02_Datenschutz (DSGVO) Verzeichnis von Verarbeitungstätigkeiten (VVT/RoPA) Muster – Verarbeitungstätigkeit Verarbeitungstätigkeit: {{Prozessname}} Verantwortlicher: {{Firma / Anschrift}} Kontakt Datenschutz: {{E-Mail}} | DSB (falls vorhanden): {{Name}} Zwecke der Verarbeitung {{Zweck(e)}} Kategorien betroffener Personen & Daten {{Mitarbeitende, Bewerber, Kunden}} – {{Stammdaten, Abrechnungsdaten, Geodaten ...}} Rechtsgrundlagen {{Art. 6 Abs. 1 lit. … DSGVO}} Empfänger / Übermittlungen (inkl. Drittländer) {{Dienstleister/AV}} – {{kein/ja, Garantien}} Löschfristen {{konkret, Bezug auf Löschkonzept DIN 66398}} TOMs (Kurzbeschreibung) {{Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits-, Trennungs-Kontrollen}} Quelle Erstellt nach Art. 30 DSGVO. Nachweisführung in BookStack. VVT – Bewerbermanagement VVT: Bewerbermanagement (Seite anhand der Muster‑VVT ausfüllen.) VVT – Personal/Lohn VVT: Personal/Lohn (Seite anhand der Muster‑VVT ausfüllen.) VVT – Zeiterfassung VVT: Zeiterfassung (Seite anhand der Muster‑VVT ausfüllen.) VVT – E‑Mail/M365 VVT: E‑Mail/M365 (Seite anhand der Muster‑VVT ausfüllen.) VVT – Kundenverwaltung VVT: Kundenverwaltung (Seite anhand der Muster‑VVT ausfüllen.) VVT – Touren-/Schichtplanung VVT: Touren-/Schichtplanung (Seite anhand der Muster‑VVT ausfüllen.) VVT – Videoüberwachung VVT: Videoüberwachung (falls vorhanden) (Seite anhand der Muster‑VVT ausfüllen.) VVT – Fuhrpark/Telematik VVT: Fuhrpark/Telematik (falls vorhanden) (Seite anhand der Muster‑VVT ausfüllen.) Technische & Organisatorische Maßnahmen (TOMs) TOMs – Übersicht & Nachweise Technische und organisatorische Maßnahmen (TOMs) Maßnahme Umsetzung Nachweis/Ort Relevante Systeme MFA für Admins Entra ID/Sophos Screenshot/Change‑Nr. AD, VPN Verschlüsselung at rest BitLocker/Server Richtlinie Nr. … Laptops, Server Patchmanagement monatlich, kritisch ASAP SOP-Patch, Reports Windows, Netzwerk Backups 3-2-1, täglich inkrementell Testprotokolle Fileserver, ERP Admin‑Protokollierung Wazuh/OpenSearch Audit‑Dashboard AD, Firewalls Auftragsverarbeitung (AV) AV-Vertragsspiegel & Prüfprotokolle AV‑Vertragsspiegel & Prüfprotokolle Dienstleister Vertrag Zweck TOM‑Check (Datum) Ergebnis Nächster Review {{Provider}} {{Link}} {{z. B. Lohnabrechnung}} {{TT.MM.JJJJ}} {{ok/Abweichung}} {{TT.MM.JJJJ}} Datenschutzfolgeabschätzung (DSFA) DSFA – Vorlage DSFA – Vorlage Beschreibung Verarbeitung , Risiken , Maßnahmen , Rest‑Risiko , Einbindung DSB Datenschutzvorfälle Meldejournal & Lessons Learned Datenschutzvorfälle – Meldejournal Datum Art Betroffene Meldung Aufsicht Maßnahmen Abschluss Löschkonzept (DIN 66398) Muster-Löschregel Löschregel: {{Datenart}} Schutzbedarf: {{normal/hoch}} Aufbewahrungspflicht: {{6/10 Jahre (HGB/AO), Begründung}} Auslöser: {{Beendigungsdatum + X, Abschluss Vorgang ...}} Regel Sperren ab {{T0}}; Löschen ab {{T0 + Frist}} (inkl. Backups, Logs) Technische Umsetzung: {{DMS/GLPI/Skript}} Verantwortlich: {{Rolle}} Nachweis Löschprotokoll, Stichproben, letzte Prüfung am {{Datum}} Betroffenenrechte Prozess & Nachweise Betroffenenrechte – Prozess Eingang → Identprüfung → Bewertung → Umsetzung → Antwort → Nachweis (Fristen beachten)