Inzwischen haben Sie als Datenschutzkoordinator eine annähernd gemeinsame Sprache mit dem Datenschutzbeauftragten gefunden. Der Großteil der anstehenden Aufgaben ist verstandenund auch, dass man sich auf diesen Menschen verlassen kann und ihn, unter Umständen als Komplizen, anerkennt. Doch diese eine Aufgabe – das Verzeichnis der Verarbeitungstätigkeiten – ist offen. Und irgendwie wird immer wieder betont, wie wichtig die Erstellung ist und, dass dieses Verzeichnis die notwendige Transparenz über die Verarbeitungstätigkeiten innerhalb der verantwortlichen Stelle bringt. Der erste Anlauf ist bereits beim Anblick des Dokumentes gescheitert. Wieder Kauderwelsch, wieder keine klaren Fragen und immer wieder Bezugnahme auf einzelne Artikel der Datenschutz-Grundverordnung (DS-GVO).
Also: kurze Panik, etwas aufsteigender Ärger gepaart mit Resignation – und zugeklickt das Ding. Sind sie doch selbst schuld, wenn sie es so kompliziert machen… murmeln Sie. Bei Restmotivation gelingt noch der Beschwerde-/ oder Verzweiflungsanruf bei dem Datenschutzbeauftragen. An dieser Stelle kann und sollte der Datenschutzbeauftragte besonnen reagieren und nicht all die Motivation, die Sie mühsam aufgebaut haben, buchstäblich den Bach runtergehen lassen. Folgende Handlungsempfehlung aus meiner Praxis als Unterstützung für Hilfesuchende und Helfende bezieht sich auf das Musterdokument der Datenschutzkonferenz (DSK).
IM ALLGEMEINEN
Lassen Sie sich nicht abschrecken – das gilt übrigens für diese gesamte Umsetzungsaufgabe der DS-GVO im Unternehmen. Der Datenschutzbeauftragte sollte Ihnen diese Aufgabe nochmals als vereinzeltes Thema nahebringen. Zum Beispiel in Form einer Schulung, an welcher auch die verschiedenen Fachbereichsleitungen teilnehmen können.
ZUALLERERST
Zunächst steht das Ausfüllen des Vorblattes bevor, welches Aufschluss das zu vervollständigende Verzeichnis der Verarbeitungstätigkeiten in seiner Gesamtheit gibt: An erster Stelle die Angaben zum Verantwortlichen. Das meint an dieser Stelle Ihr Unternehmen oder Ihre Behörden. Sodann Angaben zum Datenschutzbeauftragten, sofern Sie überhaupt einen Datenschutzbeauftragten benannt haben. Vielleicht haben Sie auch eine sogenannte gemeinsame Verantwortlichkeit mit einem anderen Verantwortlichen, zum Beispiel: zwei Unternehmen stellen sich über eine gemeinsame Internetseite dar oder nutzen gemeinsam denselben Telefon-/Internetanschluss. Wenn Ihr Unternehmen außerhalb der Europäischen Union (EU) oder des Euopäischen Wirtschaftsraums (EWR) sitzt, haben Sie unter Umständen zudem einen Vertreter des Verantwortlichen innerhalb der EU / des EWR benannt. Diese Daten wären hier einzutragen. Jetzt nicht gleich hinwerfen – sollten Sie Fragen zu den genannten Feldern haben, fragen Sie Ihren Datenschutzbeauftragten.
IM DETAIL
Nun nehmen wir uns die Erstellung des eigentlichen Verzeichnisses der Verarbeitungstätigkeiten vor. Zum besseren Verständnis sind die einzutragenden Inhalte im Folgenden als Hinweise und Hürden gekennzeichnet. Dies zeigt Ihnen, an welchen Stellen es unter Umständen sinnvoll sein kann, auf Ihren Datenschutzbeauftragten zurückzugreifen.
Erster Hinweis: Wie heißt die Verarbeitungstätigkeit? Das bekommen Sie locker hin! Laufende Nummer? Das kann sich auch erst zu einem späteren Zeitpunkt aus der Übersicht ergeben.
Zweiter Hinweis: Einführungsdatum und letzte Änderung der Verarbeitungstätigkeit? Das kann unter Umständen lange zurückliegen, fragen Sie im Zweifelsfall in der jeweiligen Fachabteilung nach. In diesem Zug können Sie auch die Angaben zur verantwortlichen Fachabteilung eintragen. Auch das ist kein Problem, oder?
