DSGVO: Alles über das Verarbeitungsverzeichnis
Serie, Teil 2. Höchste Zeit, sich mit der europäischen Datenschutz-Grundverordnung zu beschäftigen, die am 25. Mai in Kraft tritt. Diese Woche geht es um das Dokumentieren der internen Datenflüsse nach den fünf klassischen W-Fragen.
Das Herzstück der Datenschutz-Grundverordnung, (DSGVO) ist das Verzeichnis der Verarbeitungstätigkeiten (VdV). Mit seiner Hilfe will die Datenschutzbehörde die internen Verarbeitungsvorgänge kontrollieren – und sie verhängt schmerzhaft hohe Strafen, wenn es fehlt (zur Höhe der Strafen siehe Folge 1).
Man ahnt es schon: Mit dem einmaligen Anlegen des VdV ist es nicht getan. Es entsteht nach einer Inventur aller Verarbeitungsvorgänge, wird schriftlich (besser elektronisch) erstellt, regelmäßig überprüft und angepasst. Mindestens einmal jährlich, so die Empfehlung, müssen die jeweiligen Auskunftgeber (z. B. die Abteilungsleiter) bestätigen, dass die Prozesse genau so ablaufen, wie sie dokumentiert wurden.
Damit das geschieht, braucht jedes Unternehmen zwingend eine Kontaktperson für das VdV (nicht zu verwechseln mit dem Datenschutzbeauftragten, der nur in be- stimmten Fällen zu bestellen ist). Allenorts boomen derzeit einschlägige Schulungen für die Kontaktleute, von zweistündigen Workshops (z. B. WK) bis zu mehrtägigen Trainings (z. B. Wifi). Tipp: Keine Zeit mehr verlieren!
IIDas Verzeichnis beantwortet die sechs klassischen W-Fragen:
Wer? Wessen Daten verarbeiten wir? HR verarbeitet etwa Bewerber- und Mitarbeiterdaten, Marketing und Verkauf Interessentenund Kundendaten, der Einkauf Lieferantendaten, die IT die Daten externer Dienstleister usw. Warum? Zu welchem Zweck wollen wir diese Daten? Nach dem Grundsatz der Zweckbindung brauchen Datensammlung, -verarbeitung, -speicherung und -weitergabe einen guten Grund, erläutert CMS-Partner Johannes Juranek. „Solche Gründe können die Vertragserfüllung, ein berechtigtes Interesse des Daten verarbeitenden Unternehmens, eine gesetzliche Vorschrift oder die Einwilligung
Ides Betroffenen sein.“Demnach darf ein Onlinehändler Namen, Adresse und Kreditkartennummer erfragen, nicht aber Geburtsdatum (um zu gratulieren) oder Hobbys (um Kaufvorschläge zu machen). Welche? Welche Daten erheben wir? Diese Frage wird in Verbindung mit dem Warum beantwortet. Bei HR sind das etwa Angaben zur Person von Bewerbern und Mitarbeitern (Name, Anschrift, Geburtsdatum, Versicherungsnummer), zum Beschäftigungsverhältnis (Voll-/Teilzeit, Dauer, Tätigkeit, Der erste Teil der „Presse“-Serie zur
beschäftigte sich vergangene Woche mit ihren Hintergründen und den Rechten, die Menschen nun an ihren personenbezogenen Daten bekommen. Diese Woche geht es um das Herzstück für Unternehmen: das Verzeichnis der Verarbeitungstätigkeiten (VdV), das ab 25. Mai zu führen ist. Die komplette Serie ist nachzulesen unter www.diepresse.com/karriere.
IIIGehalt etc.). Bei Marketing und Verkauf sind das Firmen- und Kundennamen, Kundennummer, Kontaktdaten etc. Es gilt der Grundsatz der Datenminimierung (so wenig wie nötig).
Wie? Ob Bewerberdatenbank oder Onlineshop – es muss dokumentiert werden, wie das Unternehmen zu den Daten kommt. Und ja, auch Visitkarten, die man auf Veranstaltungen sammelt, dürfen erfasst werden, sagt Juranek (mehr zur Einwilligung siehe Folge 1).
Wo? Im VdV muss auch stehen, wo die Daten gespeichert sind, etwa in der Cloud, lokal oder beim Konzern. Daneben sind die Zugriffsrechte zu skizzieren, d. h., welche Mitarbeiter Zugang haben. Wie lang? Wie lang Daten aufbewahrt werden dürfen, hängt vom Zweck ab. Hier gilt der Grundsatz der Speicherbegrenzung (so kurz wie nötig). In der Praxis wirft das einige Fragen auf, etwa: Wie lang darf HR Bewerbungen evident halten? Hier ist die Datenschutzbehörde noch ein paar Antworten schuldig.