Unternehmen in der Bringschuld

DSGVO Verarbeitungsverzeichnis: Unternehmen sind gefragt
Keine Kommentare

Die Datenschutz-Grundverordnung (DSGVO) hat umfangreiche Dokumentationspflichten mit sich gebracht. Unternehmen stehen in der Pflicht, rechtskonformes Arbeiten mithilfe eines Verarbeitungsverzeichnisses nachzuweisen.

Der zentrale Grundsatz in der DSGVO ist das sogenannte Accountability- oder Nachweisprinzip. Dadurch hat seit dem 25.Mai 2018 eine Beweislastumkehr stattgefunden, sodass nun nicht mehr die Datenschutzaufsichtsbehörde einem Unternehmen einen Fehler nachweisen muss. Inzwischen ist es so, dass Unternehmen den Nachweis erbringen müssen, dass sie rechtskonform arbeiten. Datenschutzrechtlich zulässiges Verhalten allein ist daher nicht mehr ausreichend, es muss im Zweifel auch belegt werden können. Das hat gestiegene Dokumentationspflichten zur Folge. Existierte die Back-up-Strategie bislang einzig im Kopf des Administrators, wurde die Passwortrichtlinie lediglich mündlich überliefert oder das Löschkonzept ein Fall von „ja klar, das muss hier irgendwo sein“, ist das alles nun nicht mehr ausreichend. Alle Informationen, die mit IT-Sicherheit im Besonderen beziehungsweise Datenschutz im Allgemeinen zu tun haben, müssen niedergeschrieben werden. Die Form spielt dabei keine Rolle, ein Aktenordner mit den entsprechenden Informationen ist nicht schlechter oder besser als eine Ansammlung von Word-Dateien oder einer speziellen Datenschutzmanagementsoftware. Entscheidend ist vielmehr, dass alle wichtigen Informationen erfasst sind und das betreffende Unternehmen mit der Dokumentation im Alltag auch arbeiten kann. Denn hierbei handelt es sich um einen dynamischen Prozess, der regelmäßig (mindestens einmal jährlich) überprüft werden muss. Und wenn sich die Arbeitsabläufe im Unternehmen nicht geändert haben, dann vermutlich der Stand der Technik – somit muss eine regelmäßige Prüfung der eigenen Datenschutzcompliance und gegebenenfalls Anpassung der Dokumentation erfolgen.

Verarbeitungsverzeichnis

Das zentrale „Datenschutzhandbuch“ ist das Verzeichnis von Verarbeitungstätigkeiten oder kurz: Verarbeitungsverzeichnis. Darin sollten alle datenschutzrelevanten Informationen für den Sektor abgelegt werden und zwar in einer inhaltlichen Struktur, die den Vorgaben von Art. 30 DSGVO entspricht.

Das Verarbeitungsverzeichnis kann grob in drei Bereiche unterteilt werden. Teil 1 besteht sozusagen aus dem Deckblatt, das Name und Anschrift der verantwortlichen Stelle (also des datenverarbeitenden Unternehmens) sowie eines eventuell existierenden Datenschutzbeauftragten enthält. Der zweite Teil beinhaltet den wichtigsten Part, nämlich die Beschreibungen der einzelnen Verarbeitungsvorgänge im Unternehmen. Hier geht es um die Analyse der eigenen Geschäftsprozesse sowie deren Beschreibung gemäß den Vorgaben aus Art. 30 DSGVO. Teil 3 umfasst die technischen und organisatorischen Maßnahmen (TOMs). Dazu zählen alle Maßnahmen, die im Unternehmen in Sachen IT-Sicherheit, aber auch in anderen Bereichen bestehen. Hier geht es also beispielsweise um Netzwerksicherheit, Gebäudeabsicherung, Zugangskontrolle etc. Neben den technischen sollten auch die organisatorischen Maßnahmen nicht vergessen werden, zu denen etwa Arbeitsanweisungen, Betriebsvereinbarungen oder Ähnliches zählen. Alle drei Teile zusammen – Deckblatt, die einzelnen Prozessbeschreibungen und TOMs – ergeben das Verarbeitungsverzeichnis. Das bedeutet, dass bei der sorgfältigen Datenschutzdokumentation immer auch ein wenig Qualitätsmanagement automatisch mit erledigt wird.

Pflichtangaben

Zu den Pflichtangaben des Verarbeitungsverzeichnisses nach Art. 30 DSGVO gehören die folgenden:

  • Namen und Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten (Teil 1, „Deckblatt“)
  • Zweck der Verarbeitungstätigkeit (also z.B. Kundenbetreuung, Personalverwaltung oder Werbezwecke)
  • Kategorien der betroffenen Personen (z.B. Kunden, Beschäftigte, Lieferanten)
  • Kategorien der verarbeiteten Daten (z.B. Name, Adressdaten, Kontaktdaten, Vertragsdaten)
  • Eventuell auch die Kategorien von besonders sensiblen Daten im Sinne von Art. 9 DSGVO (also z.B. Gewerkschaftszugehörigkeit oder Gesundheitsdaten)
  • Kategorien von Empfängern der Daten (z.B. Bank, Finanzamt, Krankenkasse, Dienstleister)
  • Eine eventuell geplante Übermittlung der Daten in Länder außerhalb der EU
  • Einschlägige Lösch- beziehungsweise Aufbewahrungsfristen
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Teil 3, TOMs)

Alle Angaben dieser Auflistung zwischen dem ersten und dem letzten Punkt sind für jedes einzelne Verfahren im Unternehmen anzugeben (Teil 2, Verarbeitungsverzeichnis im eigentlichen Sinne).

International PHP Conference

Migrating to PHP 7

by Stefan Priebsch (thePHP.cc)

A practical introduction to Kubernetes

by Robert Lemke (Flownative GmbH)

Als Anlage zum Verarbeitungsverzeichnis sollten dann noch solche Dinge wie Unternehmensstruktur/Organigramm, Löschkonzept, Passwortrichtlinie, Backup-Strategie, Auflistung der Dienstleister, exemplarischer Arbeitsvertrag, Kopien von Dienstanweisungen/Betriebsvereinbarungen oder Ähnliches aufgenommen werden.

Technische und organisatorische Maßnahmen (TOMs)

Die technischen und organisatorischen Maßnahmen werden gemäß DSGVO in folgende Kategorien unterteilt:

  • Pseudonymisierung
  • Verschlüsselung
  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Belastbarkeit
  • Wiederherstellung der Verfügbarkeit
  • Verfahren zur regelmäßigen Überprüfung

Das bedeutet aber nicht, dass jetzt etwa ein Verschlüsselungszwang herrscht. Jedes Unternehmen muss ein dem eigenen Risiko (für die personenbezogenen Daten) angemessenes Sicherheitsniveau erreichen. Dazu ist der Einsatz z.B. einer Bitlocker-Verschlüsselung unter Windows 10, von SSL-/TLS-Zertifikaten auf der Unternehmenswebsite oder auch der Verschlüsselung von E-Mails natürlich ein guter Ansatz – aber eben nicht immer und für jeden verpflichtend.

Folgende Einzelmaßnahmen können als TOMs im Unternehmen umgesetzt werden:

  • Alarmanlage
  • Absicherung von Gebäudeschächten
  • Zugangskontrollsystem
  • biometrische Zugangssperren
  • Videoüberwachung
  • Lichtschranken/Bewegungsmelder
  • Sicherheitsschlösser
  • Schlüsselregelung
  • Personenkontrolle
  • Besucherprotokoll
  • sorgfältige Auswahl des Reinigungspersonals
  • sorgfältige Auswahl des Wachpersonals
  • Berechtigungsausweise
  • Benutzerrechtekonzept
  • Passwortrichtlinie
  • Authentifikation mit Benutzername/Passwort
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Nutzung von VPN-Technologie
  • Sperren von externen Schnittstellen (z.B. USB)
  • Einsatz von Intrusion-Detection-Systemen/Antivirenlösungen
  • Verschlüsselung von Datenträgern
  • Back-up-Konzept
  • Protokollierung von Zugriffen auf Anwendungen
  • Sichere Aufbewahrung von Datenträgern
  • Ordnungsgemäße Vernichtung von Datenträgern
  • E-Mail-Verschlüsselung
  • Löschkonzept
  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Auftragsverarbeitungsverträge
  • Unterbrechungsfreie Stromversorgung (USV)
  • Klimaanlage in Serverraum
  • Feuer- und Rauchmeldeanlagen
  • Ausreichende Anzahl von Feuerlöschgeräten
  • Notfallplan
  • Trennung von Produktiv- und Testsystem
  • Clean-Desk-Policy

Bei dieser Auflistung handelt es sich um typischerweise in Unternehmen bestehende technische und organisatorische Maßnahmen. Es muss jedoch in jedem Einzelfall individuell entschieden werden, welche TOMs tatsächlich umgesetzt werden. Klar ist, dass beispielsweise ein kleiner Handwerksbetrieb vermutlich weniger in Sachen Datensicherheit realisieren muss, als eine Röntgenpraxis oder ein international tätiger Konzern. So sind bei der Umsetzung der TOMs regelmäßig folgende Aspekte zu berücksichtigen:

  • Stand der Technik
  • Kosten der Implementierung
  • Art, Umfang, Umstände und Zweck der Verarbeitung
  • unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos

Wichtig ist, dass sich im Unternehmen überhaupt Gedanken darüber gemacht und die Ergebnisse entsprechend dokumentiert werden.

