Version: V1.0
Bezugsquelle: https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
SDM-V2.0_Einschränken_V1.0
gültig seit: 6.10.2020
gültig bis
Dieser Baustein dient vorrangig der Umsetzung folgender DS-GVO-Anforderungen (vgl. SDM- V2a-Methodik-Handbuch, Teil B):
| Anforderungen der DS-GVO | Gewährleistungsziele |
|---|---|
| Zweckbindung (Art. 5 Abs. 1 lit. b DS-GVO) | Nichtverkettung |
| Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) | Datenminimierung |
| Richtigkeit (Art. 5 Abs. 1 lit. d DS-GVO) | Integrität |
| Vertraulichkeit (Art. 5 Abs. 1 lit. f DS-GVO) | Vertraulichkeit |
| Einschränkbarkeit der Verarbeitung von Daten (Art. 18 DS-GVO) | Intervenierbarkeit |
Einschränkung der Verarbeitung (Art. 4 Nr. 3 DS-GVO) bedeutet das Markieren gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung – zumindest vorübergehend – einzuschränken. Das Betroffenenrecht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO stellt eine Ergänzung der Löschung von Daten dar, bei der personenbezogene Daten nicht gelöscht werden sollen, sondern für eine begrenzte Zeit nur unter bestimmten Bedingungen begrenzt weiter verarbeitet werden dürfen. Lediglich eine Art der Verarbeitung, nämlich die Speicherung der Daten, ist ohne weiteres zulässig. Die Einschränkung soll Fälle regeln, in denen eigentlich das Recht oder die Pflicht des Verantwortlichen zur Löschung (Art. 17 DS-GVO – siehe Baustein „Löschen“) oder Berichtigung (Art. 16 DS-GVO – siehe Baustein „Berichtigen“) bestimmter Daten besteht, der Löschung aber Interessen der betroffenen Person entgegenstehen oder in denen die Überprüfung von Löschungs- oder Berichtigungsansprüchen noch Zeit erfordert. Begrifflich knüpft die Einschränkung der Verarbeitung an das Sperren an, das vor In-Kraft-Treten der Datenschutz-Grundverordnung gesetzlich geregelt war.
Die Einschränkung der Verarbeitung unterstützt die Nichtverkettung, weil Daten nicht weiterverarbeitet werden dürfen, obwohl sie zunächst nicht gelöscht werden. Gleichwohl bleiben ursprünglich verkettete Daten auch bei Einschränkung der Verarbeitung weiterhin verkettbar, was insbesondere bei einer befristeten Einschränkung zu beachten ist. Nach Aufhebung der Einschränkung müssen vorher vorhandene Verkettungen ggf. wieder hergestellt werden. Die Einschränkung der Verarbeitung dient auch der Gewährleistung der Integrität von Datenbeständen, weil unrichtige oder zu löschende Daten der Verarbeitungstätigkeit entzogen werden können. Indem Daten Verarbeitungstätigkeiten entzogen werden, dient die Einschränkung auch der Gewährleistung der Vertraulichkeit. Vor allem aber ist die Einschränkung der Verarbeitung ein wichtiges Werkzeug für Verantwortliche, um den betroffenen Personen die Durchsetzung ihrer Betroffenenrechte zu ermöglichen.
Der Verantwortliche MUSS die Verarbeitung von personenbezogenen Daten und ggf. die damit zusammenhängende Ausführung von Prozessen und Verarbeitungstätigkeiten gemäß Art. 18 Abs. 1 DS-GVO einschränken, wenn
- die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
- die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt,
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
- die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DS- GVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, SOLLTE in dem System unmissverständlich hingewiesen werden (ErwGr. 67 DS-GVO).
Wesentliches Ziel der Einschränkung der Verarbeitung ist es, dass nach einer entsprechenden Entscheidung des Verantwortlichen die von der Einschränkung betroffenen personenbezogenen Daten im regulären Betrieb nicht weiter verarbeitet werden können, obwohl sie beim Verantwortlichen oder beim Auftragsverarbeiter noch vorhanden sind.
Die Verarbeitung ist nach der Einschränkung nur noch für die in Art. 18 Abs. 2 DS-GVO genannten Zwecke zulässig. Demnach dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person verarbeitet werden. Schließlich kann auch auf Grund eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats die Verarbeitung trotz Einschränkung zugelassen werden.
Um den Anspruch auf Einschränkung der Verarbeitung geltend zu machen, kann die betroffene Person einen Antrag beim Verantwortlichen stellen. Da die Form des Antrags nicht vorgeschrieben ist, MUSS der Verantwortliche Anträge in jeder Form entgegennehmen, wenn er über den entsprechenden Kommunikationskanal erreichbar ist. Der Verantwortliche SOLLTE betroffenen Personen insbesondere die Möglichkeit einräumen, den Antrag schriftlich oder in Textform zu stellen, um die vom Verantwortlichen einzuhaltenden Fristen leichter nachprüfen zu können. Zudem SOLLTE der Verantwortliche dafür sorgen, dass Anträge auch elektronisch gestellt werden können. Der Antrag SOLLTE zusammen mit dem darauf folgenden Entscheidungsprozess revisionssicher dokumentiert werden.
Hat der Verantwortliche begründete Zweifel an der Identität der betroffenen Person, kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (Art. 12 Abs. 6 DS-GVO).
Neben der Beantragung durch die betroffene Person hat auch die Aufsichtsbehörde die Möglichkeit, gegenüber dem Verantwortlichen die Einschränkung der Verarbeitung anzuordnen, etwa im Fall des Vorliegens einer berechtigten Beschwerde.
Der Verantwortliche MUSS die betroffene Person unverzüglich über die Maßnahmen informieren, die er aufgrund des Antrags ergriffen hat, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags (Art. 12 Abs. 3 Satz 1 DS-GVO).
Wenn der Verantwortliche selbst festgestellt oder auf sonstige Weise davon Kenntnis erhalten hat, dass Daten unrichtig sind, sind diese unrichtigen Daten zu berichtigen oder zu löschen.
Um die Verarbeitung einschränken zu können, sind Maßnahmen auf der Ebene der Daten, der Systeme und Dienste sowie der dazugehörigen Prozesse erforderlich.
Die Struktur der Daten und die Art der Speicherung MÜSSEN so gestaltet sein, dass einzelne Datenfelder, Datensätze oder vorher definierte Gruppen von Daten (z. B. Dateien in Dateisystemen oder Dokumente in Dokumentenmanagementsystemen) entsprechend markiert und mit Fristen für die Dauer der Einschränkung versehen werden können (M62.D01, M62.D02). Diese Markierungen SOLLTEN möglichst an den Datenfeldern, Datensätzen oder Datengruppen bzw. an der Datei oder dem Dokument selbst erfolgen und somit direkt mit ihnen verbunden oder über eine Controllereinheit und dazugehörigem Rechtemanagement sichergestellt werden. Die Granularität dieser Differenzierungen hängt vom Risiko ab, das aus der Verarbeitung der einzuschränkenden Daten resultiert. Je höher das Risiko, desto feingranularer sollten Daten markierbar sein. Insbesondere wenn absehbar ist, dass die Verarbeitung eines größeren Umfangs personenbezogener Daten gemeinsam eingeschränkt werden muss, kann sich die Markierung ggf. auch auf Datensatzebene oder auf noch größere Datenmengen beziehen.
Die Struktur der Daten und somit das Datenmodell MÜSSEN so organisiert werden, dass die für die Verarbeitung eingeschränkten und entsprechend markierten Daten vor der geplanten Verarbeitung erkannt und von der Verarbeitung ausgenommen oder ggf. nach anderen Regeln verarbeitet werden können, als von der Einschränkung nicht betroffene Daten. Um alle anderen Daten weiter verarbeiten zu können, kann eine Kopie des gesamten Datenbestandes für die weitere Verarbeitung zur Verfügung gestellt werden, in welchem die für die Verarbeitung eingeschränkten Daten gelöscht wurden (M62.D03). In diesem Fall MÜSSEN zuvor die für die Verarbeitung eingeschränkten Daten in einem separaten Datenbestand gespeichert werden (M62.D04), um sie ggf. in einem separaten Verarbeitungssystem (ErwGr. 67 DS-GVO) nach besonderen Regeln verarbeiten zu können (M62.S03).
