Wer braucht ein DSGVO Verarbeitungsverzeichnis?

/in , ,

Viele kleinere Unternehmen fragen sich, brauche ich eigentlich ein Verarbeitungsverzeichnis. Kann ein Unternehmen möglicherweise auch mit Hinweis auf Artikel 30 DSGVO darauf verzichten?

Ich sage hier ganz klar: Nein, jedes Unternehmen braucht das.

Gründe für ein Verarbeitungsverzeichnis

In Artikel 30 DSGVO ist der Inhalt und die Pflicht zum Führen des Verzeichnisses beschrieben. Wer bis zum Absatz 5 liest stellt fest, dass dort der Satz steht „Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, …“. Hieraus leitet manch einer ab, dass damit die Pflicht  zum Führen eines Verarbeitungsverzeichnisses für ihn nicht gelte.

Ich empfehle dringend, weiterzulesen. Es folgen nun Ausnahmen von der Ausnahme:

es sei denn

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikel 10

Spätestens hier wird klar, dass schon der erste Punkt auf den überwiegenden Teil der in einem Unternehmen vorliegenden Verarbeitungen zutreffen kann. In den meisten Unternehmen findet ebenfalls eine regelmäßige Verarbeitung statt.  Denkt bitte als erstes immer an die Verarbeitung von Personaldaten, für die beide Punkte zutreffen.

Es gibt aber noch einen weiteren Grund, warum das Führen eines „Verzeichnisses von Verarbeitungen“ (Verarbeitungsverzeichnis) notwendig ist:

Woher soll ein Unternehmen wissen, welche Schutzmaßnahmen ergriffen werden sollen, wenn es nicht weiß, wo und wie welche Daten verarbeitet werden.

Hier verweise ich insbesondere auf die Artikel 5, Abs. 1 und 2, in dem sowohl die Gewährleistung einer angemessener Sicherheit der Verarbeitung personenbezogener Daten, sowie der in Artikel 2 Absatz 5 vermerkten „Rechenschaftspflicht“ bzgl. der getroffenen Maßnahmen zu erfüllen sind. Ohne Verarbeitungsverzeichnis als Startpunkt ist das nur schwer möglich.

Daher empfehle ich grundsätzlich, dieses Verarbeitungsverzeichnis sehr früh anzulegen, um auf dieser Basis viele weitere Schritte zu planen oder auch die TOMs abzustimmen.

Was ist ein Datenschutzmanagementsystem?

/in , ,

Im Rahmen der DSGVO-Einführung taucht immer wieder der Begriff eines Datenschutzmanagementsystems auf. Einige Kunden haben dabei das Gefühl, es handele sich um eine Software, andere nicken nur und sagen „Das kenn ich.“ Den meisten versuche ich das aber zu erklären, denn neu ist so etwas nicht.

Ach ja, interessant wird es schon, wenn man die vielen Schreibvarianten dieses Wortes betrachtet:

  • Datenschutzmanagement-System
  • Datenschutz-Managementsystem
  • Datenschutzmanagementsystem

Hinzu kommen die Abkürzungsvarianten. Bei meiner Recherche in den Tiefen der deutschen Rechtschreibung bin ich dann zu dem Schluß gekommen, dass es sich um eine Aneinanderreihung von zwei Hauptwörtern handelt (Datenschutz und Managementsystem), die lt. Duden immer zusammengeschrieben werden. OK, ich hoffe das stimmt. Um das Ganze zu vereinfachen und zu verkürzen benutze ich für das Wort Datenschutzmanagementsystem häufig auch die Abkürzung DSMS (damit bin ich fein raus).

Was ist ein Managementsystem

Im Kern ist ein Managementsystem die Beschreibung einer Vorgehensweise, deren Messung und Verbesserung zur Erreichung eines i.d.R. unternehmerischen Ziels. Bekannt sind sicher die Systeme ISO 9001 (Qualitätsmanagement) oder ISO 27001 (Informationssicherheit). Im Kern zeichnet diese Systeme dadurch folgende Bestandteile aus:

  • Organsationsbschreibung
  • Richtlinien
  • Verfahren
  • Metriken (zur Messung)
  • Dokumentationspflichten
  • und häufig auch Verbesserungsverfahren bestehen, wobei sich diese fast immer auf einen Deming Cycle (oder auch PDCA-Cycle) beziehen.

Das Managemtsystem ist sozugaben Ihr Steuercockpit, mit dem Sie den Datenschutz zu Ihrem Ziel fliegen.

Wo steht, dass man das für die DSGVO braucht

In der DSGVO steht nicht explizit, dass ein Managementsystem einzuführen ist, aber die DSGVO deutet diesen Bedarf klar an.

Unter Artikel 5 Abs. 2 steht, dass der Verantwortliche die Einhaltung der Kernpflichten der DSGVO (Artikel 5, Abs. 1 ) nachweisen muss. (Rechenschaftspflicht). Wie soll das funktionieren, wenn hier nichts dokumentiert wird. Desweiteren fordert die DSGVO die Etablierung von Prozessen, z.B. zur Information von Aufsichtsbehörden (Artikel 33) oder auch zur Datenschutzfolgenabschätzung (Artikel 35). Es versteht sich von selbst, dass auch die Betroffenenrechte unter Abschnitt 2 der DeSGVO damit gemeint sind.

Und darüber hinaus  fordert die DSGVO unter Artikel 5, Absatz 1 f) geeignete technische und organisatorische Maßnahmen. Insbesondere diese lassen sich am Besten über Richtlinien definieren und verpflichtend umsetzen. Ebenfalls sind mit dem Verantwortlichen (i.d.R. die Geschäftsführung), dem Datenschutzbeauftragten sowie der Aufsichtsbehörde nicht nur Rollen, sondern auch deren Aufgaben spezifiziert und damit klare organisatorische Festlegungen.

Damit ist der Kern eines Managementsystems bereits als Anspruch definiert, so dass es Sinn macht, dieses auch so zu bezeichnen und hierzu Erfahrungen anderer Systeme zu verwenden.

Was braucht man für ein Datenschutzmanagementsystem?

Ich empfehle, grunsätzlich folgende Inforationen zu dokumentieren:

  • Datenschutzorganisation (wer spielt mit und macht hier was = Rollendefinition)
  • Datenschutzrichtlinien (bisher auch Datenschutzhandbuch für Mitarbeiter, in denen Verhaltensweisen und Sanktionen festgelegt sind)
  • Prozesse zum Datenschutz (dazu gehören die internen Prozesse zur Kanalisierung der Anfragen an die verantwortlichen Rollen) sowie die in der DSGVO spezifizierten Pflichten wie Auskunft,-Änderungensrechte, Informationfplichten, Übertragungsrechte, etc.)

Bzgl. der Messbarkeit empfehle ich

  • eine Datenklassifikation für alle Daten zu etablieren,
  • eine Risikoabschätzung für die Daten zu implementieren,
  • die Zahl der Anfragen, Berabeitungen, etc.

als wesentliche KPIs zu verwenden. Und bzgl. Dokumentation sollten alle Anfragen zu diesen Themen systematisch erfasst und abgelegt werden. Dazu gehören die kontinuierliche Verbesserung von Dokumenten,  eine Versionshistorie in Dokumenten sowie Meetings mit Protokollen. Gehen Sie immer davon aus, dass ein Dritter nachlesen möchte, was der Status ist und  wie Sie das erreicht haben.

Und da die Informationssicherheit, auf die in der DSGVO immer wieder verwiesen bzw. deren Schutzziele Teil der DSGVO Schutzziele sind, empfiehlt sich mal einen Blick in ein solches Managementsystem zu werfen.  Hier bietet sich z.B. eine kleine Norm wie die VdS3473 an, die man direkt mit implemntieren kann. Damit kann man dann auch Datenklassifikation und Risikoabschätzung für beides nutzen.

Bzgl. kontinuierlicher Verbesserung kann man sich an die Verfahren einer ISO 9001 Norm anschließen oder man beschreibt das Ganze selber. Dazu muss man zyklisch Meetings vorsehen, in denen über den Status (siehe auch Messbarkeit) berichtet und Maßnahmen abgeleitet weden. Natürlich alles dokumentiert und gemonitored.