VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN – DAS UNGELIEBTE KIND!?

Inzwischen haben Sie als Datenschutzkoordinator eine annähernd gemeinsame Sprache mit dem Datenschutzbeauftragten gefunden. Der Großteil der anstehenden Aufgaben ist verstandenund auch, dass man sich auf diesen Menschen verlassen kann und ihn, unter Umständen als Komplizen, anerkennt. Doch diese eine Aufgabe – das Verzeichnis der Verarbeitungstätigkeiten – ist offen. Und irgendwie wird immer wieder betont, wie wichtig die Erstellung ist und, dass dieses Verzeichnis die notwendige Transparenz über die Verarbeitungstätigkeiten innerhalb der verantwortlichen Stelle bringt. Der erste Anlauf ist bereits beim Anblick des Dokumentes gescheitert. Wieder Kauderwelsch, wieder keine klaren Fragen und immer wieder Bezugnahme auf einzelne Artikel der Datenschutz-Grundverordnung (DS-GVO).

Also: kurze Panik, etwas aufsteigender Ärger gepaart mit Resignation – und zugeklickt das Ding. Sind sie doch selbst schuld, wenn sie es so kompliziert machen… murmeln Sie. Bei Restmotivation gelingt noch der Beschwerde-/ oder Verzweiflungsanruf bei dem Datenschutzbeauftragen. An dieser Stelle kann und sollte der Datenschutzbeauftragte besonnen reagieren und nicht all die Motivation, die Sie mühsam aufgebaut haben, buchstäblich den Bach runtergehen lassen. Folgende Handlungsempfehlung aus meiner Praxis als Unterstützung für Hilfesuchende und Helfende bezieht sich auf das Musterdokument der Datenschutzkonferenz (DSK).


IM ALLGEMEINEN

Lassen Sie sich nicht abschrecken – das gilt übrigens für diese gesamte Umsetzungsaufgabe der DS-GVO im Unternehmen. Der Datenschutzbeauftragte sollte Ihnen diese Aufgabe nochmals als vereinzeltes Thema nahebringen. Zum Beispiel in Form einer Schulung, an welcher auch die verschiedenen Fachbereichsleitungen teilnehmen können.


ZUALLERERST

Zunächst steht das Ausfüllen des Vorblattes bevor, welches Aufschluss das zu vervollständigende Verzeichnis der Verarbeitungstätigkeiten in seiner Gesamtheit gibt: An erster Stelle die Angaben zum Verantwortlichen. Das meint an dieser Stelle Ihr Unternehmen oder Ihre Behörden. Sodann Angaben zum Datenschutzbeauftragten, sofern Sie überhaupt einen Datenschutzbeauftragten benannt haben. Vielleicht haben Sie auch eine sogenannte gemeinsame Verantwortlichkeit mit einem anderen Verantwortlichen, zum Beispiel: zwei Unternehmen stellen sich über eine gemeinsame Internetseite dar oder nutzen gemeinsam denselben Telefon-/Internetanschluss. Wenn Ihr Unternehmen außerhalb der Europäischen Union (EU) oder des Euopäischen Wirtschaftsraums (EWR) sitzt, haben Sie unter Umständen zudem einen Vertreter des Verantwortlichen innerhalb der EU / des EWR benannt. Diese Daten wären hier einzutragen. Jetzt nicht gleich hinwerfen – sollten Sie Fragen zu den genannten Feldern haben, fragen Sie Ihren Datenschutzbeauftragten.


IM DETAIL

Nun nehmen wir uns die Erstellung des eigentlichen Verzeichnisses der Verarbeitungstätigkeiten vor. Zum besseren Verständnis sind die einzutragenden Inhalte im Folgenden als Hinweise und Hürden gekennzeichnet. Dies zeigt Ihnen, an welchen Stellen es unter Umständen sinnvoll sein kann, auf Ihren Datenschutzbeauftragten zurückzugreifen.

Erster Hinweis: Wie heißt die Verarbeitungstätigkeit? Das bekommen Sie locker hin! Laufende Nummer? Das kann sich auch erst zu einem späteren Zeitpunkt aus der Übersicht ergeben.

Zweiter Hinweis: Einführungsdatum und letzte Änderung der Verarbeitungstätigkeit? Das kann unter Umständen lange zurückliegen, fragen Sie im Zweifelsfall in der jeweiligen Fachabteilung nach. In diesem Zug können Sie auch die Angaben zur verantwortlichen Fachabteilung eintragen. Auch das ist kein Problem, oder?

Dritter Hinweis: Zweck der Verarbeitung? Wofür werden die personenbezogenen Daten verarbeitet, welchen Zweck verfolgt Ihr Unternehmen oder Ihre Behörde damit? Und an dieser Stelle kommen wir auch zur ersten Hürde: Im Zusammenhang mit dem Zweck der Verarbeitung ist es sinnvoll die Rechtsgrundlage der Verarbeitung mit anzugeben. Dies wird durch die DS-GVO an dieser Stelle zwar nicht zwingen vorgeschrieben, aber in Zukunft macht es Ihnen unter Umständen die Arbeit leichter: Sollte eine Person Auskunft über ihre Daten verlangen, haben Sie es in der Bearbeitung leichter. Fragen Sie zur Rechtsgrundlage Ihren Datenschutzbeauftragten. Sollten Sie bereits vorab eine Idee dazu haben, können Sie diese gerne eintragen.

Vierter Hinweis: Beschreibung des Verfahrens? Ebenfalls eine optionale Angabe. Aber auch diese kann lebenserleichternd sein, wenn Sie Auskunft geben müssen. Bitte beschreiben Sie in eigenen Worten, was Sie beziehungsweise die Fachabteilung tun. Manchmal existieren bereits Leistungs- oder ähnliche Beschreibungen.

Fünfter Hinweis: Beschreibung der Kategorien betroffener Personen und personenbezogener Daten? Ganz einfach: Wessen und welche Daten verarbeiten Sie im Rahmen der Tätigkeit? An dieser Stelle sehen wir uns auch mit der zweiten Hürde konfrontiert: Besondere Kategorien personenbezogener Daten? Klingt schwieriger, als es ist. Hierbei sind besonders schützenswerte Daten gemeint. Dies können Gesundheitsdaten (z.B. Krankschreibungen), religiöse oder andere weltanschauliche Überzeugungen (z.B. Konfessionszugehörigkeit), Hinweise auf ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, genetische und / oder biometrische Daten, Daten zu Sexualleben oder sexueller Orientierung sein.

Sechster Hinweis: Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder werden? Dies betrifft Stellen, die sich bei Ihnen intern im Haus befinden oder externe Stellen, außerhalb Ihres Unternehmens oder Ihrer Behörde. Hier ist jeweils anzugeben, an welche Stellen wessen Daten für welchen Zweck übermittelt werden.

Jetzt wird es speziell:

Siebter Hinweis oder auch dritte Hürde: Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation? Arbeiten Sie mit Dienstleistern im Ausland (außerhalb der EU / des EWR) zusammen? Setzen Sie für die Verarbeitungstätigkeit unter Umständen Dienstleister aus einem Drittland ein? Ja, das betrifft auch Microsoft. Der oder die Datenempfänger sind zu benennen und auch, ob es eine Dokumentation der geeigneten Garantien gibt. An dieser Stelle fragen Sie sich: Was ist das nun wieder? Das hat ebenfalls mit einem Drittstaatentransfer zu tun und ist liebevoll zu erlesen in einem separaten Blogbeitrag. Wenn Sie sich dieses Thema nicht erlesen möchten, dürfen Sie hier ebenfalls wieder Ihren Datenschutzbeauftragten dazu befragen und diese Thema mit ihm gemeinsam klären.

Achter Hinweis und vierte Hürde: Fristen für die Löschung der Datenkategorien? Löschen – da ist es – das ganz große Thema. Wenn Sie möchten, begeben Sie sich im Unternehmen oder der Behörde auf die Suche und beginnen Sie (sofern vorhanden) in der IT-Abteilung. Unter Umständen haben Sie es aber auch mit rechtlichen Vorgaben zu tun und hierbei kann Sie die entsprechende Fachabteilung und/oder wieder Ihr Datenschutzbeauftragter unterstützen.

Neunter Hinweis: Technische und organisatorische Maßnahmen? Diese sollten für Ihr Unternehmen definiert sein und können bei Ihrem Datenschutzkoordinator oder in der IT-Abteilung erfragt werden. Dieses Dokument gehört genauso zu dem Verzeichnis der Verarbeitungstätigkeiten wie das eingangs beschriebene Vorblatt. Wenn Sie das Verzeichnis der Verarbeitungstätigkeiten digital organisieren, dürfen Sie das Vorblatt und die Darstellung der technischen und organisatorischen Maßnahmen jeweils als Datei mit ablegen.


FAZIT

Ungemütlich ja, aber kein Hexenwerk! Fokussieren Sie sich auf die Felder, welche Sie gut ausfüllen können. Kommen Sie an verschiedenen Stellen nicht weiter, lassen Sie diese offen und besprechen sich hier mit Ihrerm Datenschutzbeauftragen. Einfach anfangen, Mut zur Lücke und dann durchfragen, nachfragen, ausfragen.

Über die Autorin: Frauke Kühling-Schieferdecker ist Betriebswirtin der Handwerkskammer und ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeit liegen insbesondere mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gerne per E-Mail kontaktieren.

    Tags:
  • Datenschutzbeauftragter
  • Datenschutzkoordinator
  • Dokumentation
  • Hilfestellung
  • Verzeichnis der Verarbeitungstätigkeiten
Lesen

DATENSCHUTZBEAUFTRAGTE – ERKLÄRBÄR UND VERBÜNDETER, ABER AUCH IMMER FACHLICH GEEIGNET?


WARUM WIRD EIN DATENSCHUTZBEAUFTRAGTER BENÖTIGT?

Weil die Verordnung es, aufgrund von verschiedenen Vorgaben, fordert. Allein mit der Bestellung ist es aber nicht getan, hiernach fängt die Arbeit eigentlich erst an (auch wenn immer noch vielfach falsch verstanden). Der Datenschutzbeauftragte benötigt einen Ansprechpartner, oftmals einen Datenschutzkoordinator, als Schnittstelle zum Unternehmen und berät diesen bei seiner Arbeit und der Umsetzung der Dokumentationspflichten und der Implementierung eines Datenschutzmanagementsystems. So weit, so gut.


WAS, WENN KEINE BESTELLPFLICHT BESTEHT?

Sie sind keinesfalls raus aus der Verantwortung der Umsetzung des Datenschutzes und begeben sich allein auf den steinigen und manchmal schlecht beleuchteten Datenschutzweg. Hierbei stellt sich ebenfalls die Frage, ob derjenige die Voraussetzungen erfüllt oder auch nur die zeitlichen Ressourcen hat, das entsprechende Wissen zu erlangen und die geforderte Dokumentation umzusetzen.


WAS KANN DER DATENSCHUTZBEAUFTRAGTE, WAS SOLLTE ER MITBRINGEN?

Wie sind die Weiterbildungsnachweise verschiedener Institutionen zu bewerten? Sind Juristen die besseren Datenschutzbeauftragten oder Beschäftigte der IT oder wer sonst? Benötigt man überhaupt einen Nachweis oder wie kann eine Eignung festgestellt werden?

Schwierige Fragen und nicht pauschal zu beantworten. Am ehesten gilt: Es kommt darauf an, was jeder Datenschutzbeauftragte aus den Weiterbildungen macht und/oder inwiefern er sich selbständig fortwährend weiterbildet. Nimmt er sich genug Zeit für die Fragen und Antworten? Ist er in der Lage individuell zu reagieren und kann er sich gut anpassen? Im besten Fall ist er sogar empathisch.

Persönlich denke ich, dass der Bereich Datenschutz ein sehr großes Betätigungsfeld ist und nicht jeder alles wissen kann und dennoch zumindest wissen muss, woher Informationen zu bekommen sind. Vor einigen Jahren bin ich bei einem Seminar darauf angesprochen worden, dass es doch recht sportlich sei, als Nicht-Juristin in diesem Bereich anzutreten. Das ist richtig, aber es meint im Umkehrschluss eben auch, dass wir Nicht-Juristen und Nicht-ITler noch einmal mehr lernen müssen. Unmöglich ist es nicht, empfinde ich.


MIT ANDEREN WORTEN: WAS MACHT ER EIGENLICH, DAS UNS HILFT?

Als gesetzliche Vorgabe ist seine Bestellung verstanden, doch wie kann der Datenschutzbeauftragte mit seinem Wissen genutzt werden und wie können dem Unternehmen Vorteile daraus erwachsen? Mit anderen Worten, was macht der eigentlich, das uns hilft?

Ich für mich habe diesen Beruf wie folgt verstanden und erfahre in der Praxis, dass ich zumindest auf dem richtigen Weg zu sein scheine: Wir als Datenschutzbeauftragte sind beratend tätig und versuchen den Menschen in ihrem täglichen Tun Sicherheit zu geben. Sicherheit im Umgang mit Verarbeitungen von personenbezogenen Daten und den zugehörigen Personengruppen. Hier geht es um mehr als das zur Verfügung stellen von vorgefertigten Unterlagen, welche manchmal nur schlecht auf die Bedürfnisse verschiedener Branchen zugeschnitten sind. Oftmals ist es notwendig, Musterdokumente auf spezielle Bedürfnisse anzupassen. Dazu gehört die geduldige Erläuterung, wie und warum die entsprechenden Dokumente eingesetzt werden sollten.

Was ist mit den vielen individuellen Fragen, die von verschiedenen Fragenden ausgehen? Inwieweit betreffen uns die anliegenden Rechtsgebiete zu diesen Fragen? Wie weit geht die Beratungstätigkeit und wie weit darf sie überhaupt gehen? Ich sage dazu, dass alle Fragen gestellt werden dürfen und das die Fachkenntnis des Datenschutzbeauftragten erwägen lässt, inwieweit dies seinen Fachbereich betrifft.

Um die Beschäftigten in ihrer Arbeit sicherer werden zu lassen, sollte der Datenschutzbeauftragte die Verantwortlichen von der Notwendigkeit datenschutzrechtlicher Regelungen überzeugen. Überzeugung wirkt sich immer auch auf andere Beteiligte aus. Eine verabschiedete Richtlinie oder Handlungsanweisung kann für Respekt und vielleicht sogar für Glücksgefühle sorgen, so meine Erfahrung.


JEDE WOCHE GIBT ES NEUE HERAUSFORDERUNGEN

Jede Woche gibt es neue Herausforderungen, in Form von Informationen über Gerichtsurteile, Bußgeldverfahren, Handlungsempfehlungen verschiedener Aufsichtsbehörden (die nicht immer derselben Auffassung sind) und Weiteres. Da die verantwortlichen Stellen in allen Bereichen entsprechende Informationen zu verarbeiten haben, welche oft unmittelbar mit ihrem Geschäftsinhalt zu tun haben, ist die Rolle des Datenschutzbeauftragten umso wichtiger, als das er auch als Verbreiter von Informationen arbeitet – auch hier gilt: vorsortierte Informationen für die jeweilige Branche.

Darf man das erwarten? Ich denke ja, unbedingt. Ein Datenschutzbeauftragter sollte einbezogen werden, befragt, angeschrieben, in Schulungen einbezogen werden – gelöchert werden, solange und so viel es notwendig ist. Weiß er keine Antwort, sollte er recherchieren und sich proaktiv zur Fragestellung verhalten. Der Datenschutzbeauftragte ist Verbündeter, Freund und Helfer und keine Vermeider, auch wenn es manchmal auf den ersten Blick so scheint. Ein guter Datenschutzbeauftragter macht sich mit auf die Suche nach individuellen Lösungen und hat die Herausforderungen im Blick.


WARUM ICH DAS SCHREIBE?

Warum ich das schreibe? Weil ich mich oft frage, wann endlich eine Prüfinstanz für Datenschutzbeauftragte installiert wird. Wann wird es endlich ein Qualitätsmessinstrument geben und wir uns alle daran messen können müssen? Ich hinterfrage meine Arbeit beinahe jeden Tag um die bestmögliche Leistung zu erbringen und lerne jeden Tag hinzu. Ganz ehrlich? Anders würde ich niemals zu dieser verantwortungsvollen Aufgabe antreten wollen und hoffe, dass es allen Kolleginnen und Kollegen ebenfalls um diese Sache geht. Meine Hoffnung liegt in den, hoffentlich bald zu ergründenden, Zertifizierungen und der Erbringung von Fachkenntnis der einzelnen Bearbeiter.

Über die Autorin: Frauke Kühling-Schieferdecker ist Betriebswirtin der Handwerkskammer und ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeit liegen insbesondere mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gerne per E-Mail kontaktieren.

    Tags:
  • Bestellpflicht
  • Datenschutzbeauftragter
  • Datenschutzkoordinator
  • Fachkenntnis
  • Tätigkeitsumfang
Lesen

SIE SIND FÜR DIE DATENSCHUTZKOORDINATION ZUSTÄNDIG?

Die Kollegen schauen mitleidig-erleichtert herüber. Sie waren zur falschen Zeit am falschen Ort und haben die Aufgabe der Datenschutzkoordination „überholfen“ bekommen? Es fühlt sich undankbar und unproduktiv an und eigentlich wollten Sie anders wahrgenommen werden! Verantwortung schon, aber doch nicht dieser Kram, den sowieso keiner machen wollte….


DIE TÄTIGKEIT DER DATENSCHUTZKOORDINATION

Ich weiß, wovon Sie sprechen, weil es mir ganz genauso ging – damals, als ich den Datenschutz am Horizont auf mich zukommen sah. Ergeben und etwas maulig nahm ich mich der Sache an. Die erste großartige Erkenntnis: juristisches Kauderwelsch und – für mich – völlig unklare Begrifflichkeiten. Einige Zeit versuchte ich, das Thema zu ignorieren. Recht erfolgreich. Ein paar Mails des externen Datenschutzbeauftragten taten nicht weiter weh.

Dann, ein paar Jahre vor dem 25. Mai 2018 warf die DS-GVO ihre mächtigen Schatten voraus und die Geschäftsführung drängte auf Gespräche, Ergebnisse. Ich kramte die Mails hervor und las mich durch die gesendeten Unterlagen – warum der ganze Zauber eigentlich? Bei den vielen Versuchen zu verstehen, den Sinn der Antwortmails auszumachen, scheiterte ich immer wieder. Nachfragen halfen nur so mäßig weiter und so vergingen gute und schlechte Tage. Was ich unterschätzte war, dass steter Tropfen auch hier den Stein höhlte und ich mit jedem neuen Versuch zu verstehen, wirklich etwas verstand.

Es gelang mir immer besser, auf Kundenanfragen, Mitarbeiteranfragen und Fragen der Geschäftsführung zu antworten. Bald auch auf die Fragen des externen Datenschutzbeauftragten und ich wurde sicherer und ruhiger. So wurde ich immer häufiger eingebunden, nach meiner Einschätzung befragt und konnte weiterhelfen und maßgeblich zur Strukturierung der Arbeitsweise beitragen. Das sorgte für Vertrauen auf allen Seiten. Der Einführung der DS-GVO sahen wir gut vorbereitet entgegen.

Am Ende beschloss ich, mich hauptsächlich diesem Beratungsbereich zu widmen und anderen Menschen einen Zugang zu ihrer Aufgabe in der Datenschutzkoordination zu ermöglichen. Allerdings ist auch zu sagen, dass sich dieser Idee ein langer und manchmal steiniger Weg anschloss und ich hart dafür arbeiten musste, heute „eine vom DID“ sein zu können. Durch verschiedenste Erfahrungen erlaube ich mir, das genauso zu sagen. Heute bin ich geprüfte Datenschutzbeauftragte und zertifizierte Beauftragte für Informationssicherheit und verstehe mich als Dolmetscherin, als Verbündete und als Motivatorin für alle Diejenigen, die sich hier wiederfinden. Und – und das hätte ich zu Beginn dieser Geschichte niemals gedacht – ich mache diese Arbeit unglaublich gerne. Das Fachgebiet ist sehr spannend, ich habe viele, tolle Mandate mit überaus freundlichen und sehr engagierten Datenschutzkoordinatorinnen und -koordinatoren und, ebenfalls sehr wichtig, ein hervorragend ausgebildetes, dynamisches, ehrgeiziges Team aus empathischen und herzlichen Kolleginnen und Kollegen.


WARUM ICH IHNEN MEINE GESCHICHTE ERZÄHLE?

Damit Sie nicht verzweifeln, weil neben der normalen Arbeit, zu welcher Sie eigentlich angetreten sind, der Umsetzung vieler Rechtsvorschriften jetzt noch die Umsetzung des Datenschutzes auf Ihrem Tisch liegt. Versuchen Sie es als Kompliment zu verstehen. Es bedarf besonderen Vertrauens der Geschäftsführung, Ihnen diese Aufgabe zu übergeben. Sie schützen das Unternehmen mit Ihrem Wissen und Ihrem Engagement ein Datenschutzmanagement aufzubauen. Sie kennen das Unternehmen, nach dieser gründlichen Durchleuchtung der Prozesse, wie kaum eine andere Person. Sie werden in der Lage sein, Mitarbeiter, Geschäftsführung wie Kunden zu beraten – man wird auf Sie hören.

Sie werden die Person sein, welche den direkten Kontakt zum externen Datenschutzbeauftragten hält und welche bspw. in der Meldekette für Datenschutzvorfälle ganz oben steht. Sie werden die Menschen unter Umständen schulen, beruhigen, ihnen alle notwendigen Dokumente zur Verfügung stellen, damit sie in ihrem alltäglichen Tun sicher sind. Sie können an Treffen der örtlichen Erfa-Kreise teilnehmen und bekommen aktuelle Informationen des Datenschutzbeauftragten in der Regel mit zuallererst. Mit anderen Worten: Dieser Bereich kann eine große Chance sein, eigene Strukturen zu schaffen und große, positive Wahrnehmung und Respekt zu erfahren.

Wenn ich die Zeilen überfliege, ist dies kein Kondolenzschreiben geworden, sondern eher eine Hommage an die Datenschutzkoordinatorinnen und -koordinatoren die ich kenne und sehr schätze. Wenn Sie Fragen haben oder Anmerkungen, melden Sie sich gerne bei mir – das meine ich völlig ernst. Und herzliche Grüße an Alle, die sich angesprochen fühlen.

Über die Autorin: Frauke Kühling-Schieferdecker ist Betriebswirtin der Handwerkskammer und ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeit liegen insbesondere mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gerne per E-Mail kontaktieren.

    Tags:
  • Datenschutzkoordination
  • Datenschutzkoordinator
  • Datenschutzkoordinatorin
  • Erfa-Kreis
  • Erfahrungsbericht
Lesen