EU-DSGVO
"Auf das Verfahrensverzeichnis kommt es an"
Zentral für die Erfüllung der EU-DSGVO ist unter anderem das Verzeichnis der Verarbeitungstätigkeiten (Verfahrensverzeichnis). funkschau hat Frank M. Esser und Korbinian Hasler von BridgingIT dazu befragt, wie Unternehmen schnellstens die notwendige Datenschutzreife erreichen und nachweisen können.
funkschau: Wieso ist das Verfahrensverzeichnis für die Unternehmen so elementar?
Frank M. Esser: Das Verzeichnis der Verarbeitungstätigkeiten hat als Dokumentation den Sinn, die Gesamtheit der Verarbeitungen personenbezogener Daten in einem Unternehmen darzustellen und über dieses Dokument einen Überblick über die Einhaltung des Datenschutzes im Unternehmen zu geben. Die im Verzeichnis beschriebenen Verarbeitungstätigkeiten lehnen sich an den Geschäftsprozessen des Unternehmens an. Ist das Verzeichnis bezüglich der Verarbeitungen personenbezogener Daten nicht komplett, so macht es weder für das Unternehmen noch für die Aufsichtsbehörden transparent, ob die Datenschutzanforderungen eingehalten wurden beziehungsweise werden. Dieses komplett zu dokumentierende Verzeichnis ist vom Unternehmen in Textform zu führen, was die Dokumentation in einem elektronischen Format einschließt. Eine Sammlung von Hyperlinks genügt dieser Form hingegen nicht.
funkschau: Was kann passieren, wenn das Unternehmen das Verfahrensverzeichnis nicht komplett und korrekt dokumentiert?
Esser: In diesem Fall kann das Unternehmen für die Prüfung durch eine Aufsichtsbehörde kein aussagekräftiges Verzeichnis vorlegen.
In der Konsequenz drohen schmerzhafte Bußgelder nach Art. 83 Abs. 4 DSGVO. Diese können sich für Unternehmen oder Organisationen in diesem Fall auf bis zu zehn Millionen Euro oder zwei Prozent des jährlichen weltweiten Umsatzes belaufen, wobei der größere Betrag heranzuziehen ist. Dabei gilt es zu beachten, dass sich die Definition des Unternehmens aus Art. 101 und 102 AEUV ableitet, das heißt, bei einer Unternehmensgruppe wird der weltweite Umsatz des gesamten Konzerns als Berechnungsgrundlage für das Bußgeld herangezogen. Bei anderen Verstößen gegen Datenschutzregularien sind sogar noch höhere Bußgelder bis zu 20 Mio. Euro oder vier Prozent des Jahreskonzernumsatzes möglich.
funkschau: Welche Unternehmen sind von den Bestimmungen der DSGVO betroffen?
Esser: Die Verordnung greift bei Verarbeitung personenbezogener oder personenbeziehbarer Daten jeglicher Art. Laut EuGH sind bereits dynamische IP-Adressen regelmäßig als personenbeziehbare Daten einzustufen. Auch der Begriff der Verarbeitung ist sehr weit auszulegen, sodass beispielsweise schon die Weitergabe ohne eigene Speicherung oder auch das Löschen von Daten als Verarbeitung gilt. Zwar kann die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten theoretisch für kleine Unternehmen mit bis zu 250 Mitarbeitern unter bestimmten Voraussetzungen entfallen. Allerdings verarbeiten in Deutschland aufgrund der hiesigen Gesetzeslage auch kleine Unternehmen regelmäßig sogenannte besondere Kategorien personenbezogener Daten der eigenen Mitarbeiter, wie Angaben zur Konfession bei der Lohnabrechnung oder Gesundheitsdaten bei Krankmeldungen. Dadurch müssen in der Regel auch kleine Unternehmen dieses komplett und korrekt zu dokumentierende Verzeichnis führen.
funkschau: Wie sind im Verfahrensverzeichnis alle relevanten Verarbeitungen zu dokumentieren?
Esser: Viele Unternehmen haben mit dieser Aufgabenstellung große Schwierigkeiten. Das Problem beginnt für sie mit der Definition der relevanten Verarbeitungstätigkeiten vergleichbar mit Verfahren im Unternehmen und deren Abgrenzung untereinander. Gerade in großen Unternehmen fehlt häufig eine Übersicht über sämtliche Wertschöpfungs- und Geschäftsprozesse, sowie ein Überblick über die tatsächlich verarbeiteten Daten und Datensenken, ebenso über den Zweck der einzelnen Datenverarbeitungen. Erschwert wird eine Dokumentation der Verarbeitungstätigkeiten dadurch, dass auch aus der DSGVO selbst nicht genau hervorgeht, wie die einzelnen Verarbeitungstätigkeiten abzugrenzen sind. Entsprechend hat die SER-Gruppe im Rahmen ihrer Marktforschungsreihe ECM Insight 2017 herausgefunden, dass mehr als 45 Prozent der Unternehmen ihre grundsätzliche Vorgehensweise offenbar noch nicht so ausgerichtet haben, dass für sie absehbar sein könnte, ob sie die neuen DSGVO-Bestimmungen werden erfüllen können.
Angesichts dieser Ausgangssituation sollte die Definition der Verfahren nach Artikel 18 Absatz 1 der EU-Richtlinie 95/46 EG für eine Definition der Verarbeitungstätigkeiten herangezogen werden: Ein Verfahren ist demnach die Gesamtheit an Verarbeitungen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmungen erreicht werden sollen. Ein Verfahren kann eine Vielzahl an Verarbeitungen umfassen. Ein methodischer Ansatz schafft dafür die notwendige Transparenz. Um herauszufinden, welche Verarbeitungen im Verzeichnis aufgeführt werden müssen, ist es notwendig, alle Bereiche zu kennen, die personenbezogene Daten verarbeiten, ebenso, zu welchem Zweck diese Daten verarbeitet werden und welcher Schutzkategorie diese Daten angehören.
- "Auf das Verfahrensverzeichnis kommt es an"
- Die Methodik
Lesen Sie mehr zum Thema
