¶ Arbeitsablauf Betroffenenrecht – Neue Änderung erstellen
¶ Einführung
¶ Betroffenenrechte nahtlos & systemübergreifend abwickeln
Das Recht auf Berichtigung (Art. 16 DSGVO) zählt zu den sogenannten Betroffenenrechten. Dieses Recht gibt dem Betroffenen die Option, unrichtige Daten korrigieren zu lassen und andererseits kann er auch verlangen, dass z.B. fehlende Daten (Angaben) vervollständigt werden.
Nehmen wir z.B. an, Maria Schneider hat geheiratet und ihren Namen auf Maria Gruber geändert und überdies ist sie auch noch umgezogen. In diesem Fall kann die betroffene Person eine Berichtigung ihrer Daten verlangen. Die betroffene Person kann somit einen Antrag bei dir – im Sinne des Verantwortlichen – stellen. Dieser Antrag kann z.B. auch mündlich erfolgen, da er nicht an eine konkrete Form gebunden ist.
¶ Privacy unterstützt bei der Abwicklung von Betroffenenanfragen
Die Data Protection Management Software Privacy bietet dir als Verantwortliche:m und/oder als Datenschutzbeauftragte:m ein intelligentes Werkzeug, um Betroffenenrechte wie z.B. die Auskunft, Berichtigung und Löschung von Daten nahtlos sowie nachweisbar auf einer Plattform abzuwickeln. So behältst du zu jeder Zeit den Überblick.
¶ Betroffenenrechte sind Teamwork
Beziehe deine zuständigen Kolleg:innen (sog. vorab definierte Data Owner/Anwendungsverantwortliche) in den Workflow ganz einfach mit ein. Starte intern z.B. eine Beauskunftung und versende browserbasierte Formulare mit konkreten Aufgaben an deine Kollegen. So kannst du systemübergreifend und in Echtzeit im Team zusammenarbeiten und wichtige Informationen z.B. in der Marketingabteilung einholen.
¶ Direkt mit Betroffenen kommunizieren
Kommuniziere nachweislich mit den Betroffenen anhand der integrierten Benachrichtigungsfunktion. So sorgst du für Transparenz und Nachvollziehbarkeit.
¶ Inhaltsverzeichnis
¶ Abschnitt 1
- Worauf du im Vorfeld stets achten musst - Aktuelle Dokumentation von Anwendungen
- Wie die “Rückwärtssuche” lückenlos gelingt - Anwendungsverantwortliche (Data Owner) anlegen & verknüpfen
¶ Abschnitt 2
¶ Dokumentations-Ebene
- Arbeitsablauf – Neuen Arbeitsablauf "Änderung" starten
- Optionen auswählen für die Abwicklung des geplanten Prozesses
- Beschreibung & Erfassung des Betroffenenrechts
- Daten des Betroffenen erfassen
- Betroffene Organisation auswählen
- Überprüfung und Freigabe der Benachrichtigungen an die Anwendungsverantwortlichen
¶ Prozess-Ebene
- Aufgabe abschließend kontrollieren und Benachrichtigung aktivieren und an Anwendungsverantwortliche senden
- Wechsel zur Managementsicht (Perspektive des Systemnutzers in Privacy)
- Arbeitsablauf überwachen
- Protokoll anzeigen
- Wechsel zur Perspektive des Anwendungsverantwortlichen
- Betroffenenprozess abschließen und an Betroffenen versenden
- Perspektive des Betroffenen – Ansicht Online-Formular
- Arbeitsablauf archivieren
¶ Abschnitt 1
¶ Worauf du im Vorfeld stets achten musst – Aktuelle Dokumentation von Anwendungen
Wenn du mit DataReporter Privacy startest, ist eine korrekte und lückenlose “Inventarisierung" deiner verwendeten Anwendungen (z.B. ein EDV-System zur Gästeverwaltung) elementar, um in weiterer Folge für eine reibungslose und vor allem schnelle Abwicklung eines Betroffenenrechts Sorge trage zu können. Was wir exakt unter “Anwendungen” verstehen und wie du dein Privacy Projekt von Beginn an erfolgreich startest, findest du hier im Detail.
