EU-DSGVO
"Auf das Verfahrensverzeichnis kommt es an"
Fortsetzung des Artikels von Teil 1
Die Methodik
funkschau: Herr Hasler, können Sie näher auf diese Methodik eingehen?
Korbinian Hasler: Das Beratungshaus BridgingIT empfiehlt grundsätzlich eine methodische Vorgehensweise in zwei Schritten. Im ersten Schritt sollte das Thema Datenschutz ausgehend von den Geschäftsprozessen Top-Down adressiert werden. Denn es gilt, den Datenschutz im Unternehmen als Führungsprozess auszugestalten. Dieser Ansatz hat für das Unternehmen den Vorteil, dass darüber der Datenschutz in alle Unternehmensbereiche getragen wird, um das Management und die Mitarbeiter dort für den sorgsamen Umgang mit personenbezogenen Daten zu sensibilisieren. Fehlt diese Sensibilisierung, so kann dies die interne und nachhaltige Durchsetzung der Datenschutzanforderungen behindern. Zu den personenbezogenen Daten zählen neben Kundendaten übrigens auch Mitarbeiterdaten oder die Daten von Lieferanten und Geschäftspartnern. Dies unabhängig davon, wo diese personenbezogenen Daten gespeichert werden, ob auf PCs oder Laptops, auf Servern, in der Cloud, in E-Mail-Systemen oder auf Handys.
funkschau: Was ist im zweiten Schritt erforderlich?
Hasler: Der zweite Schritt sollte Bottom-up umgesetzt werden. Im Fokus dieses Ansatzes stehen diejenigen Mitarbeiter, die aktiv die Umsetzung der Geschäftsprozesse gestalten und den besten Überblick über die tatsächlich dort verarbeiteten Daten haben. Als Prozessexperten verfügen diese Mitarbeiter über das Detailwissen und alle notwendigen Informationen, um im Verzeichnis alle für ihren Bereich relevanten Verarbeitungen und Verarbeitungszwecke aufführen zu können. Für eine zielgerichtete Durchführung dieser Analysearbeit haben sich Workshops zur DSGVO-konformen Dokumentation bewährt. Sind die Dokumentationen erstellt, sind es die Führungskräfte, die diese Dokumentationen abschließend prüfen und freigeben müssen.
funkschau: Die Umsetzung dieser Schritte ist zwangsläufig mit Kosten verbunden. Was können Unternehmen tun, damit sich diese Projektkosten in Grenzen halten?
Hasler: Auch dazu ist die methodische Vorgehensweise aus Top-Down- und Bottom-Up-Ansatz der Schlüssel. Die Kombination beider Ansätze befähigt das Unternehmen, mögliche Herangehensweisen im Detail zu identifizieren und diese Herangehensweisen hinsichtlich Kosten, Umsetzungsgeschwindigkeit und Nachhaltigkeit gegenüberzustellen. Die Methodik dieser Vorgehensweise ist per se auf Nachhaltigkeit ausgerichtet. Nicht nur aktuelle, sondern auch künftige, neue Verarbeitungen können konzeptionell für eine DSGVO-konforme Dokumentation einbezogen werden. Last but not least wissen die Verantwortlichen nach dieser methodischen Vorgehensweise, wie es um den Status quo der Verordnungskonformität in ihrem Unternehmen steht. Darauf kann dann gezielt zur Erreichung der DSGVO-Datenschutzreife aufgebaut werden.
funkschau: Können Sie ins Detail gehen?
Hasler: Im Fokus dieses Aufbaus stehen die personenbezogenen Daten in Abhängigkeit von deren Kategorie – dem Schutzbedürfnis. Diesem gezielten Schutz nach Maß muss eine Risikoanalyse vorausgehen, wofür wiederum Bewertungsmaßstäbe erarbeitet werden müssen. Teil einer professionellen Risikoanalyse sollte auch eine Datenschutz-Folgeabschätzung (DSFA) sein. Dazu gehören die Festlegung dafür notwendiger Instrumentarien, die Ermittlung von Einflussfaktoren und die Definition von Sicherheitsmaßstäben. Eine DSFA ist immer dann verpflichtend, wenn Umstände und Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen in sich bergen. Der Schutz personenbezogener Daten ist erst dann komplett, wenn das Verzeichnis der Verarbeitungstätigkeiten durch die technischen und organisatorischen Maßnahmen (TOM) ergänzt wird.
funkschau: Herr Esser, wer steht für das Verfahrensverzeichnis in der Verantwortung?
Esser: Der Verantwortliche im Sinne des Art. 30 Abs. 1 DSGVO ist die Unternehmensleitung, und nicht etwa der Datenschutzbeauftragte oder der Prozessverantwortliche. Im Verzeichnis sind neben Name und Kontaktdaten des Verantwortlichen die Kontaktdaten der Vertreter des Unternehmensleiters und, sofern vorhanden, des Datenschutzbeauftragten einzutragen. Durch die Anwendung der DSGVO (Art. 30 Abs. 2 DSGVO) verschärft sich übrigens auch die Haftung für die Auftragsverarbeiter, also für die Dienstleister, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten. Auch sie müssen ein Verzeichnis führen und darin die entsprechenden Angaben über die Verarbeitungen dokumentieren.
Das Interview führte Hadi Stiel, freier Journalist, Kommunikationsberater und geprüfter IT-Gutachter
- "Auf das Verfahrensverzeichnis kommt es an"
- Die Methodik
Lesen Sie mehr zum Thema
