In diesem Teil 5 zur Anleitung über die Erstellung des Verarbeitungsverzeichnisses will ich direkt im Anschluss an Teil 4 die weiteren inhaltlichen Anforderungen nennen.
Zuletzt waren wir bei Artikel 30 Absatz 1 Satz 2 Buchstabe b) DSGVO.
Also kommt jetzt, wer hätte es gedacht, Buchstabe c):
Kategorien betroffener Personen und personenbezogener Daten – Artikel 30 Absatz 1 Satz 2 Buchstabe c)
Es muss eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten erfolgen. Dabei empfiehlt es sich hinsichtlich der einzelnen Kategorien personenbezogener Daten laufende Nummern zu vergeben, die so eine Zuordnung zu den weiteren konkreten Angaben gemäß Artikel 30 Absatz 1 Satz 2 Buchstaben d) bis f) DSGVO ermöglichen, z.B. zu konkreten Löschregeln.
Aufgegliedert z.B. in der Darstellung der „Kategorie Beschäftigte“ in die möglichen Daten-Kategorien:
- Mitarbeiter-Stammdaten mit Adressdaten, Geburtsdatum, Bankverbindung, Steuermerkmale, Lohngruppe, Arbeitszeit, bisherige Tätigkeitsbereiche, Qualifikationen etc.
- Bewerbungen mit Kontaktdaten, Qualifikationsdaten, Tätigkeiten etc.
- Arbeitszeugnisse mit Adressdaten, Leistungsdaten, Beurteilungsdaten etc.
- Abmahnungen mit Adressdaten, Arbeitsverhalten, Leistungsdaten etc.
- Betriebsarztuntersuchungen mit Adressdaten, Gesundheitsdaten etc.
- Stundenplan als Einsatzplan für Lehrkräfte
- Videoüberwachung an Arbeitsplätzen etc.
Aufgegliedert z.B. in der Darstellung der „Kategorie Kundendaten“ in die möglichen Kategorien:
- Kunden-Kontaktdaten mit Adressdaten, Ansprechpartnern etc.
- Kundengruppe/-interesse
- Umsatzdaten bisher
- Bonitätsdaten
- Zahlungsdaten usw.
Kategorien von Empfängern – Artikel 30 Absatz 1 Satz 2 Buchstabe d)
Hier ist die Angabe der Kategorien von Empfängern gemeint, denen die Daten offen gelegt worden sind oder noch offen gelegt werden, einschließlich der Empfänger in Drittländern.
Aufgegliedert z.B.: für die Lohn- und Gehaltsabrechnung:
- Banken
- Sozialversicherungsträger
- Finanzämter
- unternehmensinterne Datenempfänger (z.B. Betriebsrat, Vorgesetzte)
- ggf. Gläubiger bei Lohn-/Gehaltspfändungen
- ggf. Träger der Betriebsrente
- ggf. Auftragsverarbeiter
- ggf. Muttergesellschaft
Empfänger können auch Teile eines Unternehmens oder einer Behörde sein. Dies ist der Fall, sofern ein Zugriff auf die Daten möglich ist (z.B. ein Zugriff auf Unternehmens- oder Kundendaten bei bundesweit tätigen Banken oder abgebende und aufnehmende Schule bei gleichem Schulträger).
Der Begriff „Datenempfänger“ ist daher zu ergänzen durch „Zugriffsberechtigte“. Die Zugriffsberechtigten sollten ohne namentliche Angabe angegeben werden. Sie müssen jedoch z.B. über eine Rollen- oder Funktionsbeschreibung eindeutig bestimmbar sein.
Es kann aber sinnvoll sein, die Angabe einer Zahl der Zugriffsstellen bzw. Zugriffsberechtigten mit Bezug zum aktuellen Stand (Tagesdatum) anzugeben.
Zu „Drittländern“ sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist.
Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird (denken Sie dabei auch an Ihren Newsletterdienstleister, der im EU-Ausland sitzen kann). Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.
„Offenlegung“ bedeutet, dass sowohl die Empfänger in der Vergangenheit, als auch jene in der Zukunft zu benennen sind.
Übermittlungen in Drittländer – Artikel 30 Absatz 1 Satz 2 Buchstabe e)
Im Verzeichnis müssen Sie Angaben zu den gegebenenfalls erfolgenden Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation machen. Mit Drittland ist dabei immer das EU-Ausland gemeint, also ein Land, in dem die DSGVO keine Geltung hat. Einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien.
Empfänger in Drittländern und internationale Organisationen sind keine Kategorien und daher konkret zu benennen.
Artikel 49 Absatz 6 DSGVO ist zu beachten, wonach der Verantwortliche die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Artikel 49 Absatz 1 Unterabsatz 2 DSGVO im Verzeichnis der Verarbeitungstätigkeiten aufnimmt.
Speicherdauer – Artikel 30 Absatz 1 Satz 2 Buchstabe f)
Erforderlich ist zu jeder Datenverarbeitung auch die Angabe der vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien, z. B.
- die geltenden handels- und steuerrechtlichen Aufbewahrungspflichten für Personaldaten, Kundendaten etc.
- geltende Aufbewahrungs- und Löschfristen für Schülerdaten, Prüfungsunterlagen etc.
- gesetzlich vorgesehene Löschungsfristen (z.B. § 14 Bundesmeldegesetz)
- vom Verantwortlichen festgelegte Überprüfungs-/Löschungsfristen
Ein allgemeiner Verweis auf Aufbewahrungspflichten genügt nicht, vielmehr sind präzise Angaben erforderlich. Im Idealfall haben Sie daneben ein Löschkonzept erstellt, das die bei Ihnen geltenden und den Mitarbeitern kommunizierten Löschfristen für die einzelnen Datenkategorien und Datenverarbeitungen regelt. Die dort geregelten Fristen müssen sich dann genauso auch hier finden. Letztlich gibt es kein personenbezogenes Datum, das nicht einer bestimmten Löschfrist unterliegt. Und sei es nur, dass es im Falle der Einwilligung nach wirksamem Widerruf zu löschen ist oder bspw. bei Bestehen gesetzlicher Aufbewahrungspflichten nach deren Ablauf.
Technische und organisatorische Maßnahmen – Artikel 30 Absatz 1 Satz 2 Buchstabe g)
Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO wird ebenso verlangt.
Eine Verarbeitung darf nicht erfolgen, bevor der Verantwortliche seiner Pflicht nach Artikel 32 DSGVO nachgekommen ist. Daher ist davon auszugehen, dass die Dokumentation nicht auf eine konkrete Beschreibung verzichten kann. Dabei müssen die obligatorischen Angaben des Verzeichnisses einfach nachzuvollziehen sein.
Denkbar sind Verweise auf bestehende Dokumente. Bei größeren Unternehmen genügt ggf. auch ein Verweis auf schon vorhandene Dokumentationen und Sicherheitskonzepte (z.B. Standarddatenschutzmodell (SDM)), ohne dass diese in Gänze dargestellt werden.
Die in Artikel 32 Absatz 1 DSGVO unter anderem genannten Maßnahmenbereiche entsprechen im Wesentlichen dem bisherige Katalog der technisch-organisatorischen Maßnahmen (TOMs) nach dem alten § 9 BDSG und der Anlage hierzu. Haben Sie aktuell noch keine TOMs oder sind diese veraltet kommen Sie bitte auf uns zur weiteren Abstimmung zu.
Die Beschreibung der jeweiligen Maßnahme ist konkret auf die Kategorie betroffener Personen bzw. personenbezogener Daten im Sinne des Artikel 30 Absatz 1 Satz 2 Buchstabe c) DSGVO zu beziehen.
In diesem Zusammenhang wird auch auf eine Verwendung des SDM verwiesen.
Sofern besondere Arten personenbezogener Daten betroffen sind, bedarf es einer sorgfältigen Auswahl der technisch-organisatorischen Maßnahmen.