Umsetzung in die Praxis

Um überhaupt erst einen Einstieg zu finden, kann man z.B. eine Excel-Tabelle anlegen. In dieser werden in der ersten Spalte untereinander die Abteilungen aufgeführt, die im Unternehmen existieren. Typisch sind hier also Geschäftsführung, Marketing, IT, Buchhaltung, Personalabteilung, Hausverwaltung und viele mehr. Das ergibt dann eine sehr grobe Aufteilung der verschiedenen Prozesse. Die DSGVO schreibt nicht vor, wie detailliert das Verarbeitungsverzeichnis gestaltet sein muss. Allerdings sollte die Auflistung der eigenen Prozesse wohl etwas feiner ausfallen, als die bloße Unterteilung in die einzelnen Abteilungen. So lässt sich die Buchhaltung beispielsweise noch in Lohnbuchhaltung, Finanzbuchhaltung etc. aufteilen. In der Personalabteilung gibt es ebenfalls mehrere Prozesse, z. B. Bewerbermanagement, Personalaktenverwaltung, Urlaubsplanung, Verwaltung der Krankheits-/Fehlzeiten etc. Folgende Arbeitsabläufe gibt es häufig in Unternehmen:

  • Netzwerkadministration/IT-Sicherheit
  • Besucherregistrierung
  • Schlüsselverwaltung
  • Videoüberwachung
  • Biometrische Zutrittskontrolle
  • Cloud-Anwendungen (OneDrive, Dropbox, Salesforce, Azure)
  • Dokumentenmanagementsystem (DMS)
  • Mobile Device Management (MDM)
  • Office-Anwendungen (z.B. MS Office 365)
  • Gewährleistung und Garantie
  • Kundendienst und -service
  • Verwaltung Unternehmen allgemein
  • Gewinnspiele
  • Internetseite
  • Messestandverwaltung
  • Newsletter
  • Webtracking (Google Analytics)
  • Aus- und Weiterbildung
  • Betriebliche Altersversorgung
  • Bewerbermanagement
  • Zeiterfassung Mitarbeiter
  • Geburtstags- und Jubiläumsverzeichnis
  • Personalakte
  • Telefondatenbank/-anlage
  • Urlaubsplanung
  • Fahrzeugverwaltung
  • Inkasso
  • Verkauf/Vertrieb
  • Kontaktverwaltung (z.B. Outlook)
  • Terminverwaltung (z.B. Outlook)
  • E-Mail (z.B. Outlook)
  • Revision/Compliance
  • Einkauf
  • Marketing
  • Produktion
  • Finanzbuchhaltung
  • Lohnbuchhaltung
  • CRM-System (Kundendatenbank)
  • ERP-System (Warenwirtschaft)

Für jeden einzelnen Verarbeitungsvorgang müssen dann in übersichtlicher Weise, zum Beispiel in Tabellenform, die Pflichtangaben gemäß Art. 30 DSGVO (s.o.) angegeben werden. Prozesse, die auf diese Weise beschrieben werden, ergeben zusammen den wichtigsten Teil des Verarbeitungsverzeichnisses. Für die Erstellung des Verarbeitungsverzeichnisses gibt es hilfreiche Mustervorlagen (Kasten: „Praxistipp“).

Praxistipp

Wie sich die Datenschutzaufsichtsbehörden so ein Verarbeitungsverzeichnis vorstellen, lässt sich entsprechenden Mustern entnehmen, die das Bayrische Landesamt für Datenschutz (LDA Bayern) u.a. für Handwerksbetriebe, Einzelhändler oder auch Vereine kostenfrei zum Download auf seiner Website bereitstellt.

 

PHP Magazin

Entwickler MagazinDieser Artikel ist im PHP Magazin erschienen. Das PHP Magazin deckt ein breites Spektrum an Themen ab, die für die erfolgreiche Webentwicklung unerlässlich sind.

Natürlich können Sie das PHP Magazin über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Shop ist das Entwickler Magazin ferner im Abonnement oder als Einzelheft erhältlich.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -