DSGVO: Verarbeitungsverzeichnis und Datensicherheit

Verarbeitungsverzeichnis

Die Datenschutzgrundverordnung bringt nicht nur in Bezug auf die Website neue Pflichten wie etwa eine neu gefasste und erweiterte Datenschutzerklärung, sondern auch Pflichten für die Dokumentation und die Absicherung der Datenverarbeitung in Deinem Unternehmen. Das betrifft insbesondere das Verarbeitungsverzeichnis und die die auf der Basis dieses Verzeichnisses herzustellende Datensicherheit.

I. Das Verarbeitungsverzeichnis

Neu durch die DSVGO ist die Pflicht aus Art. 30 DSGVO, ein Verarbeitungsverzeichnis zu erstellen. Abs. 1 lautet (teilw. gekürzt):

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen … sowie eines etwaigen  Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden s sind ….
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland …..
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.“

Derzeit ist der Anwendungsbereich der Norm aber noch unklar. Art. 30 Abs. 5 DSGVO lautet:

„Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“

Da es keine Website gibt, die nur gelegentlich Daten sammelt, bleibt offen, wo überhaupt Ausnahmen existieren. Erst recht macht mit einer derart weit gefassten Unterausnahme die eigentliche Grenze von sogar mehr als 250 Mitarbeitern keinen Sinn, da viel vorher immer die Unterausnahme erfüllt sein dürfte. Von daher würde die Unterausnahme zur Regel.

Hier wird man die künftige Rechtsentwicklung im Auge behalten müssen, es wird sicher noch Klarstellungen geben. Einstweilen muss jeder Betreiber einer Website davon ausgehen, dass er ein Verarbeitungsverzeichnis braucht.

Das Verzeichnis ist jedoch nicht öffentlich und muss auch nicht den Nutzern der Website ausgehändigt werden, sondern nur auf Anfrage an die Behörde. Dann aber muss man das Verzeichnis sehr kurzfristig vorlegen, um eine Auflage oder ein Bußgeld zu vermeiden.

Wenigstens sollte man sich also darauf vorbereiten, ein solches Verzeichnis kurzfristig zu erstellen. Dafür kannst Du Dir hier ein pdf-Muster und eine Anleitung für die Erstellung eines solchen Verzeichnisses runterladen. Ansonsten findet Du auch hier das Muster der Aufsichtsbehörden, welches ich recht übersichtlich finde oder hier eine Vorlage aus Österreich (geht durch EU Recht genauso gut – ich finde das dortige Muster aber etwas unübersichtlich).

II. Datensicherheit

Das Verfahrensverzeichnis hat aber nicht nur den Selbstzweck, erstellt zu werden, damit es der Behörde übergeben werden kann. Vielmehr ist es nur das Anfang der Überprüfung des gesamten Datenverkehrs im Unternehmen auf Datensicherheit, inzwischen als „gap analysis“ bekannt.

Es gilt damit, die Lücken zu suchen – und zu beseitigen – die sich aus dem Verarbeitungsverzeichnis ergeben. Jedes einzelne Datenverarbeitungsverfahren (der Kundendaten, der Websitedaten, der Mitarbeiterdaten etc.) muss daraufhin untersucht werden, ob es in datenschutzrechtlicher und -technischer Hinsicht optimiert werden kann oder muss.

Derartige gaps können sich vor allem aus den datenschutzrechlichen Grundsätzen und den Grundsätzen zur Datensicherheit gem. Art. 32 DSGVO ergeben:

  • Datensparsamkeit: Ist die Speicherung der je betroffenen Daten und ihre Verarbeitung wirklich notwendig?
  • Datenrichtigkeit: sind die Daten auf dem neuesten Stand? Gibt es eine Fehlerkorrektur und werden unrichtige Daten gelöscht?
  • Rechtmäßigkeit: Ist die Verarbeitung der Daten aus einem Grund gem. Art. 6 Abs. 1 DSGVO gerechtfertigt (vor allem Vertragsdaten, Einwilligung und berechtigtes Interesse)?
  • Speicherdauer: Werden Daten gelöscht, wenn sie nicht mehr notwendig sind? Gibt es eine Automatik, die für eine rechtzeitige Löschung sorgt?
  • Rechte: Sind möglichst wenig Mitarbeiter mit den Daten in Kontakt, sind diese in Fragen der DSGVO unterweisen?
  • Sicherheit: Sind die Datenverarbeitungsanlagen hinreichend gegen unbefugten  Zugang geschützt?
  • Verschlüsselung: Sind personenbezogene Daten soweit als möglich verschlüsselt. Sind Datenübertragungswege verschlüsselt (EMail?).
  • Datenstabilität: Sind die Datenverarbeitungssysteme hinreichend stabil und zukunftssicher?
  • Wiederherstellung: Sind die Systeme hinreichend gegen Datenverlust geschützt? Gibt es eine funktionierend Datensicherung?
  • Überprüfung: Gibt es eine regelmäßige Prüfung auf Datensicherheit?
  • Dokumentation: Gibt es eine Dokumentation dieser Maßnahmen (soweit nicht im Verarbeitungsverzeichnis beschrieben)?

Ergebnis: Insgesamt kann das Verarbeitungsverzeichnis bereits einigen Aufwand erfordern. Noch mehr gilt das für die Herstellung der Datensicherheit. Mit einem Verarbeitungsverzeichnis lässt sich die Analyse aber vereinfachen und sicher werden in nächster Zeit viele Tools auf den Markt kommen, die die Herstellung der erforderlichen Datensicherheit vereinfachen.  

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*