DSGVO: Alles über das Verarbeitungsverzeichnis

Pixabay
  • Drucken

Serie, Teil 2. Höchste Zeit, sich mit der europäischen Datenschutz-Grundverordnung zu beschäftigen, die am 25. Mai in Kraft tritt. Diese Woche geht es um das Dokumentieren der internen Datenflüsse nach den fünf klassischen W-Fragen.

Das Herzstück der Datenschutz-Grundverordnung, (DSGVO) ist das Verzeichnis der Verarbeitungstätigkeiten (VdV). Mit seiner Hilfe will die Datenschutzbehörde die internen Verarbeitungsvorgänge kontrollieren – und sie verhängt schmerzhaft hohe Strafen, wenn es fehlt (zur Höhe der Strafen siehe Folge 1).

Man ahnt es schon: Mit dem einmaligen Anlegen des VdV ist es nicht getan. Es entsteht nach einer Inventur aller Verarbeitungsvorgänge, wird schriftlich (besser elektronisch) erstellt, regelmäßig überprüft und angepasst. Mindestens einmal jährlich, so die Empfehlung, müssen die jeweiligen Auskunftgeber (z. B. die Abteilungsleiter) bestätigen, dass die Prozesse genau so ablaufen, wie sie dokumentiert wurden.

Damit das geschieht, braucht jedes Unternehmen zwingend eine Kontaktperson für das VdV (nicht zu verwechseln mit dem Datenschutzbeauftragten, der nur in bestimmten Fällen zu bestellen ist). Allenorts boomen derzeit einschlägige Schulungen für die Kontaktleute, von zweistündigen Workshops (z. B. WK) bis zu mehrtägigen Trainings (z. B. Wifi). Tipp: Keine Zeit mehr verlieren!

Was im Verzeichnis steht

Das Verzeichnis beantwortet die sechs klassischen W-Fragen:

Wer?

Wessen Daten verarbeiten wir? HR verarbeitet etwa Bewerber- und Mitarbeiterdaten, Marketing und Verkauf Interessenten- und Kundendaten, der Einkauf Lieferantendaten, die IT die Daten externer Dienstleister usw.

Warum?

Zu welchem Zweck wollen wir diese Daten? Nach dem Grundsatz der Zweckbindung brauchen Datensammlung, -verarbeitung, -speicherung und -weitergabe einen guten Grund, erläutert CMS-Partner Johannes Juranek. „Solche Gründe können die Vertragserfüllung, ein berechtigtes Interesse des Daten verarbeitenden Unternehmens, eine gesetzliche Vorschrift oder die Einwilligung des Betroffenen sein.“ Demnach darf ein Onlinehändler Namen, Adresse und Kreditkartennummer erfragen, nicht aber Geburtsdatum (um zu gratulieren) oder Hobbys (um Kaufvorschläge zu machen).

Welche?

Welche Daten erheben wir? Diese Frage wird in Verbindung mit dem Warum beantwortet. Bei HR sind das etwa Angaben zur Person von Bewerbern und Mitarbeitern (Name, Anschrift, Geburtsdatum, Versicherungsnummer), zum Beschäftigungsverhältnis (Voll-/Teilzeit, Dauer, Tätigkeit, Gehalt etc.). Bei Marketing und Verkauf sind das Firmen- und Kundennamen, Kundennummer, Kontaktdaten etc. Es gilt der Grundsatz der Datenminimierung (so wenig wie nötig).

Wie?

Ob Bewerberdatenbank oder Onlineshop – es muss dokumentiert werden, wie das Unternehmen zu den Daten kommt. Und ja, auch Visitkarten, die man auf Veranstaltungen sammelt, dürfen erfasst werden, sagt Juranek (mehr zur Einwilligung siehe Folge 1).

Wo?

Im VdV muss auch stehen, wo die Daten gespeichert sind, etwa in der Cloud, lokal oder beim Konzern. Daneben sind die Zugriffsrechte zu skizzieren, d. h., welche Mitarbeiter Zugang haben.

Wie lang?

Wie lang Daten aufbewahrt werden dürfen, hängt vom Zweck ab. Hier gilt der Grundsatz der Speicherbegrenzung (so kurz wie nötig). In der Praxis wirft das einige Fragen auf, etwa: Wie lang darf HR Bewerbungen evident halten? Hier ist die Datenschutzbehörde noch ein paar Antworten schuldig.

AUF EINEN BLICK

Der erste Teil der „Presse“-Serie zur europäischen Datenschutz-Grundverordnung (EU-DSGVO) beschäftigte sich vergangene Woche mit ihren Hintergründen und den Rechten, die Menschen nun an ihren personenbezogenen Daten bekommen. Diese Woche geht es um das Herzstück für Unternehmen: das Verzeichnis der Verarbeitungstätigkeiten (VdV), das ab 25. Mai zu führen ist. Die komplette Serie ist nachzulesen unter www.diepresse.com/karriere.

("Die Presse", Print-Ausgabe, 10.02.2018)

Lesen Sie mehr zu diesen Themen:

Mehr erfahren

Karriere-News

Datenschutz: Massiver Anstieg bei Beschwerden wegen DSGVO

Die Datenschutzbehörde behandelte 2018 zehn Mal so viele Fälle wie im Jahr davor. Die Hälfte blieb liegen.
Karriere-News

DSGVO: Pragmatismus statt Aufregung

Österreichs Unternehmen sind beim Thema Datenschutz überwiegend auf gutem Weg.
Karriere-News

Erweiterte Informationspflichten für Pensionskassen

FMA fordert transparentere betriebliche Altersvorsorge.
Karriere-News

Ist der gläserne der gesündere Mensch?

Kongress in Stegersbach thematisiert Digitalisierung.
Karriere-News

Mitarbeiter geht: Müssen Daten gelöscht werden?

Recht. Die Datenschutzgrundverordnung betrifft auch die Personalisten: Sie müssen wissen, wie sie mit den Daten scheidender Mitarbeiter und abgelehnter Bewerber umgehen. Und dass sie einen „Löschplan“ erstellen sollten.

Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.