Als ergänzende Maßnahmen zum besonderen Schutz von Daten, deren Verarbeitung eingeschränkt wurde, kommen die Pseudonymisierung (M62.D05) oder die Verschlüsselung (M62.D06) dieser Daten in Frage. In diesen Fällen dürfen die zur Depseudonymisierung erforderlichen zusätzlichen Informationen oder die zur Entschlüsselung erforderlichen Schlüssel nur besonders berechtigten Personen zugänglich gemacht werden, die diese Daten in der vorgesehenen, eingeschränkten Form verarbeiten dürfen.
Betrifft die Einschränkung der Verarbeitung personenbezogene Daten im Bereich des Verantwortlichen, die auf Webseiten oder sozialen Medien veröffentlicht wurden, MÜSSEN diese Daten für den Zeitraum der Einschränkung von den Bereichen der Webseiten oder aus dem veröffentlichten Post entfernt werden, die für zur Verarbeitung nicht berechtigte Nutzergruppen zugänglich sind (ErwGr. 67 DS-GVO) (M62.D07).
Die Eigenschaft der eingeschränkten Verarbeitung von Datensätzen MUSS auch bei einer Datensicherung erhalten bleiben. Wiederhergestellte Daten müssen nach einer Rücksicherung die Markierung der eingeschränkten Verarbeitung aufweisen (M62.D08). Dazu ist bspw. das standardmäßige Setzen der Markierung bei der Sicherung und das Auslesen der Markierung bei der Rücksicherung geeignet.
Die Einschränkung der Verarbeitung MUSS auch für Daten in Kopien und Backups umgesetzt werden können, bei denen die Einschränkung zum Zeitpunkt der Sicherung (noch) nicht bestand. Das bedeutet jedoch nicht, dass in jeder Kopie und in jedem Backup nachträglich einzelne Datenfelder entsprechend markiert werden müssen. Es können stattdessen auch Methoden zum Einsatz kommen, die bei der vorgesehenen Wiederverwendung der Daten nach einer Rücksicherung erkennbar machen, welche Daten für die Verarbeitung eingeschränkt sind und auf diese Weise die Verarbeitung dieser Daten verhindern (M62.D09).
Soll die Verarbeitung von in Akten gespeicherten Daten eingeschränkt werden, reicht es nicht aus, die einzelnen Dokumente lediglich zu markieren (z. B. mit einem entsprechenden Aufdruck „für die Verarbeitung eingeschränkt“). Die betreffenden Dokumente MÜSSEN der Akte entnommen und entsprechend markiert separat abgelegt werden (M62.D10). Die Entnahme der Dokumente MUSS in geeigneter Weise protokolliert werden (M62.D11).
Markierungen, die auf die Einschränkung der Verarbeitung hinweisen, dürfen nicht zu – insbesondere negativen – Rückschlüssen auf die betroffene Person führen, z. B. Markierung in der Rubrik „Vorstrafen“ für alle lesbar (M62.D12).
Die Systeme und Dienste MÜSSEN so ausgestaltet werden, dass sie vor der automatisierten Verarbeitung personenbezogener Daten die zur Verarbeitung eingeschränkten Daten erkennen (M62.S01). Das betrifft auch Datenbestände aus Sicherungen oder Backups. Dies erfordert ein Zusammenwirken der Einschränkungsmarkierung bzw. der Methode zur Erkennung von Einschränkungen mit weiteren technischen Maßnahmen. Beispielsweise MUSS sichergestellt werden, dass bei Suchvorgängen Datenelemente, Datensätze oder Dateien, deren Verarbeitung eingeschränkt wurde, nicht mit den Standard- Suchmechanismen gefunden und somit nicht verarbeitet werden (M62.S02). Der Zugriff auf die so markierten Datenelemente, Datensätze oder Dateien darf dann nur in einer solchen Form erfolgen, die den Anforderungen des Art. 18 Abs. 2 DS-GVO genügt, etwa durch die geeignete Verwaltung von Zugriffsrechten. Es MÜSSEN daher entweder solche Systeme eingesetzt werden, die die zur Verarbeitung eingeschränkten Daten nach anderen Regeln verarbeiten können, oder es MÜSSEN getrennte Systeme mit speziellen Verarbeitungsmöglichkeiten verwendet werden (M62.S03). Auf die Tatsache, dass diese Systeme zur Verarbeitung eingeschränkter Daten genutzt werden sollen, MUSS im System unmissverständlich hingewiesen werden (M62.S04).
Der Verantwortliche SOLLTE Verschlüsselungssysteme nach dem Stand der Technik vorhalten, wenn er die Daten, deren Verarbeitung eingeschränkt wurde, zusätzlich durch Verschlüsselung vor unzulässiger Verarbeitung schützen will (M62.S05).
Um Fristen bei Einschränkungen der Verarbeitung automatisiert überwachen zu können, SOLLTEN Systeme entsprechende Zeitstempel beinhalten oder nutzen können. Sind die zur Verarbeitung eingeschränkten Daten mit entsprechenden Attributen versehen, SOLLTEN die Systeme geeignete Auswertemöglichkeiten bereitstellen, mit denen die Fristen überwacht werden (M62.S06).
Sofern Einschränkungen der Verarbeitung nach bestimmten systematischen Vorgaben erfolgen, SOLLTEN die technischen Systeme den Vorgang des Einschränkens automatisiert durchführen können (M62.S07).
Es MUSS ein Berechtigungs- und Rollenkonzept genutzt werden, auf dessen Basis ein organisatorischer Prozess steuert, welche Personen des Verantwortlichen für die Einschränkung der Verarbeitung, für die daraus resultierenden weiteren Aufgaben und für die ggf. eingeschränkte Verarbeitung zuständig sind. Da sich das Einschränken der Verarbeitung auch auf einen bestimmten Personenkreis bzw. bestimmte Rollen beziehen kann, MÜSSEN die Prozesse zur Einschränkung und deren Auswirkungen auch berechtigungs- und rollenabhängig konfigurierbar sein.
Basis für den ordnungsgemäßen Umgang mit Einschränkungen ist ein entsprechendes Konzept, das den gesamten Lebenszyklus der betreffenden Daten betrachtet, also auch alle Aspekte des Aufhebens der Einschränkungen regelt (M62.P01).
Der Verantwortliche SOLLTE Antragsformulare bereitstellen, mit denen betroffene Personen die Einschränkung der Verarbeitung beantragen können (M62.P02). Der Verantwortliche MUSS sicherstellen, dass er Anträge unabhängig von ihrer Form entgegennimmt, wenn er über den entsprechenden Kommunikationskanal erreichbar ist (M62.P03). Insbesondere SOLLTE der Verantwortliche dafür sorgen, dass Anträge auch elektronisch gestellt werden können (M62.P04). Für den Fall notwendiger Identitätsprüfungen von Antragstellern MUSS der Verantwortliche entsprechend geeignete Prozesse zur Identitätsprüfung einrichten (M62.P05). Die Details der Identitätsprüfung inklusive der ggf. erforderlichen Einholung zusätzlicher Informationen zur Bestätigung der Identität der betroffenen Person SOLLTEN dokumentiert werden (M62.P06). Der Verantwortliche MUSS sicherstellen, dass Anträge unverzüglich, spätestens in den gesetzlichen Fristen bearbeitet werden (M62.P07).
Für den technischen Vorgang des Einschränkens der Verarbeitung MUSS ein Prozess eingerichtet werden, der die Markierung bzw. Bearbeitung der einzuschränkenden Daten vornimmt, bspw. durch Setzen einer entsprechenden Markierung oder eines Attributes (M62.P08). Sofern Einschränkungen der Verarbeitung nach fest vorgegeben Regeln erfolgen (etwa in bestimmten Zeitscheiben), SOLLTEN diese Prozesse nach Möglichkeit automatisiert erfolgen (M62.P09). Die definierten Regeln sind im Konzept der Einschränkung der Verarbeitung zu dokumentieren und regelmäßig auf ihre Wirksamkeit zu prüfen.
