DSGVO Verarbeitungsverzeichnis How-To

Manchmal sieht man den Wald vor lauter Bäumen nicht. So zum Beispiel, wenn es um das Verarbeitungsverzeichnis für Verantwortliche laut DSGVO geht. Wie man diesem Phänomen Abhilfe schaffen kann, schauen wir uns im folgenden Artikel genauer an.

Gerade für kleinere Unternehmen oder solche, die sich erstmals mit der Art und Weise beschäftigen, wie sie überhaupt personenbezogenen Daten verarbeiten, kann der Anfang schwerfallen. Eine Herangehensweise ist, mit den Personen zu beginnen, deren Daten verarbeitet werden.

Welche Personen sind betroffen?

Grundsätzlich alle Personen, deren personenbezogenen Daten verarbeitet werden. Nun ist das wenig hilfreich. Ein erster Schritt zur Eingrenzung oder Kategorisierung ist die Unterscheidung nach:

  • Personen im Unternehmen: z.B. Personal

  • Personen außerhalb des Unternehmens: z.B. KundInnen, InteressentInnen, LieferantInnen, externe Dienstleistungs- oder Beratungsunternehmen (z.B. Steuerberatung, Rechtsberatung,), KooperationsparterInnen, etc.

In einem weiteren Schritt wird ermittelt, wofür – also zu welchem Zweck – personenbezogene Daten dieser Personenkategorien überhaupt verarbeitet werden.

Exkurs: Verarbeitung

Unter den Begriff Verarbeitung fallen: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder Bereitstellen, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten.

Zu welchem Zweck werden personenbezogene Daten verarbeitet?

Eine erste Leitfrage könnte sein: Wozu ist es notwendig, die jeweiligen personenbezogenen Daten im Unternehmen gespeichert zu haben. Bei Personen im Unternehmen z.B. für Personalverrechnung, bei bestehenden KundInnen z.B. für Vertragserfüllung, Rechnungslegung, Kundenservice, bei InteressentInnen z.B. für Marketing und Akquise, bei KooperationspartnerInnen z.B. AnsprechpartnerInnen für Geschäfts- und Projektkorrespondenz, Direktlieferung zum Endkunden, etc.

Die im vorigen Punkt erstellte Liste an Personen wird dann um die jeweiligen Verarbeitungszwecke ergänzt.

Mit welcher Rechtsgrundlage werden personenbezogene Daten verarbeitet?

Oder anders formuliert: dürfen wir das und was gibt uns das Recht, die personenbezogenen Daten zu verarbeiten. Das Datenschutzgesetz selbst ist ein Verbotsgesetzt; d.h. die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Das gilt, außer es trifft eine der folgenden Ausnahmen zu:

  • Verwendung im lebenswichtigen Interesse der betroffenen Person

  • Gesetzliche Ermächtigung oder rechtliche Verpflichtung (z.B. Belegaufbewahrungspflicht, etc.)

  • Überwiegend berechtigtes Interesse (z.B. Vertragserfüllung: Dienstvertrag, Bestellung, etc.)

  • Die Daten sind ohnehin öffentlich oder anonym.

  • Die Zustimmung der betroffenen Person liegt vor.

Dabei ist zu beachten, dass alles was über die Erfüllung einer der einer Ausnahmen hinausgeht, der Zustimmung der betroffenen Person bedarf, falls nicht ein anderer zwingender Grund vorliegt. Z.B. Datenerhebung im Zuge einer Warenbestellung (-> Vertragserfüllung). Die erhobenen Daten (z.B. Mailadresse) sollen für weitere Zwecke verwendet werden (z.B. Newsletter). Dafür wäre die Zustimmung der betroffenen Person notwendig. Die Zustimmung muss nachweislich erfolgen.

Bis hierher hätten wir bereits einen ersten Überblick über die personenbezogenen Daten, die zugehörigen Verarbeitungszwecke und die Legitimation erarbeitet. In den folgenden Schritten schauen wir uns die personenbezogenen Daten genauer an.

Datenkategorien

Im nächsten Schritt widmen wir uns folgenden Fragestellungen: Welche Art von Daten werden je Personenkategorie und Zweck eigentlich konkret verarbeitet? Womit? Und wer hat darauf Zugriff?

Bespiele für Datenkategorien sind:

  • Allgemeine Personendaten: Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail, Telefonnummer …

  • Kennnummern: Sozialversicherungsnummer, Steuernummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer …

  • Bankdaten: Kontonummer, Kreditinfos, Kontostände …

  • Online-Daten: IP-Adresse, Standortdaten …

  • Physische Merkmale: Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße …

  • Besitzmerkmale: Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten …

  • Kundendaten: Bestellungen, Adressdaten, Kontodaten …

  • Werturteile: Schul- und Arbeitszeugnisse …

  • Besonders sensible Daten: Ethnische Herkunft, politische Ansichten, religiöse sowie philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsangaben, Daten zur Sexualität, biometr. Daten …

Anwendungen

Basierend auf den bisherigen Ergebnissen werden in weiterer Folge die datenverarbeitenden Anwendungen ermittelt. Die Erhebung der Anwendungen an dieser Stelle dient nicht ausschließlich der Dokumentation für das Verarbeitungsverzeichnis. Erst durch einen Überblick über die eingesetzten Anwendungen wird es möglich zu bewerten, ob eine DSGVO-konforme Verarbeitung damit überhaupt möglich ist bzw. welche zusätzlichen Maßnahmen zu setzen wären. Aber eins nach dem anderen – zuerst einmal ein Beispiel, worauf ich hinaus will.

Beispiel: Eine Handwerkerin erfasst Kunden- und Auftragsdaten vor Ort auf ihrem Tablet mittels Handschrifterkennung. Wo genau wird die Handschrift in Text umgewandelt? Wenn das etwa auf Servern außerhalb der EU passiert, müsste man in diesem Fall sehr genau hinschauen, ob die Art der Datenverarbeitung zulässig ist.

Hier werden also alle Anwendungen erfasst, welche mit personenbezogenen Daten in „Berührung“ kommen.

Zugriff

Welche Personen welcher Geschäftsbereiche haben auf die Daten Zugriff? Wer ist berechtigt die Daten z.B. einzusehen? Dabei reicht es hier aus, den Fokus innerhalb des Unternehmens zu belassen. Personen außerhalb des Unternehmens werden in einem späteren Punkt berücksichtigt.

Aufbewahrung

Wie lange werden die betreffenden Daten aufbewahrt? Oder anders: Wie lange müssen die betreffenden Daten aufbewahrt werden? „Na für immer“ oder „das weiß man ja im Vorhinein nicht“, wird mir hier manchmal entgegnet. Hier gilt es Entscheidungen zu treffen und berechtigte Gründe zu formulieren. Personenbezogene Daten dürfen nur mehr so kurz wie nötig aufbewahrt werden, ausgenommen gesetzlicher Grundlagen oder einem berechtigten Interesse oder – und da sind wir wieder – der Zustimmung der betroffenen Personen.

An diesem Punkt kommt man als UntenehmerIn oft ins Grübeln und würde die Daten gerne bis in alle Ewigkeit behalten. Dann ist die Frage, welche Daten müssen in welchem Umfang zur Verfügung stehen? Ist eine Teilanonymisierung der Daten möglich? Wenn ja, innerhalb welchen Aufbewahrungszeitraums wird teilanonymisiert.

Empfängerkategorien

Dieser Punkt widmet sich Personenkreisen außerhalb des Unternehmens, welche ebenfalls Zugriff auf die Daten erhalten (z.B. externe Buchhaltung, etc.). Hier gilt es alle externen Empfänger zu den bisher erarbeiteten Datenkategorien aufzulisten. Zusätzlich dazu werden Organisationen außerhalb der EU oder internationale Organisationen speziell gekennzeichnet.

An dieser Stelle empfehle ich zu überlegen, ob bereits ein Auftragsverarbeiter-Vertrag mit dem jeweiligen Empfänger vorliegt oder nicht. Falls nicht, lohnt es sich, einen Termin im Kalender zu fixieren, wo dieser bei den entsprechenden Unternehmen nachgefragt wird. Bei Drittstaaten muss geprüft werden, ob die gesetzlichen Vorgaben der DSGVO eingehalten werden.

Technisch-organisatorische Maßnahmen

Zu guter Letzt ein wesentlicher Punkt für das Verarbeitungsverzeichnis aber auch als Ausgangsbasis für ein generelles IT-Sicherheitskonzept: Welche technischen und/oder organisatorischen Maßnahmen werden für die Sicherheit der Daten gesetzt? Wodurch wird sichergestellt, dass die Daten vertraulich bleiben und nur den vorgesehenen Personenkreisen zugänglich ist? Welche Maßnahmen garantieren, dass Daten nicht beschädigt werden oder verloren gehen?

Beispiele: Verschlüsselung, Pseudonymisierung, Passwortsafe, Vier-Augen-Prinzip, Physischer Zugriffsschutz (Safe), Backup, etc.

Evaluierung

Und nicht zu vergessen: Wie wird sichergestellt, dass das Datenschutzniveau mit den Anforderungen mitwächst. Kurz gesagt: wie und wann wird evaluiert und von wem?


Keine Kleinigkeit, aber Schritt für Schritt eine absolut machbare und letzlich lohnende Sache. Dieser Artikel stellt zwar keine Rechtsberatung dar (siehe Disclaimer im Impressum), soll aber den eingangs erwähnten unsichtbaren Wald wieder zum Vorschein bringen, indem die unterschiedlichen Bäume im Datenwald aus verschiedenen Blickwinkeln betrachtet werden. Viel Erfolg beim Erstellen Ihres Verarbeitungsverzeichnisses!

Quellen:

WKO Muster Verarbeitungsverzeichnis für Verantwortliche

Präsentationsunterlagen WKO Steiermark 28.11.2017, Dr. Rainer Knyrim