Dritter Hinweis: Zweck der Verarbeitung? Wofür werden die personenbezogenen Daten verarbeitet, welchen Zweck verfolgt Ihr Unternehmen oder Ihre Behörde damit? Und an dieser Stelle kommen wir auch zur ersten Hürde: Im Zusammenhang mit dem Zweck der Verarbeitung ist es sinnvoll die Rechtsgrundlage der Verarbeitung mit anzugeben. Dies wird durch die DS-GVO an dieser Stelle zwar nicht zwingen vorgeschrieben, aber in Zukunft macht es Ihnen unter Umständen die Arbeit leichter: Sollte eine Person Auskunft über ihre Daten verlangen, haben Sie es in der Bearbeitung leichter. Fragen Sie zur Rechtsgrundlage Ihren Datenschutzbeauftragten. Sollten Sie bereits vorab eine Idee dazu haben, können Sie diese gerne eintragen.
Vierter Hinweis: Beschreibung des Verfahrens? Ebenfalls eine optionale Angabe. Aber auch diese kann lebenserleichternd sein, wenn Sie Auskunft geben müssen. Bitte beschreiben Sie in eigenen Worten, was Sie beziehungsweise die Fachabteilung tun. Manchmal existieren bereits Leistungs- oder ähnliche Beschreibungen.
Fünfter Hinweis: Beschreibung der Kategorien betroffener Personen und personenbezogener Daten? Ganz einfach: Wessen und welche Daten verarbeiten Sie im Rahmen der Tätigkeit? An dieser Stelle sehen wir uns auch mit der zweiten Hürde konfrontiert: Besondere Kategorien personenbezogener Daten? Klingt schwieriger, als es ist. Hierbei sind besonders schützenswerte Daten gemeint. Dies können Gesundheitsdaten (z.B. Krankschreibungen), religiöse oder andere weltanschauliche Überzeugungen (z.B. Konfessionszugehörigkeit), Hinweise auf ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, genetische und / oder biometrische Daten, Daten zu Sexualleben oder sexueller Orientierung sein.
Sechster Hinweis: Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder werden? Dies betrifft Stellen, die sich bei Ihnen intern im Haus befinden oder externe Stellen, außerhalb Ihres Unternehmens oder Ihrer Behörde. Hier ist jeweils anzugeben, an welche Stellen wessen Daten für welchen Zweck übermittelt werden.
Jetzt wird es speziell:
Siebter Hinweis oder auch dritte Hürde: Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation? Arbeiten Sie mit Dienstleistern im Ausland (außerhalb der EU / des EWR) zusammen? Setzen Sie für die Verarbeitungstätigkeit unter Umständen Dienstleister aus einem Drittland ein? Ja, das betrifft auch Microsoft. Der oder die Datenempfänger sind zu benennen und auch, ob es eine Dokumentation der geeigneten Garantien gibt. An dieser Stelle fragen Sie sich: Was ist das nun wieder? Das hat ebenfalls mit einem Drittstaatentransfer zu tun und ist liebevoll zu erlesen in einem separaten Blogbeitrag. Wenn Sie sich dieses Thema nicht erlesen möchten, dürfen Sie hier ebenfalls wieder Ihren Datenschutzbeauftragten dazu befragen und diese Thema mit ihm gemeinsam klären.
Achter Hinweis und vierte Hürde: Fristen für die Löschung der Datenkategorien? Löschen – da ist es – das ganz große Thema. Wenn Sie möchten, begeben Sie sich im Unternehmen oder der Behörde auf die Suche und beginnen Sie (sofern vorhanden) in der IT-Abteilung. Unter Umständen haben Sie es aber auch mit rechtlichen Vorgaben zu tun und hierbei kann Sie die entsprechende Fachabteilung und/oder wieder Ihr Datenschutzbeauftragter unterstützen.
Neunter Hinweis: Technische und organisatorische Maßnahmen? Diese sollten für Ihr Unternehmen definiert sein und können bei Ihrem Datenschutzkoordinator oder in der IT-Abteilung erfragt werden. Dieses Dokument gehört genauso zu dem Verzeichnis der Verarbeitungstätigkeiten wie das eingangs beschriebene Vorblatt. Wenn Sie das Verzeichnis der Verarbeitungstätigkeiten digital organisieren, dürfen Sie das Vorblatt und die Darstellung der technischen und organisatorischen Maßnahmen jeweils als Datei mit ablegen.
FAZIT
Ungemütlich ja, aber kein Hexenwerk! Fokussieren Sie sich auf die Felder, welche Sie gut ausfüllen können. Kommen Sie an verschiedenen Stellen nicht weiter, lassen Sie diese offen und besprechen sich hier mit Ihrerm Datenschutzbeauftragen. Einfach anfangen, Mut zur Lücke und dann durchfragen, nachfragen, ausfragen.
Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.