Im Dschungel der DSGVO, Teil 5: Verfahrensverzeichnisse
Meine DSGVO Erfahrungen, Teil 5 oder: DSGVO und Verfahrensverzeichnisse
Als Freiberufler bzw. Einzelunternehmer muss (und will !) ich mich natürlich um den Datenschutz kümmern und mich an die Vorgaben der Datenschutzgrundverordnung, kurz DSGVO, halten.
Dieser Beitrag ist ein Erfahrungsbericht. Und kann hoffentlich den Freiberuflern und Selbständigen unter meinen Lesern ein bisschen weiterhelfen.
Ich gebe hier meine eigene Meinung und mein eigenes Wissen (Eigenrecherche) wieder. Das ersetzt selbstverständlich keine rechtliche Beratung.
Verfahrensverzeichnisse? Was ist das denn?
In der DSGVO geht es ja um die Speicherung und Verarbeitung von personenbezogenen Daten. Diese Vorgänge der Datenverarbeitung beschreiben wir in einem Verzeichnis von Verarbeitungstätigkeiten.
Genauer gesagt, eine Beschreibung je Tätigkeit bzw. Verfahren. Zum Beispiel ein Verzeichnis für Personalmanagement inklusive Lohnabrechnung, wenn vorhanden Arbeitszeiterfassung, Verarbeitung von Bewerberdaten und so weiter. Es wird beschrieben:
- welche Daten erfasst werden (Kategorien von Daten)
- von wem die Daten erfasst werden (betroffene Personen)
- warum (Zweck) und auf welcher Rechtsgrundlage (mit Hinweis auf die entsprechenden Artikel in der DSGVO oder anderen Gesetzen)
- von wo die Daten erfasst werden (Datenquelle)
- Empfänger der Daten (intern wie extern)
- falls Empfänger in Drittstaaten (außerhalb der EU) sitzen, muss hier auf das entsprechende Abkommen zum Datenschutz hingewiesen werden
- wie werden die Betroffen informiert
- wie sind die Regeln zur Löschung und gibt es gesetzliche Vorgaben für die Speicherung
- welche Maßnahmen zum Schutz der Daten wurden getroffen
- hier kann auf die TOM (Technisch Organistorische Maßnahmen) verwiesen werden, die einmal erstellt werden
An den Anfang eines Verfahrensverzeichnisses gehören noch Angaben zum Unternehmen und zum Datenschutzbeauftragen bzw. -Verantwortlichen.
Verfahrensverzeichnis, das brauch ich nicht. Ich bin Freiberufler.
Leider doch. Es gibt zwar so ein nett gemeinte Einschränkung, dass Unternehmen mit weniger als 250 Mitarbeitern diesen „Rechenschaftspflichten“ nicht unterliegen. Aber: Das gilt nur, wenn wir nur gelegentlich personenbezogene Daten verarbeiten. Denken wir mal an Google Analytics für die Webseite. Google Analytics verarbeitet die Daten ja eher sekündlich oder minütlich und das permanent, also so gar nicht gelegentlich. War also nichts damit, dass ich das Verfahrensverzeichnis nicht brauche.
DSGVO und Verfahrensverzeichnisse: So habe ich es gemacht.
In vielen Trainings, die ich zum Thema DSGVO besucht habe, wurde empfohlen, einfach eine Woche lang mal mitzuschreiben (Zettel oder Notizbuch auf dem Schreibtisch), wie man Daten erfasst und verarbeitet. Ich fand das, ehrlich gesagt, irgendwie albern. Heute kann ich sagen: Es hätte mir geholfen, eine Struktur zu finden und die Verfahren zu definieren. Das ist nämlich gar nicht so einfach.
