infoguard-schweizer-datenschutzgesetz-dsg-cyber-security-blog

Das neue Schweizer Datenschutzgesetz – Verzeichnis der Bearbeitungstätigkeiten [Teil 2]

Im ersten Blogartikel unserer Serie zum revidierten Schweizer Datenschutzgesetz (DSG) haben wir die wichtigsten Neuerungen und Veränderungen aufgezeigt, die das revidierte Datenschutzgesetz mit sich bringt. In Teil zwei gehen wir nun näher auf das Verzeichnis der Bearbeitungstätigkeiten ein, denn auch dieses ist neuerdings Pflicht. Doch wie sieht ein DSG-konformes Verzeichnis aus? Wie geht man dabei vor? Hier erklären wir es.

Angenommen, Sie möchten bei deinem Lieblingshändler fünf Liter feinstes Olivenöl bestellen. Auf Anfrage antwortet er, dass er nicht wisse, wieviel er aktuell auf Lager hat und wann die nächste Lieferung kommt. Unvorstellbar, oder? Kann aber durchaus sein, wenn der Händler über kein aktuelles Inventar verfügt. So ähnlich ergeht es vielen Unternehmen in punkto Datenschutz, wenn kein Inventar zur Datenbearbeitung vorhanden ist.

Wie bereits im ersten Teil beschrieben, soll das neue Gesetz nicht nur die Rechte der Betroffenen deutlich stärken. Dank einem risikobasierten Ansatz sollen die Risiken der Datenerhebung bezüglich Privatsphäre bereits bei der Datenbearbeitung berücksichtigt werden. Konkret: Datenschutzanforderungen werden von Beginn an im Verarbeitungszyklus eingeplant und mit passenden Massnahmen implementiert. Dazu steht im revidierten Datenschutzgesetz (Art. 12, Abs. 1) eindeutig: Die verantwortliche Stelle (Controller) sowie die auftragsbearbeitende Person (Processor) müssen jeweils ein Verzeichnis ihrer Verarbeitungstätigkeiten führen; oder anders gesagt, ein Inventar der Datenbearbeitung.

Nebst der Stärkung der Betroffenenrechte steigen auch die Anforderungen an die Transparenz bei der Datenbearbeitung. Dazu ist das Verzeichnis der Bearbeitungstätigkeiten die Dokumentationsform – oder besser gesagt das zentrale Instrument – schlechthin, was dessen Wichtigkeit in einem verwalteten Datenschutzmanagement-System unterstreicht. Zudem ist das Verzeichnis ein wichtiges Hilfsmittel von betrieblichen Datenschutzverantwortlichen bei der Erfüllung ihrer Aufgaben, wie beispielsweise der Sicherstellung ihrer Aufsichtsfunktion im Unternehmen oder bei Datenschutzverletzungen. Und nicht zu vergessen: Das Verzeichnis erleichtert auch den Umgang mit Behörden wie beispielsweise dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter), um die datenschutzrechtliche Pflichterfüllung nachweisen zu können.

KMU stellen sich nun vielleicht die Frage, ob sie auch ein Verzeichnis erstellen müssen? Nicht unbedingt. Ausgenommen sind Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzungen der betroffenen Personen mit sich bringt. Die genauen Anforderungen werden voraussichtlich in der Verordnung zum revidierten Datenschutzgesetz ausgeführt.

«Bearbeiten» – was heisst das genau?

Um zu verstehen, was genau in ein Inventar bzw. in ein Verzeichnis aufgenommen werden soll, muss zuerst der Begriff «bearbeiten» genauer betrachtet werden. Das revidierte DSG (Art. 5, Bst. d) definiert wie folgt: «Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.»

Auch wenn eine Bearbeitung somit aus diversen Dateien und Datenverarbeitungsprogrammen bestehen kann, ist für die genaue Bestimmung der Bearbeitungstätigkeit der Zweck der Datenbearbeitung bestimmend. Um diesen herauszufinden, bewährt es sich von den Geschäftsprozessen auszugehen und diese anschliessend in Systeme und Applikationen aufzubrechen. Dies ergibt ein Bild über den Zweck der Erhebung, der Datenbearbeitung und in welchen Systemen welche Kategorien von personenbezogenen Daten bearbeitet werden.

Inhalt und Form des Verzeichnisses

Grundsätzlich ist es jeder und jedem selbst überlassen, in welcher Form oder mit welcher Applikation das Verzeichnis geführt wird; einzig beim Inhalt spricht sich der Gesetzgeber konkreter aus. Gemäss revidiertem DSG (Art 12) muss das Verzeichnis von der verantwortlichen Person mindestens Folgendes beinhalten:

  • die Identität der Verantwortlichen
  • den Bearbeitungszweck
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
  • die Kategorien der Empfänger*innen
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
  • falls die Daten ins Ausland fliessen, die Angabe des Staates sowie die Garantien zur Äquivalenz des Datenschutzniveaus. (Hier finden Sie die Liste des EDÖB)

Für die auftragsbearbeitende Person müssen weiter folgende Angaben sichergestellt werden:

  • Angaben zur Identität der auftragsbearbeitenden sowie verantwortlichen Person
  • Angaben zu den Kategorien von Bearbeitungen, die im Auftrag der verantwortlichen Person durchgeführt werden

Eine Meldepflicht der Verzeichnisse an den EDÖB besteht ausschliesslich für Bundesorgane.

Ziel und Zweck des Verzeichnisses

Das Verarbeitungsverzeichnis ist das Inventar sämtlicher Datenbearbeitungen mithilfe dessen die Feststellung der Rechtsmässigkeit der Datenbearbeitung geprüft werden kann. Es zeigt jene Prozesse, Verfahren und Applikationen auf, welche personenbezogene Daten verarbeiten und zeigt, welche Person für die Verarbeitung verantwortlich ist (Owner). Zudem wird darin die Art und der Umfang der verarbeiteten personenbezogenen Daten und deren Empfänger*innen – im In- und Ausland – ausgewiesen. Das Verzeichnis der Bearbeitungstätigkeiten kann auch die Notwendigkeit einer Datenschutz-Folgenabschätzung aufzeigen, wenn sich hohe Risiken für die Rechte und Freiheiten der Betroffenen in Bezug auf Art, Umfang und Umstände sowie der Zweck der Verarbeitung manifestieren. Da die getroffenen technischen und organisatorischen Massnahmen ebenfalls Bestandteile des Verzeichnisses sein sollten, ist dieses letztendlich auch die Quelle zur Beurteilung, ob die Massnahmen zur Reduktion des Risikos angemessen sind.

Nachstehende Grafik zeigt das Zusammenspiel der einzelnen Datenschutzprozesse in Bezug auf das Verzeichnis der Bearbeitungstätigkeiten auf:

infoguard-dsf-verzeichnis-der-bearbeitungstaetigkeiten-de

So gehen Sie bei der Erstellung eines Verzeichnisses vor

Unsere Erfahrung zeigt, dass im ersten Schritt eine Identifikation der Geschäftsprozesse und der darin beteiligten Systeme, Applikationen und verantwortlichen Personen zielführend ist. Eine Inventarisierung der Anwendungen sowie Prozesse, welche personenbezogene Daten verarbeiten, und deren Verknüpfung mit den Bearbeitungszwecken zeigt einfach, an welchem Ort welche Daten für welchen Zweck verarbeitet werden.

Die Kategorisierung über Art und Umfang der Daten sowie die Identifikation der betroffenen Personengruppen zeigen zudem die Risikosituation bezüglich der Rechte der Betroffenen auf. An diesem Punkt wird auch über die Notwendigkeit einer Datenschutz-Folgenabschätzung entschieden, woraus entsprechende Massnahmen definiert werden.

Im letzten Schritt müssen die Datenempfänger*innen spezifiziert werden. Dazu eignen sich die Fragen: Werden die Daten ins Ausland übermittelt? Falls ja, wohin? Wie werden diese Daten übermittelt? Existiert im Zielland ein adäquates Datenschutzniveau?
Nachstehende Grafik zeigt das mögliche Vorgehen zur Erstellung eines Verzeichnisses:

infoguard-dsf-vorgehen-verzeichnis-der-bearbeitungstaetigkeiten-de

Datenschutz generell, und somit auch das Führen eines Verzeichnisses, ist ein iterativer, sich wiederholender Prozess. Daher muss abschliessend sichergestellt werden, dass ein solcher Prozess zur regelmässigen Verzeichnisaktualisierung implementiert wird, beispielsweise bei einer neuen Datenverarbeitung oder bei Anpassungen.

Ordnung schaffen mit einem Verzeichnis

Im Gegensatz zum Olivenölhändler haben Sie als verantwortliche Personen mit einem aktuellen Verzeichnis der Bearbeitungstätigkeiten den Überblick, an welcher Stelle welche personenbezogenen Daten zu welchem Zweck sowie in welcher Form verarbeitetet werden. Die ausführliche und stets aktuelle Dokumentation der Datenbearbeitungen und deren Prozesse bleibt also eine wichtige Aufgabe und bildet die Grundlage für die rechtmässige Verarbeitung personenbezogener Daten nach dem revidierten Datenschutzgesetz.

Wie sieht Ihr Inventar aus? Sind Sie bereit für das revidierte Datenschutzgesetz oder, wie nicht wenige Unternehmen, überfordert mit all den Anforderungen? Egal, wie weit Sie schon sind: Unsere Datenschutz-Expert*innen unterstützen Sie in sämtlichen Belangen. Und sollten Sie zuerst selber die Ärmel hochkrempeln wollen, laden Sie als Ausgangspunkt unser kostenloses Whitepaper zum Thema GDPR Verarbeitungsverzeichnis herunter – inklusive Template, um Ihr neues Wissen gleich in die Praxis umsetzen können.

Download: Guideline Verarbeitungsverzeichnis

Im dritten Teil zum Thema Verarbeitungsverzeichnis erkläre ich Ihnen, welche Prozesse zum Thema Verarbeitungsverzeichnis es gibt, weshalb diese relevant sind und wie die Einführung gelingt. Am besten gleich unseren Newsletter abonnieren und nichts mehr verpassen!

<< >>

Data Governance

Daniel Däppen
Über den Autor / Daniel Däppen

InfoGuard AG - Daniel Däppen, Senior Cyber Security Consultant

Weitere Artikel von Daniel Däppen


Ähnliche Artikel
Das neue Schweizer Datenschutzgesetz – die wichtigsten Neuerungen [Teil 1]
Das neue Schweizer Datenschutzgesetz – die wichtigsten Neuerungen [Teil 1]

Im Herbst 2020 hat das Eidgenössische Parlament das langerwartete totalrevidierte Bundesgesetz über den [...]
Vertrauen ist gut, Kontrolle ist besser? Überwachung und Datenschutz im Home Office
Vertrauen ist gut, Kontrolle ist besser? Überwachung und Datenschutz im Home Office

Lange taten sich Unternehmen im privaten und öffentlichen Sektor schwer, Home Office zu ermöglichen. [...]
Kampf gegen Cyberattacken – KI als Schutzschild und Waffe zugleich
Kampf gegen Cyberattacken – KI als Schutzschild und Waffe zugleich

Cyberangriffe werden immer raffinierter. Die neuen Angriffswellen übertreffen dabei sogar den Menschen und [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
New Call-to-action