Zum Hauptinhalt springen
CENEDRIL HANDBUCH
Zu Cenedril
Datenschutz-Assistent · Übermittlungen & TOMs

Datentransfers & TOMs dokumentieren

Aktualisiert am 3 Min. In Cenedril öffnen

Ziel Interne und externe Datenübermittlungen mit Garantien für Drittländer dokumentieren und für jede Verarbeitungstätigkeit die passenden technischen und organisatorischen Maßnahmen festlegen.

Im Datenschutz-Assistenten dokumentieren Sie im Schritt Datenübermittlungen zunächst, wie personenbezogene Daten intern und an Dritte fließen, und hinterlegen für Übermittlungen in Drittländer die nötigen Garantien. Im darauf folgenden Schritt Technische und organisatorische Maßnahmen ordnen Sie jeder Verarbeitungstätigkeit in einer Matrix die passenden Schutzmaßnahmen zu. Beide Schritte greifen auf die Empfänger und Tätigkeiten aus Ihrem Verzeichnis von Verarbeitungstätigkeiten (ROPA) zurück.

Datenübermittlungen dokumentieren

Schritt Datenübermittlungen öffnen

Öffnen Sie den Datenschutz-Assistenten und wechseln Sie über die Schrittnavigation zu Datenübermittlungen. Die Seite zeigt zwei Tabellen: Interne Empfänger und Externe Empfänger. Beide werden automatisch aus den Empfängern Ihres Verzeichnisses von Verarbeitungstätigkeiten befüllt.

Der Schritt Datenübermittlungen mit den Tabellen für interne und externe Empfänger.

Interne Übermittlungen prüfen

Erweitern Sie in der Tabelle Interne Empfänger eine Zeile und tragen Sie das Land sowie den gewählten Garantiemechanismus ein. Interne Empfänger sind Stellen innerhalb Ihrer Organisation, an die Daten weitergegeben werden.

Externe Empfänger und Auftragsverarbeitung erfassen

Öffnen Sie in der Tabelle Externe Empfänger eine Zeile. Hier hinterlegen Sie unter anderem die Rolle des Empfängers, etwa (Unter-)Auftragsverarbeiter, Öffentliche Behörde oder Andere, und den Status des Auftragsverarbeitungsvertrags (AVV) von Unterschrieben/Bestätigt über Ausstehend und Nicht erforderlich bis Fehlt.

Drittlandübermittlungen und TIA hinterlegen

Markieren Sie bei einem externen Empfänger die Übermittlung in ein Drittland, falls die Daten den Europäischen Wirtschaftsraum verlassen. Der Assistent blendet daraufhin die Felder für die geeigneten Garantien und für die Übermittlungs-Folgenabschätzung (Transfer Impact Assessment, TIA) ein. Über das Informationssymbol öffnen Sie die Hinweise zu Drittländern.

Eine externe Empfängerzeile mit Rolle, AVV-Status und den eingeblendeten Feldern für Drittländer und TIA.

Übermittlungen speichern und fortfahren

Klicken Sie auf Speichern. Der Assistent prüft die Eingaben, speichert die Übermittlungen und übergibt freigegebene externe Übermittlungen an die Dokumentation. Anschließend führt der Ablauf zum nächsten Schritt der Datenschutz-Folgenabschätzung.

Ergebnis: Alle internen und externen Übermittlungen sind dokumentiert, Drittlandfälle tragen ihre Garantien, und die freigegebenen Übermittlungen liegen als Nachweis in der Dokumentation.

Technische und organisatorische Maßnahmen festlegen

Schritt TOMs öffnen

Wechseln Sie in der Schrittnavigation zu Technische und organisatorische Maßnahmen. Die Seite zeigt eine Matrix: in den Zeilen die verfügbaren Kontrollen, in den Spalten Ihre Verarbeitungstätigkeiten.

Die TOMs-Matrix mit Kontrollen in den Zeilen und Verarbeitungstätigkeiten in den Spalten.

Kontrollen filtern und suchen

Schränken Sie die Matrix über die Chips Alle Kontrollen, Datenschutzkontrollen und Sicherheitskontrollen ein. Datenschutzkontrollen sind blau hinterlegt (Kürzel PC), Sicherheitskontrollen grün (Kürzel RC). Mit dem Suchfeld Kontrollen suchen finden Sie eine bestimmte Maßnahme schnell.

Maßnahmen den Tätigkeiten zuordnen

Setzen Sie eine Maßnahme für eine Tätigkeit, indem Sie die entsprechende Zelle aktivieren. Trägt eine Tätigkeitsspalte die Markierung DSFA, wurde dafür eine Datenschutz-Folgenabschätzung abgeschlossen: prüfen Sie hier die Zuordnung besonders sorgfältig.

TOMs speichern

Klicken Sie auf Speichern. Der Assistent sichert die Zuordnung als Anwendbarkeitserklärung und übernimmt sie in die weitere Dokumentation.

Ergebnis: Jede Verarbeitungstätigkeit trägt die ihr zugeordneten technischen und organisatorischen Maßnahmen, und die Anwendbarkeitserklärung steht als Nachweis Ihrer Schutzmaßnahmen bereit.

Häufige Fragen

Woher kommen die Empfänger in der Übermittlungstabelle?

Die internen und externen Empfänger werden automatisch aus Ihrem Verzeichnis von Verarbeitungstätigkeiten (ROPA) übernommen. Jeder Empfänger, den Sie dort einer Tätigkeit zugeordnet haben, erscheint hier als Zeile. Fehlt ein Empfänger, ergänzen Sie ihn zuerst im ROPA-Schritt.

Was ist ein Drittland und wann brauche ich Garantien?

Drittländer sind Länder außerhalb des Europäischen Wirtschaftsraums ohne Angemessenheitsbeschluss der EU-Kommission. Für Übermittlungen dorthin verlangt Kapitel V der DSGVO geeignete Garantien, etwa Standardvertragsklauseln. Markieren Sie bei einem externen Empfänger die Drittlandübermittlung, blendet der Assistent die Felder für die Übermittlungs-Folgenabschätzung (TIA) ein.

Was ist der Unterschied zwischen Datenschutz- und Sicherheitskontrollen in der TOMs-Matrix?

Datenschutzkontrollen (Kürzel PC) sind blau hinterlegt und decken Maßnahmen wie Zweckbindung oder Löschkonzepte ab. Sicherheitskontrollen (Kürzel RC) sind grün hinterlegt und betreffen technische Schutzmaßnahmen wie Verschlüsselung oder Zugriffskontrolle. Mit den Filterchips über der Matrix blenden Sie jeweils eine Gruppe ein.

Muss ich jede Maßnahme einzeln für jede Tätigkeit setzen?

Nein. Über das Augensymbol in der Kontrollzeile aktivieren Sie eine Maßnahme für alle Tätigkeiten auf einmal. Einzelne Zellen können Sie anschließend wieder abwählen, wo die Maßnahme nicht zutrifft.

Was bedeutet die DSFA-Markierung über einer Tätigkeitsspalte?

Sie zeigt an, dass für diese Verarbeitungstätigkeit im vorigen Schritt eine Datenschutz-Folgenabschätzung abgeschlossen wurde. Das hilft Ihnen, bei risikoreichen Tätigkeiten besonders gründlich über die zugeordneten Maßnahmen zu entscheiden.

Datenschutz-Assistent

Verzeichnis von Verarbeitungstätigkeiten (ROPA) erstellen

So legen Sie im Datenschutz-Assistenten von Cenedril ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO an und prüfen es gegen Ihre Assets.

Datenschutz-Assistent

Datenschutz-Folgenabschätzung (DSFA/DPIA) durchführen

So führen Sie in Cenedril eine Datenschutz-Folgenabschätzung für risikoreiche Verarbeitungstätigkeiten durch: von Notwendigkeit über Risikobewertung bis zur Konsultation.

Datenschutz-Assistent

AVV/DPA verwalten

So erzeugen Sie im Datenschutz-Assistenten von Cenedril aus Ihrem Verzeichnis von Verarbeitungstätigkeiten und den Datentransfers einen AVV-Entwurf nach Art. 28 DSGVO.