Datenschutzgrundverordnung - ein Buch mit sieben Siegeln?

Datenschutzgrundverordnung - ein Buch mit sieben Siegeln?

Featurebild

Bild: stockpics | stock.adobe.com

Die Datenschutzgrundverordnung (oder auch DSGVO) enthält Bestimmungen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Doch die Umsetzung dieser Vorgaben ist alles andere als leicht. Aus diesem Grund möchten wir Sie in einer Serie auf die wichtigsten Punkte hinweisen und Ihnen Hilfestellung bei der Einhaltung der datenschutzrechtlichen Vorgaben geben. Wir beginnen die mehrteilige Serie mit dem:

 

Verzeichnis der Verarbeitungstätigkeiten

Sei es für die Erstellung eines Angebotes, der Abwicklung eines Auftrags oder die Kommunikation mit Kunden oder externen Dienstleistern - jedes Unternehmen greift ständig auf Daten zurück, die für die Bearbeitung solcher Vorgänge notwendig sind. Zu diesen Informationen gehören oft auch sogenannte personenbezogene Daten, wozu beispielsweise schon der Name, der Vorname und die E- Mailadresse eines Ansprechpartners zählen.

Datenschützer sprechen hier vom Verarbeiten von personenbezogenen Daten, was zur Folge hat, dass auch schon bei der Erstellung eines einfachen Angebotes immer auch alle Datenschutzvorgaben erfüllt werden müssen.

Zuallererst muss jedes Unternehmen identifizieren, wo und zu welchen Anlässen personenbezogene Daten eine Rolle spielen. Danach muss man klären, auf welcher Rechtsgrundlage diese Daten verwendet und verarbeitet werden dürfen, um dann abschließend alles gut zu dokumentieren. Die beste Art einer solchen rechtskonformen Dokumentation ist hierbei die Erstellung eines Verzeichnisses, in dem alle wesentlichen Vorgänge zusammengefasst werden - das Verzeichnis von Verarbeitungstätigkeiten.

Leider ist der Begriff „Verarbeitungstätigkeiten“ keine explizierte Definition, die den Sachverhalt detailliert beschreibt. Zur Begriffsbestimmung hilft eine Veröffentlichung der unabhängigen Datenschutzbehörden des Bundes und der Länder, kurz Datenschutzkonferenz (DSK).

Diese schreiben: „... Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. ...“.

Auch der Landesbeauftragte von Baden-Württemberg (LfDI BaWü) hat diese Aussage in einem Tätigkeitsbericht noch einmal konkretisiert: „... Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab. In einem kleinen Unternehmen mit wenigen Mitarbeitern kann z. B. die gesamte Personalverwaltung (inkl. Bewerbungsverfahren und Lohnabrechnung) als eine einzige Verarbeitungstätigkeit gesehen werden. Bei einem mittleren Unternehmen sollte eine stärkere Untergliederung stattfinden, z. B. in Personalgewinnung, Personaleinstellung, Verwaltung des aktuellen Personals, Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten. ...“.

Auf Basis dieser Veröffentlichungen stehen Verarbeitungstätigkeiten immer in enger Verbindung mit dem Zweck der Verarbeitung von personenbezogenen Daten. Sie können somit als eigenständige Geschäftsprozesse verstanden werden, die je nach Größe und Komplexität des jeweiligen Unternehmens in der Dokumentation weniger oder stärker aufgeschlüsselt werden müssen.

Somit ist für jeden Geschäftsprozess zu prüfen, ob personenbezogene Daten verarbeitet werden und falls ja, sind diese zu dokumentieren. Genau an dieser Stelle sind wir beim Verzeichnis von Verarbeitungstätigkeiten angelangt, einer Sammlung aller relevanten Vorgänge, bei denen personenbezogene Daten in einem Dateisystem erfasst, bearbeitet oder gespeichert werden, bzw. gespeichert werden sollen.

 

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Um diese Frage zu klären, greifen wir auf das Kurzpapier Nr. 1 zurück, welches von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) veröffentlicht wurde. Folgend ein Auszug aus diesem Dokument:

„... grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und – neu – auch jeder Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. ...“.

Würde man diese Aussage allein als Grundlage heranziehen, wäre jedes Unternehmen, unabhängig ob Einzelunternehmer oder Großkonzern, verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dies wäre in der Betrachtung allerdings nicht ausreichen, da es für Unternehmen unter 250 Mitarbeitern Ausnahmen gibt:

„... Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern müssen kein Verzeichnis von Verarbeitungstätigkeiten führen, es sei denn, der Verantwortliche bzw. Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch, die

  • ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen) oder
  • nicht nur gelegentlich erfolgen (z. B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
  • besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (Gesundheitsdaten, Religionsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betreffen. ...“

Da die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten auch für mittlere und kleine Unternehmen besteht, wenn nur eine der oben genannten Bedingungen greift und zudem der Begriff „gelegentlich“ eine sehr vage Formulierung darstellt und auch der Begriff „Gesundheitsdaten“ sehr weit gefasst ist, empfehlen die Datenschutzbehörden immer das Führen eines Verzeichnisses, unabhängig von der Größe des Unternehmens. Zudem ist jegliches Risiko für die Rechte und Freiheiten betroffener Personen zu betrachten, was das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten meist ohnehin unumgänglich macht.

 

Identifikation von Verarbeitungstätigkeiten

Um ein Verzeichnis von Verarbeitungstätigkeiten erstellen zu können, müssen also im ersten Schritt alle eigenständige Geschäftsprozesse im Unternehmen auf die Verarbeitung von personenbezogenen Daten geprüft werden.

Folgend einige Beispiele von potenziellen Verarbeitungstätigkeiten und Geschäftsprozessen, bei denen personenbezogene Daten verarbeitet werden:

  • Personalverwaltung:
    • Prozesse zur Personalgewinnung
    • Bewerbungsverfahren
    • Personaleinstellung
    • Verwaltung des aktuellen Personals
    • Beendigung von Arbeitsverhältnissen
  • Lohnabrechnung intern oder durch einen externen Dienstleister
  • Verarbeitung von Kunden-, Lieferanten-, Patientendaten, ...
  • Buchhaltung
    • Buchhaltungsprozesse
    • Zahlungsabwicklung über einen externen Dienstleister, Inkassodienstleister
  • Kommunikation
    • Interne Kommunikation
    • Externe Kommunikation (mit Kunden, Lieferanten, externen Dienstleistern, ...)
    • Externer IT-Support
  • Marketing und Werbemaßnahmen zur Kundengewinnung und -bindung
    • Mailings per Post, elektronische Mailings (z.B. Newsletter)
    • Aktive Telefonakquise
    • Zufriedenheitsabfragen
  • Betrieb der Internetseite (inkl. aktiver Formulare)
  • uvm.

Haben Sie alle Verarbeitungen identifiziert und eine entsprechende Liste angefertigt, werden wir Ihnen im nächsten Teil der Serie zeigen, wie die Verarbeitungen zu dokumentieren sind.

 

Unser Autor

MR-2

Thorsten Schröers
Geschäftsführer SAFE PORT Consulting GmbH
Datenschutz, IT-Compliance und Trainings nach Maß
Ense-Höingen
www.safe-port.de