Pflicht der Unternehmen: Verarbeitungsverzeichnis nach der DSGVO

Lesezeit: ca. 3 Minuten

Mit der EU-Datenschutzgrundverordnung (DSGVO) entstanden für Unternehmen und auch für Behörden zahlreiche neue Pflichten, darunter auch die Dokumentation des datenschutzrechtlich vertretbaren Arbeitens.

Zentrales Grundprinzip der DSGVO ist das sogenannte Accountability- bzw. Nachweisprinzip. Während vor dem 25. Mai 2018 die Datenschutzbehörde einem Unternehmen einen Verstoß nachweisen musste, muss das Unternehmen heute – nach der DSGVO – zu jedem Zeitpunkt in der Lage sein, zu beweisen, dass kein Verstoß vorliegt, sondern rechtskonform gehandelt worden ist. So ist ein reines rechtskonformes Handeln nicht mehr ausreichend. Es muss belegt werden können, was natürlich erhebliche Dokumentationspflichten mit sich bringt.

Die genaue Form dieser Dokumentation ist dabei weniger entscheidend. Dagegen erachtet es die DSGVO als sehr wichtig, dass alle relevanten Informationen erfasst werden und die Dokumentation so auch im Arbeitsalltag des Unternehmens zum Einsatz kommt. Der Dokumentationsprozess sollte in regelmäßigen Abständen überprüft werden, sowohl hinsichtlich der Verarbeitungsvorgänge der Daten im Unternehmen, als auch im Hinblick auf technische Neuerungen.

Verzeichnis der Verarbeitungstätigkeiten

Zentrales Stichwort für die Dokumentation des Umgangs mit personenbezogenen Daten ist das Verzeichnis der Verarbeitungstätigkeiten. Dieses Verzeichnis soll, wie in Artikel 30 DSGVO aufgeführt, alle datenschutzrechtlich relevanten Informationen enthalten. Zudem ist eine inhaltliche Struktur vorgegeben.

Das Verarbeitungsverzeichnis lässt sich in drei Teile gliedern. Der erste Teil ist das Deckblatt, das Name und Anschrift der Verantwortlichen, des Unternehmens, und ggf. des Datenschutzbeauftragten beinhaltet. Der zweite und wichtigste Teil umfasst die Beschreibungen der Verarbeitungsvorgänge im Unternehmen, sprich eine Analyse der eigenen geschäftlichen Prozesse sowie deren Beschreibung entsprechend der Forderungen von Artikel 30 DSGVO. Im dritten Teil sollen technische und organisatorische Maßnahmen (TOMs) geschildert werden. Dies enthält Bereiche wie Netzwerksicherheit, Gebäudeabsicherung, und Zugangskontrolle aber auch organisatorische Vorgehen wie Arbeitsanweisungen oder Betriebsvereinbarungen.

Pflichtangaben

Die Pflichtangaben eines Verzeichnisses der Verarbeitungstätigkeiten sind gemäß Artikel 30 DSGVO die folgenden:

  • Name, sowie Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten (siehe Teil 1)
  • Zwecke der Verarbeitungstätigkeiten
  • Kategorien der betroffenen Personen
  • Kategorien der verarbeiteten Daten
  • Wenn gegeben, auch die Kategorien der besonders sensiblen Daten ( nach Artikel 9 DSGVO)
  • Kategorien der Empfänger von Daten
  • Wenn gegeben, die Übermittlung der Daten in unsichere Drittländer, sprich Länder außerhalb der EU
  • Lösch- und Aufbewahrungsfristen
  • Beschreibungen der technischen und organisatorischen Maßnahmen (Teil 3)

Diese Angaben sind für jedes einzelne Verfahren im Unternehmen zu machen.

Als Anlage des Verzeichnisses sollten zusätzlich Unterlagen wie die Unternehmensstruktur, das Löschkonzept, die Backup-Strategie, die Passwortrichtlinie, eine Auflistung der Dienstleister, sowie exemplarische Arbeitsverträge und Kopien von Dienstanweisungen hinzugefügt werden.

Technische und organisatorische Maßnahmen

Gemäß der DSGVO werden die sogenannten TOMs in folgende Kategorien unterteilt:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Belastbarkeit
  • Wiederherstellung der Verfügbarkeit
  • Verfahren zur regelmäßigen Überprüfung
  • Pseudonymisierung
  • Verschlüsselung

Obgleich diese Kategorien allgemeingültig sind, muss letztendlich jedes Unternehmen seine Datenverarbeitungsprozesse selbst einschätzen und ein angemessenes Sicherheitsniveau erreichen.

Ebenso muss jedes Unternehmen selbst entscheiden, welche TOMs tatsächlich umgesetzt werden müssen, was von der Art und Größe des Unternehmens, sowie von den Kategorien, des Umfangs und der Sensibilität der personenbezogenen Daten abhängt. Weitere entscheidende Faktoren sind der Stand der Technik, die Kosten der Implementierung, als auch die unterschiedlichen Sicherheitsrisiken und deren Eintrittswahrscheinlichkeit.

Einige typische Beispiele für TOMs könnten folgende sein:

  • Alarmanlage
  • Zugangskontrollsystem
  • Videoüberwachung
  • Lichtschranken/Bewegungsmelder
  • biometrische Zugangssperren
  • Besucherprotokoll
  • Personenkontrolle
  • Schlüsselregelung
  • Authentifikation mit Benutzername/Passwort
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Sperren von externen Schnittstellen (z.B. USB)
  • E-Mail-Verschlüsselung
  • Nutzung von VPN-Technologie
  • Verschlüsselung und sichere Aufbewahrung von Datenträgern
  • Ordnungsgemäße Vernichtung von Datenträgern
  • Protokollierung von Zugriffen auf Anwendungen
  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Feuer- und Rauchmeldeanlagen
  • Anzahl von Feuerlöschern
  • Notfallplan

Praktische Umsetzung

Aufgrund des Umfangs und der Komplexität der Verarbeitungsprozesse in heutigen Unternehmen ist es in der Praxis oft nicht leicht die Dokumentationspflichten zu erfüllen. Um einen Anfang zu finden kann beispielsweise zuerst eine Excel-Tabelle angelegt werden, in der die unterschiedlichen Bereiche wie Geschäftsführung, Marketing, IT, Personalabteilung usw. aufgelistet werden. Diese können dann in ihre einzelnen Arbeitsabläufe unterteilt werden. Für jeden Verarbeitungsvorgang müssen dann in übersichtlicher Form die Pflichtangaben nach Artikel 30 DSGVO gemacht werden.

Bei Bedarf senden wir Interessenten auf Anfrage gerne eine Übersicht unseres Verzeichnisses der Verarbeitungstätigkeiten zu.

Ein Video mit ausführlichen Erklärungen zum Thema Verarbeitungsverzeichnis findet sich auf unserem YouTube-Kanal Mission Datenschutz.

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen