DSGVO: Herausforderung Datenverarbeitungsverzeichnis

Um die Anforderungen und Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, kommt man kaum um die Erstellung eines Verzeichnisses mit den Verarbeitungstätigkeiten rund um die „personenbezogenen Daten“ herum. Dieses Datenverarbeitungsverzeichnis ist zwar nicht für alle Unternehmen gesetzlich vorgeschrieben (DSGVO Art. 30 Abs. 2). Aber ohne Kenntnis der eigenen Daten  ist eine Beurteilung der notwendig zu treffenden Massnahmen zur Erfüllung der DSGVO nicht möglich. Neu ist durch die Verantwortlichen zudem nachzuweisen, dass alle Grundsätze der Verarbeitung personenbezogener Daten wie bspw. die Zweckbindung oder die Rechtmässigkeit eingehalten werden (GSDVO Art. 5). Diese und weitere Informationen sind zentral in ein Verzeichnis aufzunehmen und laufend zu aktualisieren.

Die Ersterstellung ist Knochenarbeit

Es gilt zunächst, ein dem Unternehmen angepasstes und gleichzeitig den Erfordernissen des DSGVO entsprechendes Template zu definieren. Dazu gibt es mehrere Lösungsvarianten und wir beschreiben nachfolgend die Struktur, die wir für KMU’s empfehlen.

Zunächst ist aufzunehmen, welche Zwecke man mit den „personenbezogenen Daten“ verfolgt. Dies kann bspw. das „Lieferanten-/Bewerbermanagement“ oder die „Personalverwaltung“ sein. Sobald die Zwecke der Datenverarbeitung definiert sind, werden diese im Anschluss über ein Detailblatt weiter präzisiert.

Im Folgenden verwenden wir für die bessere Veranschaulichung der notwendigen Präzisierung den Zweck „Personalverwaltung“. Wir empfehlen, mindestens folgende Angaben aufzunehmen:

  • Kategorien der betroffenen Personen (bspw. Grenzgänger)
  • Rechtsgrundlagen (bspw. Erfordernis der Vertragserfüllung mit Ausnahme der Verarbeitung privat über den Geschäfts-Account erstellter e-Mails)
  • Vorhandene Zustimmungserklärungen oder Grundlagendokumente (bspw. Arbeitsverträge)
  • Definition der Datenkategorien und allfällig besonderer Datenkategorien gem. Art. 9/Art. 10 (bspw. Strafregisterauszug)
  • Beschreibung Ablageorte (bspw. DB inhouse)
  • Löschungs- und Aufbewahrungsfristen (bspw. gem. GeBüV)
  • Kategorien von Empfängern inkl. Auftragsverarbeitung (bspw. Sozialversicherungen)

Die Datenkategorien und Ablageorte können über eine Tabelle zusammengefasst werden:

Kategorie betroffene Personen  Nr. Datenkategorie Besondere Datenkategorien (Art. 9/Art. 10 DSGVO) DB xy Versicherung
xy
Provider
xy
Grenzgänger 1 Anstellungsvertrag Nein X
2 Personalbeurteilungen Ja[1] X
3 Bewerbungsdossier Nein X
4 Sozialversicherungsangaben Ja X X
5 Straf-/Betreibungs-registerauszug Ja X
6 Zeitstempelungen Nein X
7 Private e-Mails (MS365) Ja X X

[1] In den Datenkategorien 2/4/5/7 können sich Daten gem. DSGVO Art. 9 Abs. 1 (bspw. Gesundheitsdaten/Zugehörigkeit Gewerkschaften oder weltanschauliche Überzeugungen) oder gem. DSGVO Art. 10 Abs. 1 (bspw. Strafregisterauszug) befinden.

In ein Datenverarbeitungsverzeichnis gehört zudem auch die Beschreibung, welche technisch-organisatorischen Massnahmen ein dem Risiko angemessenes Schutzniveau der personenbezogenen Daten gewährleisten: Wie wird die Vertraulichkeit, die Integrität und Verfügbarkeit sichergestellt?

Mit der Ersterstellung des Datenverarbeitungsverzeichnisses ist die Aufgabe aber noch nicht abgeschlossen! Es gilt, parallel dazu die Prozesse und Verantwortlichkeiten für die laufende Aktualisierung des Verzeichnisses sicherzustellen.

Unterstützung

Gerne beantworten wir Ihre Fragen rund um das Datenverarbeitungsverzeichnis und unterstützen Sie bei der Erstellung!



Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.