InfoGuard Cyber Security & Cyber Defence Blog

GDPR: 1, 2 oder 3 – die letzte Chance ist (bald) vorbei

Geschrieben von Reinhold Zurfluh | 11. Apr 2018

Ich bin mir ganz sicher – Sie sind sich vollkommen bewusst, dass die General Data Protection Regulation (GDPR) in wenigen Wochen in Kraft tritt. Und bestimmt haben Sie auch schon vor geraumer Zeit damit begonnen, die Forderungen daraus für Ihr Unternehmen umzusetzen. Dabei spielt das Verarbeitungsverzeichnis eine zentrale Rolle, wenn es um die Rechenschaftspflicht geht. Haben Sie dieses bereits auf den aktuellen Stand gebracht? Wenn ja, dann herzliche Gratulation – und wenn nicht, dann lesen Sie einfach weiter. Wir haben wertvolle Tipps für Sie für die erfolgreiche Umsetzung.

Ab dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung auch auf viele Schweizer Unternehmen anwendbar. Wesentliche Merkmale des europäischen Datenschutzrechts sind insbesondere das Auskunftsrecht und die Transparenz gegenüber den Betroffenen. Das GDPR-Verarbeitungsverzeichnis spielt dabei eine zentrale Rolle und wird im Artikel 30 explizit gefordert. Einzig Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen.

Das GDPR-Verarbeitungsverzeichnis – ein Inventar für die Sicherheit

Der erwähnte Artikel besagt, dass jedes Unternehmen ein Register der unter ihrer Verantwortung ausgeführten Bearbeitungstätigkeiten führen muss. Darüber hinaus wird verlangt, sinnvolle organisatorische und technische Massnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dabei nennt die GDPR beispielsweise die Verschlüsselung, Pseudonymisierung oder Massnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit.
Also einfach «alter Wein in neuen Schläuchen»? Eigentlich ja, denn egal ob es sich um IT-Sicherheit, Cyber Security oder eben Datenschutz handelt: Ihre Kronjuwelen oder aber die personenbezogenen Daten brauchen einen angemessenen Schutz. Und dies machen Sie am besten mit der Beantwortung dieser vier Fragen:

  1. Was will oder muss ich schützen?
  2. Wie viel Schutz benötigen die Assets?
  3. Gegen welche Risiken muss ich meine Assets und Schutzziele schützen und wie bemessen sich diese Risiken?
  4. Mit welchen konkreten Massnahmen schütze ich meine Assets gegen die identifizierten Risiken?


Sie fragen sich, was dies mit Datenschutz zu tun hat, insbesondere für die Vorbereitung auf die GDPR? Nun, ganz einfach – auch für das Verarbeitungsverzeichnis müssen Sie wissen, welche personenbezogenen Daten Sie in welchen Systemen bearbeiten, welchen Risiken diese ausgesetzt sind und mit welchen Massnahmen Sie solche Daten schützen.

Ein Verarbeitungsverzeichnis gibt Aufschluss über alle Bearbeitungstätigkeiten

Das Verarbeitungsverzeichnis wird aber nicht nur einmalig angelegt, sondern Bedarf ständiger Pflege, da sich allenfalls auch die Bearbeitungstätigkeiten von personenbezogenen Daten über den Lauf der Zeit verändern. Gemäss der GDPR fallen übrigens folgende Aspekte unter den Begriff «Bearbeitungstätigkeiten»:

  • die Erhebung und Erfassung oder die Speicherung,
  • die Organisation oder das Ordnen,
  • die Anpassung oder Veränderung,
  • das Auslesen oder Abfragen,
  • die Verwendung, Verbreitung oder eine andere Form der Bereitstellung,
  • die Offenlegung durch Übermittlung,
  • den Abgleich oder die Verknüpfung,
  • die Einschränkung
  • sowie das Löschen oder die Vernichtung.

Inhalt des GDPR Verarbeitungsverzeichnisses

Je nach Umfang des Verarbeitungsverzeichnisses reicht eine simple Tabellenkalkulation dabei nicht (mehr) aus. Das Verarbeitungsverzeichnis muss über folgende Punkte Auskunft geben:

  • Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten.
  • Zweck der Verarbeitung (pro Datensammlung).
  • Beschreibung der Kategorien betroffener Personen und der Kategorien von personenbezogener Daten, beispielsweise «Mitarbeitende» oder «Kunden». Datenkategorien können z.B. Stammdaten oder Bewegungsdaten/Transaktionsdaten sein.
  • Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation.
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien.
  • Beschreibung der technischen und organisatorischen Schutzmassnahmen.

 

Um unnötige Doppeldokumentation zu vermeiden, kann im Verarbeitungsverzeichnis auch auf bereits bestehende Dokumente verwiesen werden. Es ist jedoch zu beachten, dass diese im Bedarfsfall dann auch der Aufsichtsbehörde zur Verfügung gestellt werden müssen. Zudem ist es allenfalls auch sinnvoll, das Verarbeitungsverzeichnis mit anderen bestandesführenden Anwendungen (CMDB - Configuration Management Data Base, Prozessdokumentationen, Risiko-Register etc.) abzugleichen.

Sie sehen, es kommt ganz schön viel zusammen. Und gerade die Dokumentation im Datenschutz zählt erfahrungsgemäss nicht gerade zu den Lieblingsbeschäftigungen von Unternehmen. Aber keine Sorge, wir haben für Sie eine praxisorientierten GDPR Guideline zusammengestellt. Diese wird Ihnen beim Aufbau und der Pflege des GDPR Verarbeitungsverzeichnisses bestimmt wertvolle Anregungen geben. Den Download finden Sie weiter unten. 

Starten Sie gleich heute mit der GDPR-Readiness

Sie haben noch weitere Massnahmen für die GDPR zu treffen, abgesehen vom Verarbeitungsverzeichnis? Keine Sorge, wir unterstützen Sie gerne. In unserem Whitepaper zur GDPR / DGSVO Readiness erfahren Sie in Kürze alle wichtigen Änderungen und erhalten praktische Tipps zur Umsetzung. Hier geht's zum Gratis-Download:

 

 

Sie sind schon einen Schritt weiter? Perfekt! Dann können Sie sich jetzt intensiv Ihrem Verarbeitungsverzeichnis widmen. In unserer kostenlosen GDPR Guideline zum Verarbeitungsverzeichnis erhalten Sie wertvolle Tipps von unseren Experten zur praktischen Umsetzung. Warum? Weil die Dokumentation das A und O der der GDPR-Readiness ist. Einfach hier klicken und vom Gratis-Template «GDPR Verarbeitungsverzeichnis Guideline» profitieren: