Neue Pflichten im Datenschutz – Das Verzeichnis der Bearbeitungstätigkeiten

von | Mai 31, 2021 | Allgemein

Worum geht es?

Unternehmen, Institutionen und auch Vereine, die geltende Datenschutzvorgaben der Europäischen-Datenschutzgrundverordnung (DSGVO) umsetzen sollen, sind rasch mit der Erstellung eines sog. «Verzeichnisses von Verarbeitungstätigkeiten» (kurz Verfahrensverzeichnis) konfrontiert. Von der Erstellung eines solchen Verzeichnisses schrecken viele zurück, weil es unklar ist, was es darin zu dokumentieren gilt und wie diese Informationen zu erhoben sind.

Auch das nach seiner Totalrevision neue schweizerische Datenschutzgesetz (revDSG) hat den Ball aus der EU aufgenommen und verlangt die Erstellung eines solchen Verfahrensverzeichnisses. Das revDSG spricht in Art. 11 vom «Verzeichnis der Bearbeitungstätigkeiten».

Muss ich ein Verfahrensverzeichnis oder Verzeichnis der Bearbeitungstätigkeiten erstellen?

Gemäss DSGVO
Gemäss Art. 30 Abs. 5 DSGVO sind Unternehmen mit weniger als 250 Mitarbeitenden von dieser Pflicht entbunden. Aber nur, wenn sie keine der folgenden Bedingungen erfüllen:
  • die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäss Artikel 9 Absatz 1 DSGVO bzw. eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 DSGVO.

Und damit wird es kaum Unternehmen geben, die von der Erstellung eines Verfahrensverzeichnisses entbunden sind. Die «nicht nur gelegentliche Verarbeitung» wird wohl bei den meisten Unternehmen eine entsprechende Verpflichtung ergeben. Die meisten Unternehmen bearbeiten regelmässig Personendaten ihrer Mitarbeitenden, Kunden, Lieferanten und im Marketing.

Gemäss revidiertem Datenschutzgesetz in der Schweiz (revDSG)

Gemäss Art. 11 Abs. 5 revDSG sieht der Bundesrat für Unternehmen, die weniger als 50 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, Ausnahmen vor.

Dieser Abs. 5 in der vorliegenden Form, der in den Beschlüssen von National- und Ständerat verabschiedet wurde, gestaltet sich in der schweizerischen Regelung im revDSG etwas «freier» als diejenige der europäischen DSGVO. Aber auch hier gilt – regelmässige Datenverarbeitung verpflichtet zur Verzeichniserstellung. Ein Vorteil des Verzeichnisses ist die Möglichkeit, auf dessen Grundlage mögliche Lücken im Datenschutz zu finden und mit geeigneten Massnahmen zu beheben.

Wie kommen wir zu unserem Verzeichnis der Bearbeitungstätigkeiten?

Die Vorgehensweise zur Erarbeitung des Verarbeitungsverzeichnisses richtet sich meist nach der Grösse des Unternehmens. Bei kleinen Unternehmen kann das Verfahrensverzeichnis unter Umständen durch oder mit der Geschäftsleitung erstellt werden. In mittleren und grösseren Unternehmen empfiehlt es sich eine Projektgruppe einzusetzen, die diese Arbeiten koordiniert und ausführt. Erfolgversprechend ist dabei der Einsatz von Personen, welche die zu dokumentierenden Verfahren gut kennen.

In der Folge werden die jeweiligen Verfahren durchleuchtet. Es gilt herauszufinden, ob und in welcher Art und Weise im Unternehmen personenbezogene Daten bearbeitet werden. Zur Dokumentation dieser Arbeit gibt es eigens dafür entwickelte Tools. Für die meisten kleineren und mittleren Unternehmen reicht eine einfache Excel-Liste aus. Diese Excel-Liste, die mehrere Arbeitsblätter beinhalten kann, genügt dem Gesetzgeber zur Dokumentation.

Was dokumentieren wir im Verzeichnis?

Kern dieses Verzeichnisses stellt die Identifikation und Dokumentation aller Verfahren dar, welche personenbezogene Daten bearbeiten. In einem ersten Schritt geht also darum, sämtliche Verfahren zu identifizieren, in welchen mit personenbezogenen Daten der Mitarbeitenden, der Kunden und allenfalls der Lieferanten «gearbeitet» wird. Eine Prozesslandkarte des Unternehmens gibt wichtige Hinweise. Unabhängig vom eingesetzten Tool sind pro Datenverzeichnis nachfolgende Prozesse und Verfahren zu erheben und zu dokumentieren:

  • Kernprozesse des Unternehmens Beratungsdienstleistungen, Vertriebsprozesse, Bestellungsabwicklung, Kundensupport
  • Buchhaltung/Administration Finanzbuchhaltung, Zahlungsverkehr, Lohnbuchhaltung und Betreibungen, Datenarchivierung
  • Personal Verwaltung von Personaldossiers, Arbeitszeiterfassung, Bewerbungsprozesse, Vorstellung von Mitarbeitenden auf der Unternehmenswebseite
  • Werbung/Marketing CRM, Tracking-Massnahmen auf Unternehmenswebseite, Newsletter, Kontaktformulare

In einem nächsten Schritt werden die im Verzeichnis pro Verfahren die vom Gesetzgeber geforderten Informationen festgehalten. Diese werden in Art. 30 DSGVO resp. in Art. 11 revDSG gelistet. Basierend auf diesen gesetzlichen Vorgaben sind die nachfolgenden Informationen pro Verfahren zu erfassen:

  • Name der Datenverarbeitung
  • Name und Kontaktdaten des Verantwortlichen
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Beschreibung der Verarbeitung
  • Kategorien der betroffenen Personen
  • Kategorien der betroffenen personenbezogenen Daten (evtl. besonders schützenswerte Personendaten)
  • Kategorien der Empfänger der personenbezogenen Daten
  • Empfänger der Daten in einem Drittland oder einer internationalen Organisation (USA!)
  • Beschreibung der vorgenommenen Schutzmassnahmen bei der Übermittlung in Drittländer
  • Löschfristen der einzelnen Datenkategorien (Vorsicht: Gesetzliche Aufbewahrungspflichten)
  • Beschreibung der technischen und organisatorischen Massnahmen (TOM) zum Schutze dieser Daten
  • Abwägung zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA)

Warum das Ganze?

Die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten wird für fast jedes Unternehmen zur Pflicht. Aber selbst, wenn es nicht zwingend notwendig wäre, schlagen wir die Erstellung dieses Verzeichnisses vor. Es bildet nämlich die Basis für einen Grossteil der weiteren Datenschutzaktivitäten und ermöglicht zudem einen vollständigen und strukturierten Überblick über die Datenströme im Unternehmen. Packen Sie es also an und dokumentieren Sie sowieso. Das beschriebene Verfahrensverzeichnis ist nämlich auch Grundlage für die Erstellung der Datenschutzerklärung und die Übersicht über Verträge zur Auftragsdatenverarbeitung mit Dritten. Und sollten betroffene Personen ihre Betroffenenrechte (Auskunfts-, Berichtigungs-, Löschbegehren) gegenüber dem Unternehmen wahrnehmen, kann einem solchen Auskunftsbegehren auf Basis des Verzeichnisses der Bearbeitungstätigkeiten umfassend, rechtskonform und insbesondere auch zeitnah nachgekommen werden.