Verfahrensverzeichnis

Eine Datenschutzdokumentation erfordert ein vollständiges Verfahrensverzeichnis. Dabei gilt es zu unterscheiden zwischen dem öffentlichen Verfahrensverzeichnis und dem internen Verfahrensverzeichnis.

Datenschutzerklärung und Informationssicherheit sind komplizieet

Die Vielfalt der verwendeten Systeme in einem kleinen oder großen Unternehmen kann zu Problemen bei der Erstellung der erforderlichen Datenschutzdokumentation. Auch für externe Datenschutzbeauftragte steckt viel Arbeit hinter der Zusammenstellung des internen Verfahrensverzeichnisses. Daher sind Software basierende Helfer ein Weg, um die vielen orte in denen Daten verarbeitet werden zu erfassen.

Was ist ein Verfahrensverzeichnis?

Das öffentliche Verfahrensverzeichnis erläutert dem Besucher (=Öffentlichkeit) in aller Kürze wie personen-bezogene Daten in Unternehmen verarbeitet werden. Die DS-GVO fordert als internes Kontrolldokument ein detailliertes Verzeichnis von Verarbeitungstätigkeiten. Dieses interne Verfahrensverzeichnis hilft verantwortliche Mitarbeiter die festgelegten Regeln zur Datenverarbeitung und Datenlöschung einzuhalten.

Das öffentliche Verfahrensverzeichnis

Das öffentliche Verfahrensverzeichnis soll die Verarbeitung von personen-bezogenen Daten in Unternehmen transparent für die Öffentlichkeit machen. Damit soll jeder Kunde, Lieferant oder Website Besucher in der Lage sein, sich einen schnellen Überblick verschaffen, über die mögliche Umgang mit seinen persönlichen Daten sollte er dem Unternehmen seine Daten übermitteln.

Das interne Verfahrensverzeichnis

Das interne Verfahrensverzeichnis enthält eine sehr detaillierte Aufschlüsselung aller im Unternehmen verwendeten Systeme die Daten in Hardware (z.B. ISDN Telefonanlage) oder Software (Warenwirtschaft) verarbeiten. Der Gesetzgeber erwartet, dass bei einer Betriebsprüfung das Verfahrensverzeichnis alle relevanten Systeme aufzeigt. Zu jedem System muss klar aufgezeigt sein, was es tut und warum dort daten verarbeitet werden. Dazu kommt auch die klare Darstellung der Speicherdauer von Informationen.

 

Deutschland hat schöne Parks und komplizierte Bürokratie in der man sich verlaufen kann

Verzeichnis von Verarbeitungstätigkeiten

Die am 28. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) löste die bis dahin geltenden Bestimmungen des Bundesdatenschutzgesetzes ab. Anstelle des Verfahrensverzeichnisses ist nun nach Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Wie man daraus erkennt, hat die DSGVO den deutlich kürzeren Begriff „Verfahrensverzeichnis“ mit dem langen Titel „Verzeichnis von Verarbeitungstätigkeiten“ ersetzt. Wie früher bei dem BDSG muss auch bei der DSGVO dieses Verzeichnis in Schriftform und digital geführt werden. Wie man i nachfolgenden Ausführung sehen kann, sind viele Inhalte zu erfassen, die man nicht mal schnell innerhalb einer Stunde erstellen kann, wenn die Aufsichtsbehörde zur Prüfung unerwartet ankündigt. Wenn man das rechtzeitig angeht, kostet es nicht viel Zeit ein Verzeichnis der Verarbeitungstätigkeiten mit unserer Software zu erstellen.

Wie unterscheidet sich das Verfahrensverzeichnis vom Verzeichnis von Verarbeitungstätigkeiten?

Ist das nicht irgendwie verwirrend? Bis 2018 sprach man vom internen und öffentlichen Verfahrensverzeichnis. Gelegentlich auch war ein öffentliches Verfahrensverzeichnis auf den Websites zu finden. Jetzt macht man sich wohl nicht mehr die Mühe oder hat man was vergessen?

Die DSGVO erwartet von Unternehmen das Verzeichnis von Verarbeitungstätigkeiten mit folgenden Inhalten:

Mindestangaben sind:

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation unter Nennung des Landes oder der Organisation

Folgende Ergänzungen sind ratsam sofern sie möglich sind:

  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. DSGVO

Wo ist das Verzeichnis von Verarbeitungstätigkeiten geregelt?

Wo ist das in der DSGVO oder dem ISO 27001 Standard geregelt? Rechtstexte können verwirren

Die Regelungen zum Verzeichnis über Verarbeitungstätigkeiten ist in Artikel 30 der DSGVO erläutert. Darüber hinaus muss man ergänzende Regelungen in den nationalen Datenschutzgesetzen der EU-Mitgliedsstaaten berücksichtigen.

Wer erstellt das Verzeichnis am besten?

Da in einer digitalen Datenverarbeitung viele Informationen durch IT Systeme laufen, wäre eigentlich ein EDV Mitarbeiter am besten geeignet. Da dieser aber meist keine Kenntnisse über die datenschutzrechtlichen Anforderungen hat, muss es als Teamarbeit erfolgen. Dabei wird das bei KMUs etwas schwieriger zu erledigen, denn  meist ist kein EDV Mitarbeiter im Unternehmen vorhanden. Externe Dienstleister erledigen meist die Verkabelung und Installation von EDV Systemen in den Büroräumen.

Da unsere Datenschutzexperten aus der EDV kommen verfügen sie über folgende Qualifikationen und Fachkenntnisse:

  • EDV Sachverständige
  • IT Forensik Sachverständige
  • IT Fachkräfte
  • Zertifizierte Datenschutzbeauftragte
  • ISO27001 Auditoren

Sie können daher die Erstellung der Dokumentation deutlich schneller und günstiger durchführen. Dabei kommunizieren sie auch mit dem externen Administrator, damit dieser die notwendigen Daten bereit stellt und die Löschfristen korrekt in den Systemen hinterlegt.