Top Ten der DSGVO, #4: Führen von Verzeichnissen über Verarbeitungsaktivitäten

Diese neue Verpflichtung von Organisationen, die in Art. 30 der DSGVO festgelegt ist, verlangt einen vollständigen Überblick über die Verarbeitungsaktivitäten einer Organisation, schreibt jedoch auch vor, diese Aktivitäten entsprechend zu dokumentieren. Dies erfordert einen proaktiven Ansatz und interne Zusammenarbeit.

Was bringt diese neue Verpflichtung für Verantwortliche mit sich?

Jeder Verantwortliche ist verpflichtet, Verzeichnisse aller Verarbeitungsaktivitäten zu führen, die innerhalb der Organisation durchgeführt werden. Diese Verzeichnisse (die schriftlich und in elektronischer Form geführt werden müssen) müssen alle nachstehenden Informationen enthalten:

• Namen und Kontaktdetails des Verantwortlichen und gegebenenfalls des Datenschutzbüros
• Eine Beschreibung der Zwecke der Verarbeitung
• Eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien der personenbezogenen Daten
• Die Angabe der Kategorien der Empfänger, gegenüber denen personenbezogene Daten offengelegt wurden oder werden, einschliesslich etwaiger Empfänger in Drittländern oder internationaler Organisationen
• Übertragungen personenbezogener Daten an Drittländer oder internationale Organisationen einschliesslich der Dokumentation geeigneter Schutzmechanismen
• Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien 
• Eine allgemeine Beschreibung der angewendeten technischen und organisatorischen Sicherheitsmassnahmen

Bitte beachten Sie, dass die Verpflichtung nicht für Organisationen mit weniger als 250 Mitarbeitern gilt, ausser wenn die Verarbeitung hochriskanter Natur ist, wie zum Beispiel die Verarbeitung spezieller Kategorien personenbezogener Daten wie ethnischer Daten, Gesundheitsinformationen oder Daten über Straftaten.

Ausserdem müssen die Verantwortlichen oder die Auftragsverarbeiter (siehe nächsten Absatz) die Verzeichnisse der Aufsichtsbehörde auf deren Aufforderung zur Verfügung stellen.

Und was ist mit den Auftragsverarbeitern?

Grundsätzlich erlegt die DSGVO nicht den Verantwortlichen, sondern den beteiligten Auftragsverarbeitern mehr Verantwortung auf. Deshalb gilt diese Verpflichtung auch für Auftragsverarbeiter. Jeder Auftragsverarbeiter ist verpflichtet, Verzeichnisse aller Kategorien der im Namen von Verantwortlichen durchgeführten Verarbeitungsaktivitäten zu führen, unter Angabe von:

• Namen und Kontaktdetails des/der Auftragsverarbeiter/s und jedes/r Verantwortlichen, in dessen/deren Namen der Auftragsverarbeiter tätig ist, sowie gegebenenfalls Namen und Kontaktdetails des/der Datenschutzbeauftragten
• Die im Namen aller Verantwortlichen verarbeiteten Datenkategorien
• Übertragungen personenbezogener Daten an Drittländer oder internationale Organisationen einschliesslich der Dokumentation geeigneter Garantien sowie
• Einer allgemeine Beschreibung der angewendeten technischen und organisatorischen Sicherheitsmassnahmen

Betriebliche und technische Massnahmen 

Die Ordnung der Verzeichnisse aller Datenverarbeitungsaktivitäten innerhalb Ihrer Organisation könnte zu einer Herausforderung werden. Dies ist vor allem dann der Fall, wenn diese Arten von Verarbeitungsaktivitäten nicht zentral, sondern in verschiedenen Abteilungen und Geschäftseinheiten stattfinden. Wie kann dieser Strom von Informationen optimal koordiniert werden, wo sollten Verzeichnisse aufbewahrt werden und, noch wichtiger, wie sollten diese Verzeichnisse gepflegt und aktualisiert werden? Es folgen einige praktische Tipps und Tricks.

1. Die Interessenträger einbinden

Da Datenverarbeitungsaktivitäten in Ihrer gesamten Organisation stattfinden, ist es wichtig, die Interessenträger zu identifizieren, die am Beginn der Entwicklung oder der Konzeption eines Produkts, eines Prozesses, eines Systems, einer Anwendung oder eines Projekts eine Rolle spielen. Diese Personen haben den besten Einblick in die Datenverarbeitungsaktivitäten und sind extrem wertvoll, wenn es darum geht, Ihnen einen Überblick zu verschaffen und diesen zu pflegen. Binden Sie die Interessenträger ein, wenn Ihre Organisation darüber nachzudenken beginnt, welche grundlegenden Prozesse erforderlich sind, um diese Verzeichnisse zu erstellen. Machen Sie sie auf die Nutzen und auf den Mehrwert für die Organisation aufmerksam.

2. Konzeption (und Ausrichtung) eines Prozesses mit klarer Rollen- und Verantwortungsverteilung

Wenn Sie Ihre Interessenträger eingebunden haben, besteht der nächste Schritt darin, den Prozess für die Erfassung, Überprüfung und Aktualisierung der Verzeichnisse und für ihre Integration in ein zentrales Register zu entwickeln. Bitte beachten Sie, dass ein Grossteil der erforderlichen Informationen vermutlich bereits gegenwärtig durch Privacy Impact Assessments (PIA) beschafft wird. Wenn ein Unterstützungsprozess existiert, überlegen Sie, inwieweit dieser neue Prozess angepasst werden kann. Dadurch werden die erforderlichen Anstrengungen koordiniert, und es wird verhindert, dass die erforderlichen Informationen doppelt bereitgestellt werden.

Vergewissern Sie sich auch, dass die Rollen und Verantwortungsbereiche bei der Entwicklung des Prozesses klar verteilt sind. Denken Sie über die Verteilung der Verantwortlichkeiten bezüglich der Erfassung der erforderlichen Informationen nach, einschliesslich jener, die in einem Zentralregister erfasst werden, und über die Aktualisierung der Informationen in diesem Register.

Vergessen Sie nicht, auch Kompetenzbereiche wie die IP-, Compliance-, Beschaffungs- und Rechtsabteilung einzubinden, da diese ebenfalls erheblichen Nutzen aus den Informationen ziehen können. Falls Auftragsverarbeiter eingebunden sind (werden sollen), betrachten Sie etwaige Verträge im Lichte des Beschaffungsprozesses. Diese Informationen sind wertvoll, wenn es um die Abwicklung von Datenverarbeitungsverträgen geht.

3. Erstellen Sie ein Zentralregister für die Verzeichnisse

Die Verzeichnisse, die geführt werden müssen, sollten zentral aufbewahrt werden. Der grundlegende Prozess sollte je nach der Infrastruktur der betreffenden Organisation unterstützt werden. Organisationen sollten nach Möglichkeit nicht «Zuflucht» zu Excel-Tabellen nehmen, so verlockend dies auch sein mag, sondern ein angemessenes Werkzeug verwenden. Ein zentrales System liefert einen vollständigen Überblick über die Verarbeitungsaktivitäten innerhalb der Organisation. Es liegt auf der Hand, dass die Beteiligten in einem solchen Szenario über die angemessenen technischen Massnahmen wie Zugangs- und Autorisierungsrechte Bescheid wissen müssen (nicht jeder sollte befugt sein, Informationen zu ändern oder zu modifizieren). Der Markt für Datenschutz-Tools wächst schnell. Deshalb empfiehlt es sich, über die technischen Anforderungen und Möglichkeiten in Ihrer eigenen Organisation nachzudenken.

Sind diese Tools für Ihre Organisation eine Last oder könnten sie sich als wertvolles Kapital erweisen?

Die Umsetzung der Bestimmungen der DSGVO erfordert einige Anstrengung, da deren Organisation einen grossen Teil der Interessenträger, aber auch die Vertreter der Datenschutzabteilung einbinden muss. Die Interessenträger vom Mehrwert dieser Verzeichnisse zu überzeugen dauert seine Zeit. Zudem handelt es sich hier um eine Verpflichtung, deren Nichteinhaltung Strafen von bis zu 10.000.000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes nach sich ziehen kann. Die Entwicklung des Prozesses, aber auch die Erforschung und Umsetzung der technischen Massnahmen ist zeitaufwendig. Ausserdem ist nicht zu vergessen, dass die bestehenden Auftragsverarbeitungsaktivitäten verfolgt werden müssen: In das Verzeichnis müssen nicht nur neue Aktivitäten aufgenommen werden, sondern auch die gegenwärtig (und vielleicht schon seit Jahren) durchgeführten.

Aber es ist auch etwas zu gewinnen: Die Verzeichnisse bieten einen Überblick über alle Datenverarbeitungsaktivitäten Ihrer Organisation und ermöglichen es Ihnen deshalb zu verstehen, welche Arten von Datenkategorien verarbeitet werden, von wem (von welchen Abteilungen oder Geschäftseinheiten) und für welche zugrundeliegenden Zwecke. Dieses Wissen erlaubt es Ihrer Organisation, interne Verbindungen herzustellen, Kräfte zu bündeln oder Projekte mit denselben oder ähnlichen Zielen und/oder Herausforderungen zusammenzufassen. Dies kann zu einer verbesserten Kontrolle der Datenverarbeitungsaktivitäten führen. Auf diese Weise erhalten Sie Einblick in die Risiken und erforderlichen Milderungsmassnahmen. So werden Ihre Organisationen unweigerlich dazu ermächtigt, die verfügbaren personenbezogenen Daten besser und auf eine strukturierte Weise zu nutzen als bisher.