Die weitere Verarbeitung eingeschränkter Daten hängt vom Einzelfall ab. Jedenfalls MUSS sichergestellt werden, dass der Bestand mit den zur Verarbeitung eingeschränkten Daten nicht völlig der Verarbeitung entzogen werden darf. Die standardmäßig vorhandenen Prozesse zur Verarbeitung der Daten MÜSSEN so gestaltet sein, dass sie die Tatsache der Einschränkung der Verarbeitung einzelner Daten erkennen und für diese Daten ggf. besondere Verarbeitungsregeln bereitstellen (M62.P10).
Im Zusammenhang mit der Einschränkung der Verarbeitung personenbezogener Daten treffen den Verantwortlichen Mitteilungspflichten, die in einem organisatorischen Prozess abgebildet werden müssen (M62.P11). Der Verantwortliche MUSS die Empfänger informieren, denen zur Verarbeitung eingeschränkte Daten zuvor offengelegt wurden (M62.P12). Die Informationspflicht besteht nicht, wenn sie sich als unmöglich erweist (bspw. wenn Empfänger eine juristischen Person war, die zum Zeitpunkt des Antrags nicht mehr existiert) oder mit einem unverhältnismäßigen Aufwand verbunden ist (Art. 19 S. 1 DS-GVO). Hierzu bedarf es einer Abwägung zwischen dem Aufwand für die Mitteilung an den Empfänger und den Interessen der betroffenen Person (M62.P13). Soll die Verarbeitung besondere Kategorien von Daten gemäß Art. 9 DS-GVO eingeschränkt werden, ist ein größerer Aufwand als bei anderen Daten angemessen (siehe Abschnitt „Differenzierung bei hohem Schutzbedarf“).
Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt (Art. 19 S. 2 DS-GVO) (M62.P14).
Lehnt der Verantwortliche die Einschränkung der Verarbeitung ab, MUSS er dies begründen und die betroffene Person auf die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde oder eines gerichtlichen Rechtsbehelfs hinweisen (Art. 12 Abs. 4 DS-GVO)(M62.P15).
Der Antrag und der daraus folgenden Entscheidungsprozess MUSS revisionssicher dokumentiert werden (M62.P16).
Bevor die Einschränkung der Verarbeitung aufgehoben wird, MUSS die Person, die die Einschränkung bewirkt hat, vom Verantwortlichen schriftlich informiert werden (Art. 18 Abs. 3 DS-GVO) (M62.P17). Adressat dieser Unterrichtung ist nur diejenige betroffene Person, die die Einschränkung der Verarbeitung beantragt hat.
Der Schutzbedarf von Daten, deren Verarbeitung eingeschränkt werden soll, kann erheblichen Einfluss auf die Pflichten des Verantwortlichen in verschiedenen Phasen der Einschränkung haben. Der Verantwortliche MUSS hier Prozesse zum Erzielen geeigneter und angemessener Abwägungen realisieren, so dass begründete und dokumentierte Entscheidungen getroffen werden können, die die Risiken für die Beeinträchtigung der Rechte und Freiheiten natürlicher Personen angemessen berücksichtigen (M62.P18).
Ob die Markierung der zur Verarbeitung eingeschränkten Daten tatsächlich zur wirksamen technischen Umsetzung führt und die weitere Verarbeitung des betreffenden Datums einschränkt, hängt von der Qualität der gewählten technischen und organisatorischen Maßnahmen ab. Je höher das Risiko ist, das aus der Verarbeitung der betreffenden Daten resultiert, umso umfangreicher müssen diese Maßnahmen sein. Die Einschränkung der Verarbeitung von Adressdaten eines Kunden eines Versandunternehmens für Zwecke der Werbung ist durch Markierung leicht möglich und erfordert somit weniger technischen Aufwand als die Einschränkung der Verarbeitung medizinischer Behandlungsdaten im Krankenhaus nach Abschluss der entsprechenden Behandlung.
Auch die gesetzlich vorgeschriebene Benachrichtigung von Empfängern, an die zur Verarbeitung eingeschränkte Daten übermittelt wurden, ist von dem damit verbundenen Aufwand abhängig (Art. 19 S. 1 DS-GVO). Auch hier gilt, dass der Grad der Verpflichtung zu einer Benachrichtigung steigt, je höher das Risiko ist, das aus der Verarbeitung der betreffenden Daten resultiert.
Bei hohem Schutzbedarf ist das Berechtigungs- und Rollenkonzept von besonderer Bedeutung. Hier MUSS detailliert festgelegt werden, wer die Einschränkung der Verarbeitung umsetzen und ggf. wieder zurücknehmen darf, unter welchen Voraussetzungen eine eingeschränkte Verarbeitung zulässig ist und wer Zugang zu diesen Datenbeständen hat.
Die einzelnen Maßnahmen können hinsichtlich des Anwendungsbereichs unterschieden werden nach Maßnahmen, welche primär auf einzelne Verarbeitungstätigkeiten angewandt werden sollten (kursive Darstellung) und solche, welche primär die gesamte Organisation betreffen und damit im Rahmen des Datenschutzmanagements gebündelt und verwaltet werden sollten. Weiterhin sind alle Maßnahmen grob den Phasen des Datenschutzmanagement-Prozesses (siehe SDM-Methode) zugeordnet. Maßnahmen, die in früheren Versionen des Bausteins enthalten waren, aber in einer nachfolgenden Version ungültig wurden, werden weiterhin aufgeführt (durchgestrichene Darstellung). Damit bleibt die Nummer einer Maßnahme bei einer neuen Version erhalten. Die Spalte „Gültigkeit“ gibt an, seit welcher Version die Maßnahme in der enthaltenen Form gültig ist. Bei ungültigen Maßnahmen enthält diese Spalte die Versionsnummer des Bausteins, in der die Maßnahme letztmalig gefordert bzw. empfohlen wurde.
| Nr. | Maßnahme | PDCA | Gültigkeit |
|---|---|---|---|
| M62.D01 | Festlegung von Datenstrukturen und Speicherarten, die das Anbringen von Markierungen an einzelne Datenfelder, Datensätze oder vorher definierte Gruppen von Daten in einer vom Schutzbedarf abhängigen Granularität ermöglichen | P | V1.0 |
| M62.D02 | Bereitstellung von Datenfeldern, die das Anbringen von Einschränkungsfristen ermöglicht | P | V1.0 |
| M62.D03 | Anfertigen von Datenkopien, in denen die für die Verarbeitung eingeschränkten Daten nicht enthalten sind | D | V1.0 |
| M62.D04 | Separate Speicherung der für die Verarbeitung eingeschränkten Daten | D | V1.0 |
| M62.D05 | Pseudonymisierung der für die Verarbeitung eingeschränkten Daten | D | V1.0 |
| M62.D06 | Verschlüsselung der für die Verarbeitung eingeschränkten Daten | D | V1.0 |
| M62.D07 | Entfernen der für die Verarbeitung eingeschränkten Daten von den Bereichen von Webseiten oder sozialen Medien, die für zur Verarbeitung nicht berechtigte Nutzergruppen öffentlich zugänglich sind | D | V1.0 |
| M62.D08 | Erhalt der Eigenschaft der eingeschränkten Verarbeitung von Datensätzen bei einer Datensicherung | D | V1.0 |
| M62.D09 | Erkennung von Daten in Sicherungskopien und Backups, deren Einschränkung der Verarbeitung nach dem Sichern verfügt wurde mit dem Ziel der erneuten Einschränkung der Verarbeitung der rückgesicherten Daten (bspw. durch standardmäßiges Auslesen der Markierung während des Rücksicherns) | D, C | V1.0 |
| M62.D10 | Entnahme der zur Verarbeitung eingeschränkten Papierdokumente aus einer Akte, Markierung und separate Ablage | D | V1.0 |
| M62.D11 | Protokollierung der Entnahme von zur Verarbeitung eingeschränkten Dokumenten aus einer Akte | D, C | V1.0 |
| M62.D12 | inhaltsneutrale Formulierung von Markierungen | D | V1.0 |
| Nr. | Maßnahme | PDCA | Gültigkeit |
|---|---|---|---|
| M62.S01 | Systeme, die zur Verarbeitung eingeschränkte Datenbestände erkennen | P, D | V1.0 |
| M62.S02 | Systeme, bei denen mit Standard-Suchmechanismen die zur Verarbeitung eingeschränkten Datensätze nicht gefunden werden | D, C | V1.0 |
| M62.S03 | Systeme die eingeschränkte Daten nach anderen Regeln verarbeiten oder separate Systeme mit speziellen Verarbeitungsmöglichkeiten für eingeschränkte Daten | P. D | V1.0 |
| M62.S04 | Benachrichtigungsfunktionen bei der Verarbeitung eingeschränkter Daten | D, C | V1.0 |
| M62.S05 | Verschlüsselungssysteme nach dem Stand der Technik | P, D | V1.0 |
| M62.S06 | Zeitstempelsysteme oder vergleichbaren Auswertesysteme zur Überwachung und Steuerung von Fristen | P, D, C | V1.0 |
| M62.S07 | technische Systeme zur automatisierten Umsetzung von Einschränkungen | P, D | V1.0 |
| Nr. | Maßnahme | PDCA | Gültigkeit |
|---|---|---|---|
| M62.P01 | Konzept zur Einschränkung der Verarbeitung | P | V1.0 |
| M62.P02 | Formulare zur Beantragung von Einschränkungen | P | V1.0 |
| M62.P03 | Entgegennahme von Anträge unabhängig von ihrer Form | P, D | V1.0 |
| M62.P04 | Möglichkeiten der elektronischen Beantragung von Einschränkungen | P, D | V1.0 |
| M62.P05 | Prozess zur Identitätsprüfung von Antragstellern | P, C | V1.0 |
| M62.P06 | Prozess zur Dokumentation der Identitätsprüfung | P, D | V1.0 |
| M62.P07 | Prozess zur Fristenüberwachung, um Anträge fristgemäß bearbeiten zu können | P, D, C | V1.0 |
| M62.P08 | Prozess zur Markierung der zur Verarbeitung eingeschränkten Daten | P, D | V1.0 |
| M62.P09 | Prozess zur automatisierten Umsetzung von Einschränkungen | P, D | V1.0 |
| M62.P10 | Regeln für die weitere eingeschränkte Verarbeitung von Daten | P | V1.0 |
| M62.P11 | Prozess zur Umsetzung aller Mitteilungspflichten gegenüber den von der Einschränkung der Verarbeitung betroffenen Personen | P, D | V1.0 |
| M62.P12 | Prozess zur Information der Empfänger, denen zur Verarbeitung eingeschränkte Daten zuvor offengelegt wurden | P, D | V1.0 |
| M62.P13 | Abwägung zwischen Aufwand für die Mitteilung an den Empfänger und betroffen Person | D, C | V1.0 |
| M62.P14 | Prozess zur Unterrichtung betroffener Person über Empfänger von Daten, deren Verarbeitung eingeschränkt wurde | P, D | V1.0 |
| M62.P15 | Prozess zur Information betroffener Personen bei Ablehnung des Antrags auf Einschränkung | P, D, C | V1.0 |
| M62.P16 | revisionssichere Dokumentation des gesamten Antrags- und Entscheidungsprozesses | D | V1.0 |
| M62.P17 | Prozess zur Information betroffener Personen über die Aufhebung der Einschränkung der Verarbeitung | P, D | V1.0 |
Dieser Baustein bezieht sich in weiten Teilen auf Anforderungen des Einschränkens der Verarbeitung von Daten in der gesamten Organisation und bildet die entsprechenden Pflichten des Verantwortlichen ab, welche auf ein einzelnes Verfahren aber auch die gesamte Organisation angewendet werden können. Wird der Baustein auf die die gesamte Organisation angewendet, sind die getroffenen Maßnahmen im Datenschutzmanagement der Organisation zu betrachten.
Dieser Baustein darf – ohne Rückfrage bei einer Aufsichtsbehörde – kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt, ausgedruckt, präsentiert, verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird:
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Veränderungen, Bearbeitungen, neue Gestaltungen oder sonstige Abwandlungen der bereitgestellten Daten sind mit einem Veränderungshinweis im Quellenvermerk zu versehen. Datenlizenz Deutschland – Namensnennung – Baustein „Einschränken der Verarbeitung“ (www.govdata.de/dl-de/by-2-0).