Sowohl im Eifer, alles richtig machen zu wollen, als auch aus Angst vor Fehlern erstellen viele Unternehmen weitaus mehr Verzeichnisse von ihren Verarbeitungstätigkeiten als notwendig. Hier beschreibt ein unser NorthGRC-Experte, wie man Verabeitungstätigkeiten gruppiert und sich dadurch viel Arbeitsaufwand sparen kann.
Bekanntlich verlangt die Datenschutzverordnung, dass Unternehmen über ihre Verarbeitungstätigkeiten Verzeichnisse führen. Ein Verzeichnis von einer Verarbeitungstätigkeit lässt sich als ein Verzeichnis von den logisch zusammenhängenden Prozessen des Unternehmens beschreiben. Und was ist hierunter zu verstehen?
Lassen Sie uns einige Beispiele aufgreifen.
Personenbezogene Daten, die im Zusammenhang mit Arbeitsverträgen, Gehaltsabrechnungen, Krankheitsstatistiken, Rentenversicherungen, Mitarbeitergesprächen und dergleichen verarbeitet werden, sind Daten, die alle unter einen logisch zusammenhängenden Prozess fallen, den man als "Personalverwaltung" bezeichnen kann. Laut DSGVO braucht für die Personalverwaltung aber kein Verzeichnis von allen Subprozessen geführt werden. Es muss also nicht erklärt werden, welche Systeme und Plattformen für die Verarbeitung der personaladministrativen Daten verwendet werden. Die Verordnung verlangt – in diesem Zusammenhang – von den Unternehmen lediglich eine Beschreibung des allgemeinen Zwecks der Verarbeitung von personenbezogenen Daten im Rahmen der Personalverwaltung.
Nach gleicher Logik unterscheiden sich ein Kundenkontakt auf einer Website, ein telefonischer Kundenkontakt und ein persönlicher Kundenkontakt im Wesentlichen nicht von Prozessen, für die eine Erstellung von speziellen Verzeichnissen gefordert ist. Jeder Kundenkontakt, an dem personenbezogene Daten beteiligt sind, ist ein logisch zusammenhängender Prozess, der als "Kundenkontakt" bezeichnet werden kann. Analog lassen sich weitere Verarbeitungstätigkeiten gruppieren, beispielsweise unter der Bezeichnung "Kreditvermittlung" und "Marketingaktivitäten".
Was machen Sie?
Jakob Holm Hansen ist CEO bei NorthGRC. Er räumt ein, dass sich das Gruppieren von logisch zusammenhängenden Prozessen recht schwierig gestalten kann. Trotzdem empfiehlt er dringend, diese Aufgabe in Angriff zu nehmen.
"Schlagen Sie einfach Ihr eigenes Unternehmen im Handelsregister nach. Was steht dort, was Sie machen? Betreiben Sie einen Lebensmittelhandel, verkaufen Sie Turnschuhe oder worin besteht Ihre Kerntätigkeit? Sie müssen Ihren Geschäftszweck mit Ihrem Bedarf an der Verarbeitung von Daten über die registrierte Person abgleichen. Also die Frage beantworten, ob es für das Unternehmen Sinn macht, eben jene personenbezogenen Daten über diese Personen in diesen Prozessen zu verarbeiten? Diese gesamte Gedankenreihe muss in das Verzeichnis über eine Vearbeitungstätigkeit einfließen", erklärt Jakob Holm Hansen. "Und vergessen Sie dabei nicht, dass das Verzeichnis auch für die registrierte Person einen Sinn haben muss, nicht nur für Sie als Unternehmen. Genau um diesen Punkt geht es bei der DSGVO.”
“Und vergessen Sie dabei nicht, dass das Verzeichnis auch für
die registrierte Person einen Sinn haben muss, nicht nur für Sie
als Unternehmen. Genau um diesen Punkt geht es bei der DSGVO.”
Jakob Holm Hansen, CEO bei NorthGRC
Verarbeitungstätigkeiten sind keine Datenflussanalysen
Jakob Holm Hansen erklärt, dass durch die Vermischung der Begriffe "Verzeichnis von Verarbeitungstätigkeiten" und "Datenflussanalysen" Verwirrung entstanden ist.
Eine Datenflussanalyse ist ein Gesamtbild von der gesamten IT-Landschaft – z. B. Netzwerken, Infrastruktur, Speicherung, Datenbanken usw. – und zeigt, wie Daten zwischen allen Anwendungen fließen, während Verarbeitungstätigkeiten lediglich ein Verzeichnis sind, das einen Überblick darüber geben soll, wie man seine personenbezogenen Daten verarbeitet und in welchen übergeordneten Prozessen.
“Manche Unternehmen verwechseln diese beiden Dinge und fangen an, Verzeichnisse für ihre Datenflüsse zu erstellen. Erstens wird das von der DSGVO nicht verlangt. Zweitens ist die Erstellung eines Gesamtsbildes für die gesamte IT-Landschaft eine sehr umfassende Aufgabe, weil sie sich ständig verändert.”
Ein guter Anhaltspunkt ist die Rechtslage
Zu entscheiden, ob Prozesse ihrem Wesen nach eher zusammenhängen als andere, kann eine Frage der Definition sein. Denn was ist, wenn ein Unternehmen, das vom Verkauf von Elektronikprodukten lebt, sowohl zu Privatpersonen als auch staatlichen Unternehmen Kundenkontakt hat? Ist der Kundenkontakt als Ganzes dann als ein oder zwei logisch zusammenhängende Prozesse zu sehen?
Für den Verkauf an Privatpersonen und den Verkauf an Unternehmen gelten unterschiedliche rechtliche Bedingungen. Daher ist die Verarbeitung von personenbezogenen Daten für das eine oder andere Segment auch in zwei unterschiedliche Prozesse zu unterteilen, für die zwei unterschiedliche Verzeichnisse von Verarbeitungstätigkeiten zu erstellen sind. Gleiches ist der Fall, wenn man als Unternehmen sowohl Kundendaten zu Analysezwecken verarbeitet als auch Kundendaten zu Verkaufszwecken. Hierbei handelt es sich um zwei Prozesse mit zwei wesensverschiedenen Zwecken. Der eine Zweck trägt Forschungscharakter. Der andere dient ausschließlich dem Verkauf", erläutert Jakob Holm Hansen.
"Ich weiß schon, dass die Unterscheidung mitunter schwierig ist, aber versuchen Sie, von den gesetzlichen Bestimmungen auszugehen, welche den Bereich regeln, unter dem die Verarbeitung von personenbezogenen Daten vonstatten geht. Unterliegt die Datenverarbeitung von personenbezogenen Daten für den gesamten Kundenkontakt des Unternehmens beispielsweise demselben Gesetz, muss wahrscheinlich nur ein Verzeichnis erstellt werden. Unterliegen die Prozesse, in denen die Datenverarbeitung stattfindet, unterschiedlichen gesetzlichen Bestimmungen, muss grundsätzlich für jede Verarbeitungstätigkeit, die logisch zusammenhängend ist, ein eigenes Verzeichnis geführt werden.”
Datenschutz ist eine klassische IT-Disziplin
Nachdem der Zweck ermittelt und die Verzeichnisse von den Verarbeitungstätigkeiten erstellt worden sind, muss laut DSGVO erklärt werden, wie die erfassten Daten bei jeder Verarbeitungstätigkeit geschützt werden.
"Das ist eine klassische IT-Disziplin. Hier geht es darum zu beschreiben, wie beispielsweise Zugangskontrollen vorgenommen, Daten verschlüsselt, Dateien geloggt werden usw. Viele IT-Abteilungen haben das bereits gut im Griff. Die Art der Dokumentation ist vielleicht eine andere als gewohnt, aber die Kernaufgabe ist bekannt", zitiert Jakob Holm Hansen.
Mehr zum Thema DSGVO
Leitfaden: Implementierung der DSGVO