8. Oktober 2009 - Datenschutz-Kontrolle

Verfahrensverzeichnis: Darauf müssen Sie bei Datenschutz-Tools achten

Die Praxis zeigt, dass viele Unternehmen Schwierigkeiten bei der Erstellung von Verfahrensverzeichnissen und Verarbeitungsübersichten haben. Verschiedene Datenschutz-Tools bieten deshalb ihre Hilfe bei der Erstellung an. Wir zeigen Ihnen, auf welche Punkte Sie bei der Auswahl eines solchen Verfahrensverzeichnis-Tools achten sollten.

darauf-mussen-sie-bei-datenschutz-tools-achten.jpeg
Tools können Ihnen die Arbeit am Verfahrensverzeichnis erleichtern (Bild: Thinkstock)

Das Führen eines Verfahrensverzeichnisses ist nicht nur eine gesetzliche Verpflichtung, die in § 4g BDSG niedergelegt ist.

Wichtiges Instrument für Ihre Datenschutz-Kontrolle

Ein Verfahrensverzeichnis ist auch ein wichtiges Werkzeug für interne Datenschutz-Kontrollen und die Information von Dritten. So gibt ein Verfahrensverzeichnis insbesondere darüber Auskunft, welche personenbezogenen Daten unter Verwendung welcher automatisierten Verfahren auf welche Weise verarbeitet oder genutzt werden und welche Datenschutzmaßnahmen durchgeführt werden.

Dieser Anspruch macht aber die Erstellung und Pflege des Verfahrensverzeichnisses nicht gerade einfach.

Unterstützung bei Verfahrensverzeichnis

Sicherlich verwendet Ihr Unternehmen deshalb bereits ein Muster. Oder Ihr Unternehmen wünscht sich ein Software-Tool, das beim Führen des Verfahrensverzeichnisses unterstützt. Dann sollte dieses Tool aber eine echte Hilfe sein und keine Mehrbelastung. Auf Wunsch einiger Leserinnen und Leser haben wir deshalb eine Aufstellung wichtiger Anforderungen an Verfahrensverzeichnis-Tools vorgenommen.

Checkliste Anforderungen an Verfahrensverzeichnis-Tools

Anforderung Erfüllt Nicht erfüllt
Liste typischer Datenverarbeitungszwecke enthalten
Liste typischer Softwareanwendungen enthalten
Liste typischer Fachverfahren enthalten
Passende Datenverarbeitungszwecke, Softwareanwendungen und Fachverfahren lassen sich auswählen.
Fehlende Datenverarbeitungszwecke, Softwareanwendungen und Fachverfahren lassen sich ergänzen.
(Branchen-)typische Angaben wie betroffene Personengruppen, Datenkategorien, Löschfristen und Datenempfänger sind als Listen hinterlegt und erweiterbar.
Abfrage der notwendigen Informationen für Verfahrensverzeichnisse nach §4e BDSG
Abfrage Datensicherheitsmaßnahmen nach Anlage zu § 9 BDSG
Ausgabe des Verfahrensverzeichnisses in gewünschter Form möglich (HTML, Text, PDF)
Demo-Version für unverbindlichen Test
Passwortschutz
bei Bedarf Netzwerkfähigkeit
bei Bedarf Mandantenfähigkeit
Passende Systemvoraussetzungen
Support und Updates
Benutzerdokumentation und Online-Hilfe

Arbeitsunterstützung statt Mehrarbeit

Wie kann ein gutes Datenschutz-Tool bei der Erstellung eines Verfahrensverzeichnisses unterstützen, und was muss Ihr Unternehmen trotzdem leisten?

Für ein Verfahrensverzeichnis sollte man

  • zuerst einen Überblick zu allen Datenverarbeitungszwecken haben. Denn die Datenverarbeitungszwecke führen zu den jeweiligen automatisierten Verfahren.
  • eine Liste aller Fachverfahren und Softwareanwendungen aufstellen, die bei der Verarbeitung personenbezogener Daten genutzt werden.
  • eine Verknüpfung zwischen Fachverfahren, Softwareapplikation und Datenverarbeitungszwecken herstellen.
  • sodann die jeweils betroffenen Personengruppen und Datenkategorien feststellen.
  • mögliche Datenempfänger ermitteln.
  • die Löschfristen definieren.
  • geplante Datenübermittlungen an Drittstaaten festhalten.

Schritt für Schritt zum Verfahrensverzeichnis

Ein Datenschutz-Tool kann bei dieser Aufgabe helfen. Muss das Tool dazu jedoch erst mit einer Liste der Fachverfahren, Softwaresysteme, Datenverarbeitungszwecke, Personengruppen, Datenkategorien, Datenempfänger und Löschfristen gefüllt werden, können Sie auch einfache Excel-Tabellen dafür verwenden.

Ein hilfreiches Tool sollte also bereits vorbefüllt sein mit (branchen-)typischen Angaben, aus denen Sie auswählen können und die Sie entsprechend der tatsächlichen Unternehmenssituation zusammenstellen und ergänzen können.

Verzeichnisse in gewünschter Form ausgeben

Zudem sollte das Software-Tool nicht nur die für das Verfahrensverzeichnis notwendigen Informationen erfragen wie

  • Name und Anschrift der verantwortlichen Stelle,
  • Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung,
  • Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  • Regelfristen für die Löschung der Daten,
  • geplante Datenübermittlung in Drittstaaten,
  • Beschreibung der Sicherheitsmaßnahmen gemäß Anlage zu § 9 BDSG (mit zugriffsberechtigten Personen oder Kategorien von Personen).

Es sollte diese Daten auch in der notwendigen Form ausgeben, also zum Beispiel als HTML-Datei (für das Internet) oder als PDF-Datei (für Druck oder Versand).

Pflege des Verfahrensverzeichnisses nicht vergessen

Ein Verfahrensverzeichnis-Tool, das die in der Checkliste genannten Anforderungen erfüllt, ist eine wichtige Hilfe. Dennoch darf nicht in Vergessenheit geraten, dass die regelmäßige Pflege des Verfahrensverzeichnisses nicht von einem Tool übernommen werden kann, sondern dass die verantwortliche Stelle aktiv bleiben muss, um die Aktualität des Verzeichnisses zu sichern.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln