TISAX® Kapitel 9.3.1
Inwieweit werden Verarbeitungen identifiziert und erfasst?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
Das Unternehmen erfüllt seine Rechenschafts- und Transparenzpflicht und schafft sich so eine Übersicht über die jeweiligen Datenverarbeitungen.
Anforderungen
- Muss
- Sofern gesetzlich erforderlich, wird ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 und/oder Abs. 2 DSGVO (in letzterem Fall nur auftragsgegenständliche Informationen, ausdrücklich nicht andere Informationen/Angaben zu internen Verarbeitungen) geführt.
- Muss
- Hinweis: für die Verarbeitung erforderliche technische und organisatorische Maßnahmen werden mit dem Fragebogen zur Informationssicherheit abgeprüft
- Muss
- Es existiert eine Prozessbeschreibung/Ablaufbeschreibung mit definierten Zuständigkeiten.
Umsetzung
Erstellung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten
Beginnen Sie zunächst mit der Erstellung eines Verzeichnisses aller Verarbeitungstätigkeiten, wie es Artikel 30 DSGVO fordert. Berücksichtigen Sie hierbei, dass das Verzeichnis sowohl die auftragsgegenständlichen Informationen umfassen sollte, als auch alle anderen relevanten Informationen ausschließt. Das Verzeichnis sollte regelmäßig aktualisiert werden, um sicherzustellen, dass es stets den aktuellen Stand der Verarbeitungstätigkeiten widerspiegelt.
Integration technischer und organisatorischer Maßnahmen
Die für die Verarbeitung erforderlichen technischen und organisatorischen Maßnahmen sollten detailliert dokumentiert werden. Dies umfasst sowohl die Sicherheitsvorkehrungen als auch die Prozesse, die zur Datenverarbeitung gehören. Nutzen Sie den Fragebogen zur Informationssicherheit, um sicherzustellen, dass alle relevanten Maßnahmen erfasst und bewertet werden. Es ist wichtig, dass jede identifizierte Lücke schnellstmöglich geschlossen wird, um den Schutz der verarbeiteten Daten zu gewährleisten.
Definition und Dokumentation von Prozessen und Verantwortlichkeiten
Eine klare Prozessbeschreibung bzw. Ablaufbeschreibung ist unerlässlich. Legen Sie fest, wer für welche Verarbeitungstätigkeiten verantwortlich ist und dokumentieren Sie dies entsprechend. Jeder Prozess sollte genau definierte Schritte und Zuständigkeiten beinhalten, um Fehlerquellen zu minimieren und den Überblick über die Verarbeitungstätigkeiten zu bewahren. Diese Dokumentation sollte ebenfalls regelmäßig auf Aktualität und Vollständigkeit überprüft und bei Bedarf angepasst werden.
Verwandte TISAX-Kapitel
- Kapitel 9.4.1 – Datenschutzfolgenabschätzung – DSFA für risikoreiche Verarbeitungen.
- Kapitel 9.5.1 – Datenübermittlung – Rechtsgrundlagen bei Datenweitergabe.