Nach Artikel 32 Absatz 1 DSGVO sind insbesondere geeignete technische und organisatorische Maßnahmen zu treffen, um Folgendes sicherzustellen:
Maßnahmenbereiche nach Art. 32 Abs. 1 DSGVO:
- Pseudonymisierung personenbezogener Daten
- Verschlüsselung personenbezogener Daten
- Gewährleistung der Vertraulichkeit der Systeme und Dienste
- Gewährleistung der Integrität der Systeme und Dienste
- Gewährleistung der Verfügbarkeit der Systeme und Dienste
- Gewährleistung der Belastbarkeit der Systeme und Dienste
- Wiederherstellung der Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen
Begriffsbestimmungen:
- Maßnahmen zur Pseudonymisierung personenbezogener Daten
Hierzu zählen u.a.: Trennung von Kundenstammdaten und Kundenumsatzdaten, Trennung von Patienten-Kontaktdaten und Behandlungsdaten/Befunden etc., Verwendung von Personal-, Kunden-, Patienten-Kennziffern statt Namen.
- Maßnahmen zur Verschlüsselung personenbezogener Daten
(z.B. in stationären und mobilen Speicher-/Verarbeitungsmedien, beim elektronischen Transport).
Hierzu zählen: symmetrische Verschlüsselung, asymmetrische Verschlüsselung.
- Maßnahmen zur Gewährleistung der Vertraulichkeit der Systeme und Dienste, die einen unautorisierten Zugang oder Zugriff auf personenbezogene Daten verhindern sollen, beim Verantwortlichen selbst oder auf dem Transportweg zu Auftragsverarbeitern oder Dritten.
Hierzu zählen u.a.: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Trennungskontrolle
- Maßnahmen zur Gewährleistung der Integrität der Systeme und Dienste, die gewährleisten, dass personenbezogene Daten nicht (unbemerkt) geändert werden können.
Hierzu zählen u.a.: Eingabekontrolle, sowie insbes. organisatorische und technische Absicherung von Berechtigungen, Protokollierungsmaßnahmen, Protokoll-Auswertungen/Revision etc.
- Maßnahmen zur Gewährleistung der Verfügbarkeit der Systeme und Dienste, die sicherstellen, dass personenbezogene Daten dauernd und uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn sie gebraucht werden.
Hierzu zählen u.a.: Verfügbarkeitskontrolle, Auftragskontrolle.
- Maßnahmen zur Gewährleistung der Belastbarkeit der Systeme und Dienste, die sicherstellen, dass die Systeme und Dienste so ausgelegt sind, dass auch punktuell hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen leistbar bleiben.
Dies bezieht sich insbes. auf Speicher-, Zugriffs- und Leitungskapazitäten
- Maßnahmen, um nach einem physischen oder technischen Zwischenfall die Verfügbarkeit personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen.
Hierzu zählen u.a.: Backup-Konzept, Redundante Datenspeicherung, Cloud-Services, Doppelte IT-Infrastruktur, Schatten-Rechenzentrum
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen.
Hierzu zählen u.a.: Entwicklung eines Sicherheitskonzepts, Prüfungen des Datenschutzbeauftragten, der IT-Revision, Externe Prüfungen, Audits, Zertifizierungen
Auf Art und Umfang der TOMs, wie auch auf die korrekte Umsetzung und auch die Einhaltung der Maßnahmen im Unternehmen sollten Sie sehr viel Wert legen. Ausreichende und richtig umgesetzte TOMs sind das A und O eines vernünftigen Datenschutzes. Auch die Aufsichtsbehörden legen viel Wert auf die TOMs und prüfen gezielt deren Umfang und Umsetzung.
Im letzten Teil 6 zur Erstellung des Verarbeitungsverzeichnisses wird auf die Besonderheiten des Verzeichnisses für Auftragsverarbeitungen eingegangen und ich werde zu den Rechtsfolgen bei Verstößen etwas berichten.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
Ihr Datenschutz Partner