3.1 Verzeichnis von Verarbeitungstätigkeiten
Jeder Verantwortliche (früher "Verantwortliche Stelle") ist gemäß Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichnis muss dabei die folgenden Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen
- Name und Kontaktdaten des Datenschutzbeauftragten
- Zweck der Verarbeitung
- Beschreibung der Kategorien betroffener Personen
- Beschreibung der Kategorien personenbezogener Daten
- Aufzählung der Empfänger der personenbezogenen Daten
- Fristen für die Löschung der personenbezogenen Daten
- allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Bestehende Verzeichnisse prüfen
Das Verzeichnis ist eines der zentralen Dokumente für die Datenschutzorganisation. Innerhalb dieses Verzeichnisses können auch weitere Dokumentationspflichten, wie etwa durchgeführte Risikoanalysen oder Datenschutz-Folgeabschätzungen erfüllt werden. Unternehmen sollten bestehende Verzeichnisse stets auf Vollständigkeit und Aktualität prüfen, insbesondere dann, wenn eine neue Verarbeitungstätigkeit aufgenommen wird (z. B. die Implementierung einer neuen HR-Software). Es sollte daher ein Mechanismus im Unternehmen etabliert werden, damit das Verzeichnis stets auf dem aktuellen Stand ist. Im Bereich des Beschäftigtendatenschutzes ist hier allen voran an folgende Verarbeitungen zu denken, die in dem Verzeichnis der Verarbeitungen dokumentiert werden sollten:
- Verwaltung der Personalakten
- Arbeitszeiterfassung
- Lohn- und Gehaltsabrechnung
- Bewerbungsmanagement
- Betriebliche Altersvorsorge
Bei der Erstellung, Prüfung und Überarbeitung von Verarbeitungsverzeichnissen können Unternehmen auf die Publikationen der Aufsichtsbehörden zurückgreifen.
3.2 Verzeichnis über Tätigkeit als Auftragsverarbeiter
Die Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten trifft nicht nur jeden Verantwortlichen, sondern auch alle Auftragsverarbeiter gemäß Art. 28 DSGVO (früher "Auftragsdatenverarbeiter"). Jeder Auftragsverarbeiter muss gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis der von ihm durchgeführten Verarbeitung führen, das mindestens die folgenden Angaben enthalten muss:
- Name und Kontaktdaten des Verantwortlichen, für den der Auftragsverarbeiter tätig wird
- Name und Kontaktdaten des Auftragsverarbeiters
- Kategorien von Verarbeitungen, die im Auftrag durchgeführt werden
- ggf. Übermittlungen von personenbezogenen Daten in Drittländer
- falls möglich, eine allgemeine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen
Zusammenfassung unterschiedlicher Vorgänge in einem Verzeichnis
Erbringt ein Unternehmen eine Vielzahl von gleichartigen Verarbeitungen für eine Vielzahl von Verantwortlichen, so können diese Verarbeitungen auch für das Verzeichnis zusammengefasst werden. Dies bietet sich vor allem für Letter Shops, Wartungsunternehmen oder externe Lohnbuchhalter an.
Das Bayrische Landesamt für Datenschutzaufsicht hat Handreichungen für kleine Unternehmen und Vereine veröffentlicht, in denen sich neben den Anforderungen für Vereine, Werkstätten, Handwerksbetriebe oder kleinere Online-Shops auch Musterverzeichnisse für Verarbeitungstätigkeiten finden.
3.3 Dokumentation der Datenschutzprozesse
Um der in Art. 5 Abs. 2 DSGVO genannten Rechenschaftspflicht nachkommen zu können, bedarf es eines umfangreichen Datenschutzkonzeptes bzw. einer unternehmensweiten Datenschutz-Policy. Darin sollte grundsätzlich geregelt werden, wie die Datenschutzorganisation im Unternehmen aufgebaut ist, welche Personen für welche Bereiche verantwortlich sind, welche Schutzmaßnahmen bei der Verarbeitung von personenbezogenen Daten getroffen werden, wie mit Betroffenenrechten umgegangen wird, wie das Löschen von personenbezogenen Daten gewährleistet wird und wie mit Datenpannen im Unternehmen umgegangen wird.
Mitarbeiter schulen
Die reine Erstellung eines Konzepts oder einer Policy ist nicht ausreichend. Mindestens genauso wichtig ist es, alle Mitarbeiter dahingehend zu schulen, dass die Inhalte des Konzeptes auch von allen Beschäftigten im Unternehmen eingehalten werden.
3.4 Risikoanalyse
Bei jeder Verarbeitung von personenbezogenen Daten sollte eine Bewertung hinsichtlich des Risikos für die Rechte und Freiheiten natürlicher Personen durchgeführt und dokumentiert werden. In Anbetracht der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten lässt sich die Risikoanalyse hier in der Praxis gut integrieren.
Für die Risikobewertung kann in einem ersten Schritt der drohende Schaden für die Rechte und Freiheiten natürlicher Personen (hier z. B. Arbeitnehmer und Bewerber) klassifiziert werden. Anschließend kann eine Prognose hinsichtlich der Eintrittswahrscheinlichkeit einer Rechtsverletzung erstellt werden....