Die Bestandsaufnahme – oder „Der Beginn einer wunderbaren Freundschaft…“
Wikipedia definiert die Bestandsaufnahme als eine „… dokumentierte Untersuchung einer Vielzahl von einzelnen Gegenständen in Hinsicht auf ein oder mehrere bestimmte Merkmale, die Vollständigkeit zum Ziel hat.“
In Bezug auf den Datenschutz ist der Sinn einer Bestandsaufnahme grundsätzlich schnell erklärt. Systematisch wird ein Ist-Zustand erhoben, der zeigt, an welchen Stellen im Unternehmen welche personenbezogenen Daten wie verarbeitet werden.
Dabei werden zum einen aufbau-, als auch ablauforganisatorische Gegebenheiten im Unternehmen betrachtet. Zum anderen werden alle Verfahren in ein Verzeichnis, das sogenannte Verzeichnis der Verarbeitungstätigkeiten, aufgenommen, die eine Verarbeitung personenbezogener Daten beinhalten. Auch die zu dem Zeitpunkt getroffenen technischen und organisatorischen Maßnahmen werden in diesem Zusammenhang erfasst, um in der Folge auf Wirksamkeit und Angemessenheit geprüft werden zu können. In diesem Kontext werden auch vorhandene Richtlinien, Arbeitsanweisungen sowie weitere Dokumente mit datenschutzrechtlichem Bezug inventarisiert. Diese werden in einem nächsten Schritt als Teil des Datenschutz-Managements des Unternehmens, auf Relevanz, Richtigkeit und Vollständigkeit geprüft, um die Erfüllung der Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) sicherzustellen und im Rahmen der Rechenschaftspflicht nachweisbar zu machen.
Wie aus der Fülle der unterschiedlichen Betrachtungswinkel deutlich wird, wird das Unternehmen im Rahmen der Bestandsaufnahme sehr intensiv durchleuchtet.
Um dieser Komplexität angemessen zu begegnen, hat es sich als hilfreich erwiesen, neben einem Koordinator für den Bestandsaufnahmeprozess auch die betreffenden, für die jeweiligen Prozesse verantwortlichen Mitarbeitenden direkt mit einzubeziehen. Durch dieses Vorgehen wird eine stringente und umfassende Bestandsaufnahme sowohl formal als auch inhaltlich sichergestellt.
Gerne gehen wir an dieser Stelle auf einige besonders relevante Aspekte noch einmal gesondert ein:
Das Verzeichnis der Verarbeitungstätigkeiten
Das Verzeichnis der Verarbeitungstätigkeiten spielt eine besondere Rolle und ist einer der zentralen Bausteine für eine gelungene Bestandsaufnahme. Die datenschutzrechtliche Relevanz dieses Dokuments kommt in Art. 30 DSGVO zum Ausdruck. Dieser regelt, welche Angaben das Verzeichnis enthalten soll. Dabei wird nach der eigenen Rolle in dem Prozess unterschieden, also danach, ob eine Verarbeitungstätigkeit in eigener Verantwortung (Art. 30 Abs. 1 DSGVO) oder als Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) durchgeführt wird.
In der Rolle des Auftragsverarbeiters sind neben den Angaben zu Drittlandübermittlungen und der vorgesehenen, aber nicht zwingend vorgeschriebenen Beschreibung der technischen und organisatorischen Maßnahmen (TOM) lediglich noch die Kategorien der im Auftrag getätigten Verarbeitungen sowie Name und erweiterte Kontaktdaten (gegebenenfalls inklusive eines Vertreters des Verantwortlichen, soweit erforderlich, sowie Nennung des Datenschutzbeauftragten) des jeweiligen Verantwortlichen festzuhalten (Art. 30 Abs. 2 DSGVO).
Als Verantwortlicher sind umfassendere Informationen im Verzeichnis der Verarbeitungstätigkeiten festzuhalten. Hierzu zählen neben der bereits für den Auftragsverarbeiter beschriebenen Drittlandübermittlung und den TOM auch die erweiterten Kontaktdaten (entsprechend der obigen Beschreibung) etwaiger weiterer gemeinsam Verantwortlicher, die Zwecke der Verarbeitung, Kategorien der betroffenen Personen und der verarbeiteten personenbezogenen Daten, die Nennung etwaiger Auftragsverarbeiter sowie im Rahmen der Verarbeitung zu berücksichtigende Lösch-, bzw. Aufbewahrungsfristen.
Als sachgerecht hat sich darüber hinaus eine Ausrichtung des Verzeichnisses der Verarbeitungstätigkeiten an den Prozessen anstatt an den genutzten Anwendungen erwiesen. Deutlich wird der Vorteil dieses Vorgehens bei der Überlegung, dass die Nutzung eines Programms durchaus für unterschiedliche Prozesse erforderlich sein kann, die sich mit Blick auf Zwecke, verarbeitete Datenkategorien und/oder Kategorien der betroffenen Personen unterscheiden können und so als eigene Verfahren zu betrachten sind.
Die technischen und organisatorischen Maßnahmen
Ob systematisiert nach dem Bundesdatenschutzgesetz (BDSG) in der alten Fassung, durch Einteilung in die 8 Schutzziele (ergänzt um die weiteren sich aus Art 32 DSGVO ergebenden Gewährleistungsziele (z.B. Belastbarkeit, Widerherstellbarkeit, regelmäßige Evaluierung)) oder zur Sicherstellung eines angemessenen Schutzniveaus gemäß Art. 32 DSGVO insbesondere bezüglich der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme – die systematische Dokumentation der getroffenen technischen und organisatorischen Maßnahmen ist ein zweiter integraler Bestandteil einer Bestandsaufnahme.
Die Themenfelder, die im Rahmen der TOM betrachtet werden, sind sehr weit verzweigt. Sie umfassen unter anderem Fragestellungen der angemessenen Umsetzung der baulichen Sicherheit an den einzelnen Standorten, die Berücksichtigung von (Elementar-)Schadensereignissen, Sicherheit von Anwendungen und Systemen, die Dokumentation von Prozessen, Regelungen zur Mitarbeitersensibilisierung, die Sicherstellung der Vertraulichkeit und das Vorhandensein eines Datenschutzmanagements in Form von ausformulierten Richtlinien und Arbeitsanweisungen.
Auch wenn diese Liste schon jetzt umfangreich erscheint, versteht sie sich lange nicht als abschließend.
Die Übersicht über eingesetzte Auftragsverarbeiter / Unterauftragsverarbeiter
Ein weiter datenschutzrechtlicher Aspekt, der zunehmende Aufmerksamkeit und damit Wichtigkeit erfährt, ist das Dienstleistermanagement. Gerade mit Blick auf den Wegfall des für die Übermittlung personenbezogener Daten in die USA wichtigen „Privacy-Shield“-Abkommens in 2020, wie auch die Einführung der neuen Standardvertragsklauseln in diesem Jahr, ergeben sich für nahezu jeden Verantwortlichen Handlungsbedarfe, um eine größtmögliche Rechtssicherheit beim Einsatz von Dienstleistern aus Drittstaaten zu erlangen. Damit dies gelingt ist eine vollständige und gepflegte Dienstleisterliste entscheidend.
Entsprechend ist diese spätestens anlässlich einer Bestandsaufnahme zu prüfen und gegebenenfalls zu überarbeiten respektive neu zu erstellen.
Zusammenfassung
Insgesamt stellt eine datenschutzrechtliche Bestandsaufnahme also eine umfassende Betrachtung der Prozesse dar, in denen personenbezogene Daten im Unternehmen verarbeitet werden. Sie ist die Grundlage für die Aufgabenwahrnehmung durch den Datenschutzbeauftragten, insbesondere für den weiteren Verbesserungsprozess und erlaubt zugleich, hinsichtlich der einzelnen festgestellten Abweichungen, eine Risikobetrachtung durch das Unternehmen. Hieraus wiederum lässt sich eine Priorisierung der einzuleitenden Veränderungsprozesse festlegen. Die Bestandsaufnahme ist also im wahrsten Sinne des Wortes die Basis für einen DSGVO-konformen Umgang mit personenbezogenen Daten. Mit dieser Checkliste erhalten Sie eine Zusammenfassung über die wichtigsten Bestandteile einer Bestandsaufnahme.
Zu guter Letzt…
Häufig bietet die Bestandsaufnahme der Geschäftsleitung zusätzlich zur Erfüllung datenschutzrechtlicher Vorgaben auch die Möglichkeit, die eigenen Prozesse in Bezug auf andere Fragestellungen zu überprüfen und zu optimieren. Möglicherweise ist die Bestandsaufnahme auf diese Weise Ausgangspunkt für Verbesserungsprozesse im Allgemeinen!
Zum Autor
Tim Taschau ist als Consultant der migosens GmbH Ansprechpartner beim Kunden vor Ort rund um das Thema Datenschutz sowie angrenzende rechtliche Fragestellungen. In der Beratung ist ihm ein pragmatischer Ansatz wichtig, der sowohl die individuelle Kundensituation berücksichtigt, als auch die angemessene Umsetzung rechtlicher Erfordernisse sicherstellt.