Anwendungen_PC.jpeg
¶ Wie die “Rückwärtssuche” lückenlos gelingt – Anwendungsverantwortliche (Data Owner) anlegen & Anwendung mit Verarbeitungstätigkeit (VAT) verknüpfen
¶ Gruppe der Betroffenen
Wenn du einen Arbeitsablauf startest, dann fragt dich Privacy im Abschnitt “Betroffener” nach der Betroffenkategorie. Dort kannst du z.B. die Kategorie (= Gruppe) “Kunde” anklicken. Somit werden automatisch in den folgenden Schritten nur die Anwendungen und die damit verbundenen Verarbeitungstätigkeiten herausgefiltert, in welchen tatsächlich Daten der Betroffenenkategorie (Gruppe) “Kunde” verarbeitet u.Ä. werden.
Die automatisch erstellte Liste (Übersicht) von Anwendungen und deren Anwendungsverantwortlichen kannst du dann im Schritt: Überprüfung und Freigabe der Benachrichtigungen an die Anwendungsverantwortlichen, nochmals kontrollieren.
¶ Anwendungsverantwortliche anlegen & benachrichtigen
Wichtig!
Anwendungsverantwortliche müssen nicht zwingend Systembenutzer sein. Systembenutzer sind die Kontakte, welche explizit Zugriff zur Software haben.
Privacy bietet dir hier eine komfortable Option mittels browserbasierter Aufgabenformulare (siehe Abschnitt: Protokoll anzeigen → Perspektive des Anwendungsverantwortlichen) Kollegen in Prozesse mit einbeziehen zu können, ohne dass diese Zugriff direkt in die Software benötigen.
Gehe auf die gewünschte Anwendung und lege dort fest, wer für diese Anwendung verantwortlich ist. Damit ist z.B. eine Kollegin im Marketing gemeint, welche für das Newsletter-Tool verantwortlich ist, da sie dort einen Zugang hat und alle Daten einpflegt u.v.m.
Im Menü → Anwendung → Abschnitt: Organisatorische und technische Kontakte → Zuständig(r) → wählst Du dann aus der vorab angelegten Kontaktliste den zuständigen Anwendungsverantwortlichen aus. Lege auch eine Vertretung fest.
Beachte!
Die hier hinterlegten Anwendungsverantwortlichen (Zuständige & Vertretungen) sind die Kontakte, welche beim Starten des Workflows benachrichtigt werden.
¶ Abschnitt 2 – Dokumentations-Ebene
¶ Arbeitsablauf - Neue Änderung starten
Menü: Arbeitsabläufe → Neuer Arbeitsablauf → Neue Änderung
¶ Optionen auswählen für die Abwicklung des geplanten Prozesses
Du hast an diesem Punkt die Optionen, den Arbeitsablauf manuell zu dokumentieren (also ohne Miteinbeziehen von Anwendungsverantwortlichen) oder den Prozess mit Hinzuziehen der Anwendungsverantwortlichen via browserbasierter Aufgabenformulare. In diesem Fall klicke stets auf “Weiter zum nächsten Schritt”. Du kannst jederzeit wieder einen Schritt zurückgehen. Des Weiteren kannst du die Anfrage dokumentieren und aus unterschiedlichen Gründen ablehnen.
¶ Beschreibung & Erfassung des Betroffenenrechts
Fülle nun Schritt für Schritt die folgenden Felder aus:
- Beschreibung: z.B. Namensänderung und Änderung der Wohnadresse
- Erledigung: Klicke hier die gesetzliche Frist an
- Identitätsnachweis: Wähle aus dem Dropdown Menü mit welchem Dokument sich der Betroffene identifiziert hat bzw. ob eine Identifikation möglich war/ist
- Eingelangt am: Wähle das Datum, an welchem die Anfrage vom Betroffenen eingelangt ist
- Nachricht an Zuständige: Schreibe eine kurze Information an deine Anwendungsverantwortlichen bzgl. der gewünschten Aufgaben und nächste Schritte
- Änderungen: Führe an, welche Änderungen vorgenommen werden sollen
¶ Daten des Betroffenen erfassen
- Anrede/Titel: Herr/Frau
- Name: Vorname/Nachname
- Identifikationsmerkmal: Wähle aus dem Dropdown Menü z.B. Personalausweis
- Betroffenenkategorie: Wähle aus dem Dropdown Menü die vom System vorgegebenen zutreffenden Kategorien wie in unserem Fall z.B. Kunde. Hinweis! Dadurch werden automatisch im nächsten Schritt nur die Anwendungen aufgelistet, in welchen diese Kategorien samt Daten verarbeitet etc. werden.
- E-Mail: Mailadresse des Betroffenen. An diese Mailadresse wird zum Schluss des Arbeitsablaufes die Benachrichtigung samt Link für das browserbasierte Online-Formular versendet
- Checkbox: Du kannst Dich an dieser Stelle entscheiden, ob der Betroffene eine Mail aus dem System erhalten soll oder nicht
- Erfasse auch noch folgende Daten wie: Telefonnummer, Straße, PLZ/Ort, Land
¶ Betroffene Organisation auswählen
In diesem Schritt wählst du die Organisation aus, in welcher der Betroffene z.B.Kunde ist. Wenn du mehrere Organisationen (z.B. Mutter- und Tochtergesellschaften) in deiner Privacy Lizenz verwaltest, kann es gut möglich sein, dass der Arbeitsablauf organisationsübergreifend durchgeführt werden muss. Aufgrund der Privacy Struktur lässt sich das schnell und einfach umsetzen!
¶ Überprüfung und Freigabe der Benachrichtigungen an die Anwendungsverantwortlichen
In diesem Abschnitt listet dir Privacy exakt die Anwendungen auf, welche mit Verarbeitungstätigkeiten verknüpft sind, in denen die jeweilige Betroffenenkategorie, wie in unserem Beispiel → Kunde → dokumentiert sind.
In der Liste siehst du auch die Organisation, den Anwendungsverantwortlichen und den Stellvertreter (sofern dokumentiert und zugewiesen).
In der Spalte “Bearbeiten”, kannst Du an diesem Punkt noch entscheiden, ob ausgewählte Anwendungen nicht abgefragt werden sollen. Ist dies der Fall, dann klicke einfach auf “Nicht abfragen”.*
Du kannst auch mit Klick auf “+Anwendung hinzufügen” jederzeit manuell eine gewünschte Anwendung auswählen und zum Prozess hinzufügen.
*In unserem Beispiel haben wir uns entschieden, nur die Frida Finanz zu kontaktieren.
¶ Abschnitt 2 – Prozess-Ebene
¶ Aufgabe abschließend kontrollieren und Benachrichtigung aktivieren und an Anwendungsverantwortliche senden
An diesem Punkt siehst du noch einmal alle Daten zusammengefasst. Klicke auf den Button “Aktivieren und Kontakte benachrichtigen” und starte damit den Arbeitsablauf und die Benachrichtigung an die Anwendungsverantwortlichen. Diese erhalten eine E-Mail mit einer Nachricht und einen Link für ihr browserbasiertes Online-Formular, mit dem sie dir deine gewünschten Informationen einmelden können.
¶ Wechsel zur Managementsicht (Perspektive des Systemnutzers in Privacy)
Nachdem du die Benachrichtigung ausgelöst hast siehst du auf deinem Desktop folgende Information:
Der Arbeitsablauf wurde erfolgreich erstellt. Um den Vorgang zu verwalten, wechseln Sie bitte in die Managementsicht → “Zur Management Ansicht wechseln”
¶ Arbeitsablauf überwachen
In diesem Abschnitt kannst du in Echtzeit sehen, wie weit der Arbeitsablauf fortgeschritten ist, indem du auf “Arbeitsablauf überwachen” klickst.
¶ Protokoll anzeigen
Das Protokoll gibt dir stets einen Überblick über den aktuellen Status quo.
¶ Wechsel zur Perspektive des Anwendungsverantwortlichen
Um dir einen Eindruck über die Perspektive des Anwendungsverantwortlichen zu verschaffen, kannst du im Submenü “Arbeitsablauf überwachen” auf die Checkbox mit dem Pfeil klicken.
Der Anwendungsverantwortliche – in unserem Fall die Frida Finanz – kann nun Schritt für Schritt das Online-Formular bearbeiten. Dabei gibt es folgende Optionen:
- Ablehnen/Keine Daten
- Bearbeiten
Beispiel: Bearbeiten
Der Anwendungsverantwortliche hat die Möglichkeit mit Klick auf "Aufgabe in Anwendung wurde erledigt" zurück zu melden und somit abzuschließen. Danach bekommt er die Meldung “Dieser Arbeitsablauf wurde vollständig erledigt” und das Formular erlischt.
¶ Betroffenenprozess abschließen und an Betroffenen versenden
In Deiner Managementansicht kannst du nochmals alle Informationen überprüfen. Im Submenü “Informationen” → “Art der Information” → hast Du die Option zu entscheiden, ob der Betroffene online mittels Link oder manuell (z.B. durch Brief → Ausdruck) benachrichtigt werden soll. In unserem Beispiel wählen wir “Online mittels Link”.
¶ Betroffenen benachrichtigen
¶ Überprüfe nochmals alle Felder und Informationen:
- Öffentl. Link: Hier siehst du einen automatisch generierten öffentlichen Link, der in der E-Mail an den Betroffenen mitgesendet wird.
- Kopieren: Solltest du diesen Link z.B. aus deinem E-Mail-Programm heraus versenden wollen, dann kopiere den Link und füge diesen in deine E-Mail ein. Empfehlung! Vermeide Systembrüche und nutze Privacy in vollem Umfang. Du kannst die E-Mail-Vorlagen maßgeschneidert an deine Bedürfnisse anpassen.
- In neuem Fenster öffnen: Dort kannst du überprüfen, wie dem Betroffenen das browserbasierte Formular angezeigt wird.
- Zugangscode: Privacy generiert automatisch einen Zugangscode. Diesen Code benötigt der Betroffene, um sein Online-Formular öffnen zu können. Versende z.B. diesen Code als SMS an den Betroffenen oder in einer gesonderten Nachricht.
Empfehlung!
Dieser Vorgang trägt zur Sicherheit in der Kommunikation bei.
- Zugriffscode anzeigen: Mit Klick auf die Checkbox siehst du dann im Feld “Zugangscode” den Code.
- Infotext: Im integrierten Text-Editor kannst du deine Nachricht an den Betroffenen maßgeschneidert anpassen oder ganz einfach den Standard-Text nutzen.
- per E-Mail benachrichtigen: Sende nun deine Nachricht direkt an den Betroffenen.
¶ Perspektive des Betroffenen - Ansicht Online-Formular
Nachdem der Betroffene seine E-Mail samt Link erhalten hat und seinen Code eingibt, sieht er Folgendes:
In der Managementansicht siehst du im Submenü → Protokoll → ob und wann der Betroffene sein Formular geöffnet hat.
¶ Arbeitsablauf archivieren
Nachdem der Arbeitsablauf erfolgreich abgeschlossen wurde, kannst du diesen archivieren und dir bei Bedarf in der Gesamtübersicht aller Arbeitsabläufe anzeigen lassen. Menü: Arbeitsabläufe → 1. Filter “erledigt” → 2. Filter “Änderung”