DSGVO: Verzeichnis der Verabeitungtätigkeiten

oder: Datenschutz ist Qualität!

Die Angst geht um bei kleinen Unternehmen. Und sie hat einen Namen: EU-DSGVO.

Einer der größten Angstmacher ist wohl das „Verzeichnis der Verarbeitungstätigkeiten“ nach Art. 30 DSGVO. Eine Ursache ist wohl, dass einige Passagen in diesem Artikel etwas unklar formuliert wurden.

Ich bringe mit diesem Artikel Licht ins Dunkle, zeige Ihnen was konkret zu tun ist und wie Ihnen die DSGVO sogar helfen kann die Qualität in Ihrem Unternehmen zu verbessern!

Nun aber los! „Jeder Verantwortliche … „ führt „ein Verzeichnis aller Verarbeitungstätigkeiten“ (1). Der Satz ist ja eigentlich klar, oder? Aber der Gesetzgeber hat auch Ausnahmen geschaffen: Die Pflicht gilt nicht „für Unternehmen …, die weniger als 250 Mitarbeiter beschäftigen …“ (2).

Ist nun alles gut für KMUs? Nein, natürlich nicht! Die EU wäre nicht die EU wenn sie es nicht schaffen würde noch Ausnahmen von der Ausnahme zu schaffen :-). Dies bedeutet konkret: Auch wenn Ihr Unternehmen weniger als 250 Mitarbeiter hat, müssen Sie dieses Verzeichnis führen, wenn die Verarbeitung der Daten

  • ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z. B. Bonitätsscoringverfahren, Betrugspräventionsverfahren)
  • besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO oder über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen
  • nicht nur gelegentlich erfolgen (alle sonstigen Verarbeitungen, z. B. Lohnabrechnungen, Kundendatenverwaltung, IT-Internet-/E-Mail-Protokollierung, Schulnoten) (3)

Also konkret: Betreiben Sie eine Kundendatenverwaltung, z. B. weil Sie Ihren Kunden Rechnungen schreiben, sind Sie schon dabei! Haben Sie aber z. B. einen Laden oder einen Kiosk und speichern keine Kundendaten (ausschließlich Bargeschäft) sind Sie evtl. von der Pflicht ein Verzeichnis zu führen befreit! Schade, damit haben Sie eine Chance verpasst, die Qualität Ihres Unternehmens zu verbessern…

Datenschutz und Qualität

OK, machen wir uns an die Arbeit! Schreiben wir endlich dieses verflixte Verzeichnis!

Aber Moment, was sind eigentlich Verarbeitungstätigkeiten? „Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden.“ (Auszug aus Hinweise für das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DS-GVO). Ah, das kommt mir bekannt vor: Geschäftsprozesse! Da kommt mir doch gleich das Thema Qualitätsmanagement in den Sinn! Richtig, das hatten wir doch schon mal mit ISO 9000 / ISO 9001!

Wow, wer also bereits nach ISO 9000/9001 zertifiziert ist, sollte es nun einfach haben: Die Liste mit den Geschäftsprozessen durchgehen und prüfen ob Personendaten verarbeitet werden und diese Prozesse dann in das Verzeichnis der Verarbeitungstätigkeiten übernehmen.

Wer, wie ich, diesen ISO Papiertiger noch nicht erlegt hat, muss nun erst einmal seine Geschäftsprozesse identifizieren. Aber wie geht das?

Nun, zu dem Thema gibt es jede Menge Literatur, wissenschaftlich Abhandlungen und reihenweise sehr ermüdender Fortbildungen. Aber wir wollen ja kein ganzes QMS aufbauen sondern nur die Geschäftsprozesse suchen, bei denen Personendaten verarbeitet werden. (Für die Prozessprofis unter Ihnen: Wir verfolgen hier den sog. „bottom-up“-Ansatz, auch „ist-orientierte Prozessidentifikation genannt“.)

In 3 Schritten zum Verfahrensverzeichnis

OK. wieder zurück zur Wirklichkeit. Die DS-GVO relevanten Prozesse können Sie ganz einfach identifizieren:

 

Schritt 1:

TIPP
Lassen Sie alle Arbeitsschritte weg, wo keine Personendaten verarbeitet werden!

Beispiele: „Zu Kunde gefahren“, „Mitarbeiter zusammen gestaucht“ 🙂

Gehen Sie einfach mal in Ruhe Ihre täglichen Arbeitsschritte durch oder schreiben Sie sich diese über einen gewissen Zeitraum auf (z. B. „Kunde ruft an“, „Angebot geschrieben“, „Kontaktdaten gespeichert“).

Ergebnis: Sie haben nun eine ziemlich chaotische Liste mit Tätigkeiten bei den Sie Personendaten erarbeiten

 

Schritt 2:

HINWEIS
Es gibt übrigens keine feste Regel wie diese „Verdichtung“ zu erfolgen hat und ob hier evtl. noch einmal in Geschäftsprozesse und Teilprozesse unterschieden werden muss! Bei größeren Firmen kann dies durchaus zu 5-6 Ebenen (z. B. Geschäftsprozesse, Teilprozesse, Unterprozesse, Prozesschritte, Arbeitsschritte) führen.

Versuchen Sie nun zusammengehörige Tätigkeiten zur größeren Prozessschritten oder Geschäftsprozessen zu „verdichten“.

Beispiel: Die beiden Tätigkeiten „Kunde ruft an“, „Termin vereinbart“ werden bei mir zum Geschäftsprozess „Supportanfrage“ zusammengefasst. Als kleines Unternehmen sollten Sie die Prozessstrukturen flach halten (2-3 Ebenen, z. B. Arbeitsschritte, Geschäftsprozesse)

Ergebnis: Sie haben jetzt eine übersichtliche Liste von Geschäftsprozessen bzw. eine Liste ihrer Verarbeitungstätigkeiten!

Schritt 3:

Beispiel Verfahrensverzeichnis vom LDA Bayern

Machen Sie eine Tabelle mit Ihren Verarbeitungstätigkeiten wie hier in dem Beispiel des LDA Bayern oder nutzen Sie das etwas umfangreichere Muster des LDI NRW.

Tragen Sie dort die Verarbeitungstätigkeiten ein bzw. füllen Sie die Vorlagen entsprechend aus

Ergebnis: Verzeichnis der Verarbeitungstätigkeiten nach Art 30 DSGVO

 

Nun, das war es auch schon. Für eine typischen Ein-Mann Betrieb dauert das höchstens 2-3 Stunden. Aber auch größere KMUs sollten mit dieser Anleitung schnell zum Ergebnis kommen!

 

Und was habe ich jetzt davon?

Natürlich haben Sie jetzt schon eine der großen Hürden für die DSGVO Konformität geschafft!

Und darüber hinaus haben Sie jetzt einen guten Überblick darüber wie Sie arbeiten (Geschäftsprozesse) und wie Ihre Geschäftsprozesse funktionieren! Damit habe Sie gleichzeitig eine erste Grundlage geschaffen um Ihre eigenen Geschäftsprozesse noch einmal zu überprüfen und vielleicht zu verbessern – heißt es doch „Wer aufhört, besser zu werden, hat aufgehört, gut zu sein.“ (Philip Rosenthal).

 

 

Einzelnachweise

  1. Auszug aus DS_GVO Art. 30 Abs. 1, Satz 1 DSGVO
  2. Auszug DS-GVO Art. 30, Abs. 5, Satz 1
  3. Auszug aus „Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO“, Abruf am 17.04.18 von www.ldi.nrw.de