Der Count­down für die DSGVO läuft

Pflicht: Verarbeitungsverzeichnis

von - 15.02.2018
Im Rahmen der erweiterten Dokumentationspflichten ist zudem künftig häufig ein „Verzeichnis der Verarbeitungstätigkeiten“ zu führen. Ausgenommen sind davon lediglich Unternehmen mit weniger als 250 Mitarbeitern, die laut Bitkom „nur in beschränktem Umfang und unkritische Daten verarbeiten“. Das Verarbeitungsverzeichnis sei nicht nur ein wichtiges Hilfsmittel für den Datenschutzbeauftragten, es könne auch als Nachweis gegenüber den Aufsichtsbehörden dienen. Die formale Verantwortlichkeit liege dabei bei der Unternehmensleitung. In der Praxis dürfte sich aber meist der Datenschutzbeauftragte, sofern es einen gibt, um dieses Thema kümmern. Die einzelnen Verfahrensmeldungen gehören dagegen wiederum zu den Aufgaben der Fachab­teilungen.
Christophe Bertrand
Vice President Product Marketing bei Arcserve
www.arcserve.com/de
Foto: Arcserve
„Die Datenschutz-Grundverordnung gibt jedem EU-Bürger das Recht, seine Einwilligung in die Erhebung persönlicher Daten zurückzuziehen.“
Was fällt überhaupt unter die Verarbeitung von Daten? Bitkom hat dazu eine umfangreiche Liste erstellt: das Erheben, Erfassen, Ordnen, Auslesen, Abfragen, die Organisation, Speicherung, Anpassung oder Veränderung, Verwendung, Einschränkung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, das Löschen oder die Vernichtung von Daten.
Das Verzeichnis ist schriftlich zu führen, kann aber auch elektronisch mit einer Software für Textverarbeitung, Tabellenkalkulation, in einer Datenbank oder mit Hilfe von Spezialprogrammen erfolgen.
„Aus unserer täglichen Arbeit wissen wir, dass ein Global Player, der seine Datenschutzprozesse mit Word und Excel organisiert, keine Seltenheit ist“, kommentiert Christoph Niemann, Vorstand von Otris Software. Die neue Datenschutz-Grundverordnung komplett ohne Spezial-Software umzusetzen, werde vielen Firmen Schwierigkeiten bereiten, ist der Hersteller von Otris Privacy überzeugt. Dieses Programm soll die Einhaltung der geforderten Standards systematisch kontrollieren und analysieren sowie dabei helfen, die getroffenen Maßnahmen zu optimieren. So sollen sich nicht nur Sicherheitslücken erkennen und bewerten, sondern auch Datenschutzprozesse überwachen und dokumentieren lassen. Otris Privacy kann zudem Niemann zufolge dazu genutzt werden, eine Datenschutzfolgenabschätzung durchzuführen.

Umstellungsprozess nach Bitkom

Ist die Frage der Umsetzung geklärt, geht es um die konkrete Erstellung eines Verarbeitungsverzeichnisses. Bitkom schlägt dafür diese Schritte vor:
Sensibilisierungsphase: In diesem Schritt sollten die Fachbereiche über die gesetzlichen Vorgaben und die Zielsetzung in Kenntnis gesetzt werden, zum Beispiel durch Mailings oder Artikel im Intranet.
Informationsphase: Mitarbeiter, die einbezogen werden sollen, werden mit dem Vorhaben vertraut gemacht, etwa durch Workshops und die gemeinsame Bearbeitung eines Musterfalls.
Abfragephase: Vorbereitete Fragebögen werden zur Erfassung der bestehenden Verarbeitungen von personenbezogenen Daten mit einem Rückgabetermin an die Fachbereiche versendet.
Beratungsphase: Diese Phase steht für Rückfragen zur Verfügung. Dabei ist zum Beispiel die Einrichtung einer Hotline hilfreich.
Konsolidierungsphase: Die vorgelegten Verfahrensmeldungen werden konsolidiert, um das Verarbeitungsverzeichnis „übersichtlich und handhabbar“ zu halten.
Umsetzungsphase: Nachdem sichergestellt werden kann, dass alle abgegebenen und gesammelten Informationen vollständig und richtig sind, werden sie im Verarbeitungsverzeichnis erfasst.
Pflegephase: In manchen Fällen ist es ratsam, etwa eine interne Revisionsabteilung zu beauftragen, im Rahmen ihrer Routineprüfungen auch die Aktualität der Verfahrensmeldungen zu kontrollieren.
Anhand dieser Zusammenstellung wird klar, dass es sich dabei um einen relativ aufwendigen Prozess handelt, der bis zum Stichtag im Mai kaum noch zu schaffen sein dürfte. Allerdings geht es deutlich schneller, wenn in einem Unternehmen bereits vollständige Aufstellungen aller Verarbeitungsvorgänge vorliegen, die auch zur Umsetzung der DSGVO genutzt werden können. In vielen Fällen ist es zudem empfehlenswert, sich die Hilfe externer Berater zu holen oder zumindest spezialisierte Lösungen einzusetzen, die den Vorgang beschleunigen können.
Verwandte Themen