Ich dachte, ich brauche einfach nur ein paar Stunden und schreibe dann alles einfach auf. Gedacht, getan. An einem Freitagnachmittag habe ich in vier Stunden meine Verfahrensverzeichnisse runtergeschrieben. Um dann festzustellen, dass es Lücken gibt. Nicht jede Verarbeitungstätigkeit war mir gleich in allen Einzelheiten bewusst. Auch fehlten mir Angaben zu den Empfängern (meistens Software aus der Cloud). Und bei der Beschreibung der TOMs fiel mir auf, dass ich an der ein oder anderen Stelle noch nachbessern könnte.
So wurde aus dem freudigen „Ich habe fertig“ ein leises „Ich bin zu 75% fertig“. 75%, immerhin. Ich könnte auch sagen, dass es 80% waren. Denn was noch folgte und zu tun war, waren die berühmten 20%, die 80% der Zeit brauchen. 4 Stunden für alles? Nein. Es waren dann ungefär 20 Stunden.
Was dann kam:
- Nachlesen, welche Absätze den Zweck der Datenverarbeitung beschreiben, damit ich das richtig zuordnen konnte.
- Nachlesen, was genau besondere Datenkategorien nach Art. 9 DSGVO sind
- Noch mal ganz genau überlegen, ob ich alle Verfahren erfasst hatte und wie ich meine Projektarbeit dort unterbringe
- alle Empfänger in Drittländern recherchiert und ob es entsprechende Abkommen gibt (hätte eigentlich mit den AV-Verträgen erledigt sein müssen, aber ich habe doch noch welche vergessen)
- Löschfristen recherchiert. Da ich erst seit kurzem eine Mitarbeiterin habe, waren mir die Aufbewahrungsfristen für z.B. Lohnunterlagen noch nicht bekannt
- und dann noch: tageslanges Grübeln, ob mein Sicherheitskonzept (TOM) ausreicht oder ich nacharbeiten sollte
Das ist jetzt drin in meinem Verzeichnis. Ich habe mich entschieden, alles in einem Dokument zu erfassen. Es sind 34 Seiten. Das liegt an der Menge an Informationen, aber auch daran, dass ich Wert lege auf eine ordentliche Formatierung in Word. (Neues Verzeichnis beginnt auf einer neuen Seite.)
Wichtig war mir auch, eine Versionsübersicht hinzuzufügen. Denn ich bin fast sicher, dass sich immer mal wieder Änderungen ergeben werden und die dokumentiere ich in der Versionsübersicht. Das ist einfach eine Tabelle am Anfang des Dokuments. Es wird auf jeden Fall in den nächsten Tagen noch Ergänzungen geben, da ich noch auf AV-Verträge warte, die dann hier noch eingetragen werden. Und ich denke noch über eine neue Sicherheitsmaßnahme für Zugriffe bzw. Passwörter nach. Das gehört dann noch in die TOM.
DSGVO Verfahrensverzeichnisse: Quellen und Vorlagen
- DSGVO für Unternehmen, Ratgeber von Dr. Thomas Schwencke und t3n (kostenpflichtig): Guide enthält auch einige Mustervorlagen
- DSGVO in ihrer vollen Pracht (kostenfrei): PDF der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) übersichtlich aufbereitet.
- Praxishilfen DSGVO von GDD, Gesellschaft für Datenschutz und Datensicherheit e.V. – Informationen und Vorlagen (kostenfrei)
Meine Reise durch den Dschungel der DSGVO war damit noch nicht zu Ende. Es galt noch zu dokumentieren bzw. den Prozess zu beschreiben, wie ich Auskünfte zur Datenspeicherung umsetze und wie ich diese Auskunft erteilte (Formular). Dazu dann mehr in einem nächsten Beitrag. Aktuell bin ich so in Kundenprojekten eingebunden, dass mir die Zeit fehlt fürs Bloggen. Aber es wird weitergehen. Eventuell gibt es noch ein Update zu den AV-Verträgen, da hat sich noch einiges getan.
Hier noch mal alle bisherigen Beiträge aus dieser Blog-Serie:
Im Dschungel der DSGVO, Teil 1: AV-Verträge
Im Dschungel der DSGVO, Teil 2: DSGVO und Webseiten