Ich bin mir ganz sicher – Sie sind sich vollkommen bewusst, dass die General Data Protection Regulation (GDPR) in wenigen Wochen in Kraft tritt. Und bestimmt haben Sie auch schon vor geraumer Zeit damit begonnen, die Forderungen daraus für Ihr Unternehmen umzusetzen. Dabei spielt das Verarbeitungsverzeichnis eine zentrale Rolle, wenn es um die Rechenschaftspflicht geht. Haben Sie dieses bereits auf den aktuellen Stand gebracht? Wenn ja, dann herzliche Gratulation – und wenn nicht, dann lesen Sie einfach weiter. Wir haben wertvolle Tipps für Sie für die erfolgreiche Umsetzung.
Ab dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung auch auf viele Schweizer Unternehmen anwendbar. Wesentliche Merkmale des europäischen Datenschutzrechts sind insbesondere das Auskunftsrecht und die Transparenz gegenüber den Betroffenen. Das GDPR-Verarbeitungsverzeichnis spielt dabei eine zentrale Rolle und wird im Artikel 30 explizit gefordert. Einzig Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen.
Der erwähnte Artikel besagt, dass jedes Unternehmen ein Register der unter ihrer Verantwortung ausgeführten Bearbeitungstätigkeiten führen muss. Darüber hinaus wird verlangt, sinnvolle organisatorische und technische Massnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dabei nennt die GDPR beispielsweise die Verschlüsselung, Pseudonymisierung oder Massnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit.
Also einfach «alter Wein in neuen Schläuchen»? Eigentlich ja, denn egal ob es sich um IT-Sicherheit, Cyber Security oder eben Datenschutz handelt: Ihre Kronjuwelen oder aber die personenbezogenen Daten brauchen einen angemessenen Schutz. Und dies machen Sie am besten mit der Beantwortung dieser vier Fragen:
Sie fragen sich, was dies mit Datenschutz zu tun hat, insbesondere für die Vorbereitung auf die GDPR? Nun, ganz einfach – auch für das Verarbeitungsverzeichnis müssen Sie wissen, welche personenbezogenen Daten Sie in welchen Systemen bearbeiten, welchen Risiken diese ausgesetzt sind und mit welchen Massnahmen Sie solche Daten schützen.
Das Verarbeitungsverzeichnis wird aber nicht nur einmalig angelegt, sondern Bedarf ständiger Pflege, da sich allenfalls auch die Bearbeitungstätigkeiten von personenbezogenen Daten über den Lauf der Zeit verändern. Gemäss der GDPR fallen übrigens folgende Aspekte unter den Begriff «Bearbeitungstätigkeiten»:
Je nach Umfang des Verarbeitungsverzeichnisses reicht eine simple Tabellenkalkulation dabei nicht (mehr) aus. Das Verarbeitungsverzeichnis muss über folgende Punkte Auskunft geben:
Um unnötige Doppeldokumentation zu vermeiden, kann im Verarbeitungsverzeichnis auch auf bereits bestehende Dokumente verwiesen werden. Es ist jedoch zu beachten, dass diese im Bedarfsfall dann auch der Aufsichtsbehörde zur Verfügung gestellt werden müssen. Zudem ist es allenfalls auch sinnvoll, das Verarbeitungsverzeichnis mit anderen bestandesführenden Anwendungen (CMDB - Configuration Management Data Base, Prozessdokumentationen, Risiko-Register etc.) abzugleichen.
Sie sehen, es kommt ganz schön viel zusammen. Und gerade die Dokumentation im Datenschutz zählt erfahrungsgemäss nicht gerade zu den Lieblingsbeschäftigungen von Unternehmen. Aber keine Sorge, wir haben für Sie eine praxisorientierten GDPR Guideline zusammengestellt. Diese wird Ihnen beim Aufbau und der Pflege des GDPR Verarbeitungsverzeichnisses bestimmt wertvolle Anregungen geben. Den Download finden Sie weiter unten.
Sie haben noch weitere Massnahmen für die GDPR zu treffen, abgesehen vom Verarbeitungsverzeichnis? Keine Sorge, wir unterstützen Sie gerne. In unserem Whitepaper zur GDPR / DGSVO Readiness erfahren Sie in Kürze alle wichtigen Änderungen und erhalten praktische Tipps zur Umsetzung. Hier geht's zum Gratis-Download:
Sie sind schon einen Schritt weiter? Perfekt! Dann können Sie sich jetzt intensiv Ihrem Verarbeitungsverzeichnis widmen. In unserer kostenlosen GDPR Guideline zum Verarbeitungsverzeichnis erhalten Sie wertvolle Tipps von unseren Experten zur praktischen Umsetzung. Warum? Weil die Dokumentation das A und O der der GDPR-Readiness ist. Einfach hier klicken – und vom Gratis-Template «GDPR Verarbeitungsverzeichnis Guideline» profitieren: