Verfahrensverzeichnis
DSGVO-ready mit guter IT-Dokumentation
Fortsetzung des Artikels von Teil 1
Verstöße werden mit bis zu 20 Millionen Euro sanktioniert
Als begleitende Maßnahme wurde die Rolle des Datenschutzbeauftragten aufgewertet. In der neuen Rolle verifiziert und auditiert er die Korrektheit der Angaben - und vertritt in dieser Konstruktion gleichzeitig den Gesetzgeber. Bei kleinen und mittleren Unternehmen (KMU) wird diese Rolle gerne durch eine externe Person besetzt - auch um Rollenkonflikte zu vermeiden. Sowohl das Vorhandensein, als auch die Korrektheit der angegebenen Informationen wird mit drakonischen Strafandrohungen eingemahnt - ein starkes Argument, sich nun mit der Thematik zu beschäftigen. So können Datenschutzverstöße ab dem kommenden Jahr mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes sanktioniert werden.
Auch die Datennutzung von Microservices kommt unter Kuratel
Daten, beispielsweise von Mitarbeitern, Interessenten oder Kunden, werden in mehreren IT-Systemen gespeichert, oftmals automatisiert abgeglichen und angereichert. Die Verordnung kommt auch deshalb zur rechten Zeit, weil jüngst immer mehr “Microservices” - spezialisierte IT-Services mit jeweils kleinem Funktionsumfang zum Einsatz kommen. Diese laufen im eigenen Rechenzentrum oder auch bei externen Datenverarbeitern, werden mit Daten beschickt und produzieren dabei Artefakte und Folgedaten, die möglicherweise ohne Ablaufdatum und schlecht geschützt gelagert sind.
Prägnantes und häufig auftretendes Beispiel ist eine Produkt- oder Servicebeschreibung, die Besucher einer Website nach Eingabe ihrer persönlichen Daten über eine Landingpage abrufen können. Bis der Besucher die Unterlagen in seiner Mailbox vorfindet, durchlaufen seine Daten ein gutes Dutzend IT-Services und bleiben vielleicht in jedem der beteiligten Systeme übermäßig lange gespeichert. Ziel eines Verfahrensverzeichnisses ist es, genau solche Verfahren mit Datenverarbeitungssystemen und -services lückenlos zu dokumentieren. Und damit dieses auch mit der Realität übereinstimmt, gibt es die Rolle des Datenschutzbeauftragten.
Was hat ein Verfahrensverzeichnis mit IT-Dokumentation zu tun?
Für die Pflege des Verfahrensverzeichnisses ist nicht etwa die IT-Abteilung oder der Datenschutzbeauftragte im Unternehmen verantwortlich, sondern die Fach-Verantwortlichen für das jeweilige Verfahren: der Vertrieb, der Einkauf oder die Personalabteilung. Und die sollten bei der Wahl des richtigen Tools aufpassen. Just another Excel-File? Zu kurz gesprungen! Mit einer Tabellenkalkulation tut man sich mit einer dateibasierten Erhebung, Vereinheitlichung der Schreibweise und zentraler Auswertung unnötig schwer. Hinzu kommt, dass viele der in Fachabteilungen in starren Excel-Sheets vorgehaltenen Informationen bereits in der IT vorgehalten werden, und zwar dynamisch und laufend aktualisiert. In diese Prozesse sollten sich die Fachabteilungen einklinken, auch wenn die Verantwortung anderswo liegt.
- DSGVO-ready mit guter IT-Dokumentation
- Verstöße werden mit bis zu 20 Millionen Euro sanktioniert
- Teamgeist ist gefordert
- Exkurs: Zwei Beispiele aus Österreich
Lesen Sie mehr zum Thema
