwendungen und der Versionszähler angezeigt. Diese können auch nicht geändert werden.

Formular Übersicht — Formular Schritt 1 – Übersicht

Als erste Pflichtangabe muss hier angegeben werden, ob personenbezogene Daten in Prozess verarbeitet werden. Da dies ein Pflichtfeld ist, geht es ohne diese Angabe nicht weiter. Sind keine personenbezogenen Daten vorhanden, so werden keine weiteren Formulare angezeigt.

keine personenbezogenen Daten — Keine personenbezogenen Daten vorhanden

Die Zweckbestimmung ist auszufüllen. Das Verfahren kann nur zwischengespeichert, die Bearbeitung abgebrochen oder zum Datenschutzbeauftragten weitergereicht werden, damit dieser das Verfahren freigeben kann.

Hinweis
In diesem Fall werden auch alle weiteren Angaben auf den anderen Formularen, die evtl. vorher eingegeben wurden, gelöscht.

Schritt 2: Verarbeitende Daten

Formular verarbeitete Daten — Formular Schritt 2 – verarbeitete Daten

In diesem Formular werden die Kategorien der betroffenen Personen angegeben, wobei zu jeder Kategorie auch noch mehrere Datenkategorien angegeben werden können. Diese Felder sind mit möglichen Angaben vorbelegt. Es muss zudem angegeben werden, ob es sich um eine besondere Kategorie handelt.

Über den Button + können Textfelder hinzu gefügt werden.

Für alle Eingaben stehen Hilfstexte zur Verfügung.

Formular Datenverarbeitung — Formular Schritt – ausgefüllt

Schritt 3: Datenlöschung

Bei der Datenlöschung kann auf ein bestehendes Löschkonzept verwiesen werden. Es können aber auch alle unter Schritt 2 eingetragenen Datenkategorien einzeln angegeben werden. Diese stehen hier als Auswahlliste zur Verfügung.

Angegeben werden muss, wie die Löschung umgesetzt wurde.

Es können auch noch weitere Angaben zur Löschung der Daten angegeben werden.

Formular Datenlöschung — Formular Schritt 3 – Datenlöschung

Schritt 4: Rechtsgrundlage

Hier geht es um die Rechtsgrundlage der Verarbeitung. Es ist eine Liste vorgegeben, aus der ausgewählt werden muss. Dazu ist jeweils noch die Angabe der Details nötig.

Formular Rechtsgrundlage — Formular Schritt 4 – Rechtsgrundlage

Schritt 5: Herkunft der Daten und Speicherort

Hier wird angegeben, woher die Daten stammen, die in dem Prozess verarbeitet werden und wo diese Daten gespeichert sind.

Formular Datenherkunft — Formular Schritt 5 – Herkunft der Daten

Schritt 6: Interne und Externe Empfänger, Drittländer

Die Daten werden aus den Prozessen heraus an interne und externe Empfänger weiter gegeben. Dabei sollte nach Möglichkeit mit Verlinkungen gearbeitet werden. D.h., die Empfänger der Daten werden aus Listen von im VASGARD/IAN hinterlegten Organisationseinheiten und Geschäftspartnern ausgewählt. Nur wenn diese nicht vorhanden sind, sollten die Empfänger in das Freitextfeld eingetragen werden.

Werden die Daten auch in ein Drittland weiter gegeben, so wird dieses hier ebenfalls eingetragen.

Formular Empfänger — Formular Schritt 6 – Empfänger

Schritt 7: Ausgewählte Anforderungen

In diesem Schritt werden Angaben zur Datenminimierung, Transparenz usw. gemacht. Hier muss immer ausgewählt werden, ob es zutrifft oder nicht. Im Freitextfeld können dann eine Begründung oder Details dazu eingetragen werden.

Formular Anforderungen — Formular Schritt 7 – ausgewählte Anforderungen

Schritt 8: Eingriffsintensität/Schutzbedarf

In diesem Schritt geht es um den Schutzbedarf. Hierbei handelt es sich auch um eine Pflichtangabe.

Formular Schutzbedarfskategorie — Formular Schritt 8 – Schutzbedarfskategorie

Schritt 9: TOM (Teil 1)

In Schritt neun und zehn geht es um die technischen und organisatorischen Maßnahmen (TOM) . Da es sehr viele Angaben sind, wurden diese auf zwei Schritte verteilt.

Formular Schutzmaßnahmen — Formular Schritt 9 – Schutzmaßnahmen Teil 1

Es gibt immer Auswahllisten und zu jedem ausgewählten Punkt ein Detailfeld.

Wenn die internen TOM der Firma oder die externen TOM Verwendung finden, so kann dieses angegeben werden. Bei den externen TOM sollten dann noch die entsprechenden Verträge hinzugefügt werden.

Einzelne weitere TOM müssen nur angegeben werden, wenn sie sie von den internen TOM abweichen.

Schritt 10: TOM (Teil 2)

In Schritt neun und zehn geht es um die technischen und organisatorischen Maßnahmen (TOM). Da es sehr viele Angaben sind, wurden diese auf zwei Schritte verteilt.

Formular TOMs — Formular Schritt 10 – TOMs

Es gibt immer Auswahllisten und zu jedem ausgewählten Punkt ein Detailfeld.

Schritt 11: Zugriffsberechtigungen

Hier geht es um die Zugriffsberechtigungen für die betroffenen Daten.

Formular Zugriffsberechtigung — Formular Schritt 11 – Zugriffsberchtigungen

Schritt 12: Eintrittswahrscheinlichkeit

Im letzten Schritt wird noch die Eintrittswahrscheinlichkeit angegeben. Auch dieses ist eine Pflichtangabe.

Formular Eintrittswahrscheinlichkeit — Formular Schritt 12 – Eintrittswahrscheinlichkeit

Auswahlliste Eintrittswahrscheinlichkeit — Auswahlliste

Absenden des Verfahrens zur Freigabe

Durch auswählen des Buttons Speichern und Weiterreichen wird bestätigt, dass das Verfahren komplett ausgefüllt wurde. Der Datenschutzbeauftragte bekommt das Verfahren jetzt und hat die Möglichkeiten, es freizugeben oder abzulehnen.

Wird das Verfahren freigegeben, so landet es im Ordner Wiedervorlage bis sich der zugehörige Prozess ändert oder eine festgelegte Zeitspanne abgelaufen ist. Dann kommt es wieder in den Ordner Aktive und muss wieder kontrolliert und ggf. angepasst werden.

Ein vom DSB abgelehntes Verfahren kommt auch wieder in den Order Aktive und muss noch einmal überarbeitet werden. Ein vom DSB angefügter Kommentar wird dabei im Verfahren angezeigt, so dass ersichtlich ist, warum das Verfahren abgelehnt wurde. Es wird dann überarbeitet und erneut dem DSB weitergereicht. Dieser Vorgang wiederholt sich so oft, bis das Verfahren freigegeben wird.