Zwei Elemente eines praktischen und nützlichen Verzeichnisses der Verarbeitungstätigkeiten durch Privacy Tooling

Eine der größten Anforderungen der neuen Datenschutz-Grundverordnung (DSGVO) für Unternehmen ist es, ein vollständiges Verzeichnis aller personenbezogenen Daten zu führen, die in ihrer Organisation verarbeitet werden. Diese Daten zu sammeln ist an sich schon eine schwierige Aufgabe, aber sie auf dem neuesten Stand zu halten und risikoreiche Situationen zu erkennen, ist eine noch größere Herausforderung. Privacy Tooling kann Ihnen helfen, den Zeit- und Arbeitsaufwand für eine große Anzahl von häufigen und sich wiederholenden Aufgaben zu reduzieren und gleichzeitig eine vollständige Liste der betroffenden Daten auf dem neuesten Stand zu halten. In diesem Blog möchten wir Ihnen einige Informationen über die erforderlichen Elemente eines Verzeichnisses geben und wie Sie ein solches Verzeichnis einfacher gestalten können, indem Sie zwischen dem Ort, an dem Ihre Daten gespeichert sind, und der Art und Weise, wie die Daten dann verarbeitet werden, unterscheiden.

Die DSGVO verlangt, dass Organisationen, die personenbezogene Daten verarbeiten, über alle ihre Verarbeitungstätigkeiten Buch führen. Artikel 30 der EU-DSGVO enthält eine Liste aller Positionen, die für jede Verarbeitungstätigkeit erfasst werden müssen. Durch den Begriff “Verarbeitungstätigkeit” müssen Sie jedoch selbst interpretieren, wie detailliert dieses Verzeichnis sein soll. Das bedeutet, dass Organisationen selbst entscheiden können, wie genau sie bei der Aufzeichnung ihrer Verarbeitungstätigkeiten vorgehen wollen, was viele Fragen aufwirft.

Als Faustregel könnte man sagen, dass ein Verzeichnis Informationen darüber enthalten muss, welche personenbezogenen Daten von der Organisation gespeichert werden und wie diese verwendet werden. Die Einteilung in Systeme und Verarbeitungsaktivitäten innerhalb Ihrer Organisation macht es Ihnen leicht, dies alles richtig zu erfassen.

Die Systeme repräsentieren alle Orte innerhalb der Organisation, an denen personenbezogene Daten gespeichert sind. Beispiele für ein System sind Anwendungen und Datenbanken, aber auch physische Speichersysteme wie Archive. Die Verarbeitung umfasst alle Arten der Nutzung personenbezogener Daten innerhalb der Organisation. Beispiele für Verarbeitungstätigkeiten sind die Lohn- und Gehaltsabrechnung, bestimmte Geschäftsanalysen, Rekrutierungskampagnen oder der Versand von Newslettern. Daten werden oft an einem Ort gespeichert, aber auf verschiedene Arten verwendet, von denen einige riskanter oder auch legitimer sind als andere. Durch die Verknüpfung von Systemen und Verarbeitungstätigkeiten erhält Ihr Unternehmen einen besseren Einblick in diese Risiken.
Software-Lösungen können Ihnen helfen, eine Bestandsaufnahme aller in Ihrem Unternehmen vorhandenen Systeme und Verarbeitungsaktivitäten durchzuführen. Privacy Tooling kann dies für Sie vereinfachen, indem es Ihre Verzeichnisformulare sowohl für Systeme als auch für die Verarbeitungstätigkeiten in standartisierten Formaten anbietet. Diese können als Bezugspunkt für die zu sammelnden Informationen dienen und geben dem Nutzer eine klare Vorstellung davon, welche Informationen von ihm benötigt werden.

Systemerfassung

In der Regel muss ein Verzeichnisformular zeigen, welche persönlichen Daten Sie gespeichert haben. Dazu gehören Informationen über die gespeicherten Daten, aber auch über die Art der Speicherung und die getroffenen Sicherheitsmaßnahmen. Dabei sollen die Fragebögen Auskunft darüber geben, wo die Daten gespeichert sind, wer für diese Speicherung verantwortlich ist und welche Sicherheitsmaßnahmen zum Schutz der Daten getroffen wurden. Es kann ratsam sein, zunächst eine Bestandsaufnahme aller Systeme in Ihrer Organisation vorzunehmen, damit Sie diese bei der Erfassung der Verarbeitungstätigkeiten nutzen können.

Erfassung der Verarbeitungstätigkeiten

Ein Formular für die Bestandsaufnahme einer Verarbeitungstätigkeit muss widerspiegeln, was Sie mit den Daten machen die Sie speichern, und muss daher Informationen über die beteiligten Systeme anfordern, da diese die Quellen der personenbezogenen Daten sind, die verarbeitet werden. Sie müssen wissen, welche persönlichen Daten in jedem System verwendet und gespeichert werden. Dabei müssen Sie Informationen darüber sammeln, wie diese Daten genau verarbeitet werden. Dies muss zumindest den Zweck der Verarbeitung, die Grundlage für die Verarbeitung, die Rolle Ihrer Organisation in dieser Verarbeitung (sind Sie ein Controller oder Prozessor?) und die Aufbewahrungsfrist betreffen.

Durch die Erfassung aller Systeme und Prozesse in Ihrer Organisation schaffen Sie ein Gesamtbild aller Daten in Ihrer Organisation. Die Anwendung der hier beschriebenen Methode gibt Ihnen auch Aufschluss darüber, welche Daten gesammelt und gespeichert, aber nicht verarbeitet werden. Dies kann ein Hinweis darauf sein, dass Sie diese Daten nicht haben sollten und diese möglicherweise gelöscht oder anonymisiert werden müssen.

Die Idee einer kompletten Datenerfassung kann entmutigend sein, aber sie kann sicherlich durch die Verwendung der verfügbaren Tools erleichtert werden. Wenn Sie weitere Fragen zu Datenverarbeitung oder Privacy-Tooling haben, können Sie sich gerne an uns wenden.

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company