=== D2 Verarbeitungstätigkeiten === Die DS-GVO verwendet „Verarbeitungstätigkeit“ in [[wiki:datenschutzgrundverordnung:kapitel04:artikel30|Art. 30 DS-GVO]] als zentralen Begriff des Datenschutzmanagements und definiert den Begriff der „Verarbeitung“ in [[wiki:datenschutzgrundverordnung:kapitel01:artikel04|Art. 4]] Abs. 2 DS-GVO: //„Im Sinne dieser Verordnung bezeichnet der Ausdruck (...) Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; (...).“// [[wiki:datenschutzgrundverordnung:kapitel04:artikel30|Art. 30 DS-GVO]] listet die Angaben auf, die in das Verzeichnis der Verarbeitungstätigkeiten, das vom Verantwortlichen oder Auftragsverarbeiter zu führen ist, aufzunehmen sind. Genannt werden dort u. a.: * Namen und Kontaktdaten des Verantwortlichen, des Vertreters sowie des Datenschutzbeauftragten, * die Zwecke der Verarbeitung, * eine Beschreibung der Kategorien betroffener Personen, personenbezogener Daten und Empfänger sowie ggfs. die Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, * die vorgesehenen Fristen für die Löschung, * eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß [[wiki:datenschutzgrundverordnung:kapitel04:artikel32|Art. 32]] Abs. 1 DS-GVO. Diese allgemeine Beschreibung einer Verarbeitung stellt noch keine ausreichende Dokumentation von Verarbeitungstätigkeiten dar und erfüllt allein noch nicht die Anforderungen an Transparenz gemäß [[wiki:datenschutzgrundverordnung:kapitel02:artikel05|Art. 5]] Abs. 2 DS-GVO. Die Funktion der vollständigen Dokumentation einer Verarbeitung besteht darin, dass alle relevanten Komponenten einer Verarbeitungstätigkeit aufgrund der bestehenden Rechenschaftspflicht prüffähig sind, um diese einer datenschutzrechtlichen Beurteilung unterziehen zu können. Prüffähigkeit bedeutet dabei, dass die Funktionen aller Komponenten, die bei einer Verarbeitungstätigkeit zum Einsatz kommen, insbesondere die Komponenten auf der Ebene der elektronischen Datenverarbeitung und Kommunikation, einer Soll-Ist-Bilanzierung zugänglich sind. Diese Prüfbilanz bezüglich funktionaler Eigenschaften sowie der getroffenen technischen und organisatorischen Maßnahmen der Verarbeitungstätigkeit muss dann wiederum einer rechtlichen Beurteilung der Rechtskonformität bzw. Ordnungsmäßigkeit insgesamt unterzogen werden können unter der Fragestellung, ob die richtigen Maßnahmen zweckgemäß ausgewählt und mit der korrekten Wirkintensität betrieben werden. {{page>.:d2:d2_1}} {{page>.:d2:d2_2}} {{page>.:d2:d2_3}}