Sowohl die DSGVO als auch die Norm ISO 27701 sehen das Führen von Verarbeitungsverzeichnissen vor. Die ISO 27701 spricht dabei von einem Inventar oder einer Liste der PII-Verarbeitungstätigkeiten, die sinngemäß mit einem Verzeichnis der Verarbeitungstätigkeiten i.S.d. DSGVO gleichgesetzt werden kann. Dieser Artikel ist Teil unserer Reihe zur „Datenschutz-Zertifizierung nach ISO 27701“.
Der Inhalt im Überblick
Welche Vorgaben macht die DSGVO im Bereich der Verzeichnisse von Verarbeitungstätigkeiten?
Um personenbezogene Daten nach Maßgaben der DSGVO schützen zu können, muss ein Unternehmen zunächst ermitteln, in welchen Fällen personenbezogene Daten – z.B. von Kunden, Lieferanten oder Beschäftigten – erhoben und verarbeitet werden. Das heißt, das Unternehmen muss eine Übersicht über alle Datenverarbeitungsvorgänge erstellen und stets aktuell halten. Die DSGVO spricht hier von Verzeichnissen von Verarbeitungstätigkeiten.
Verzeichnissen von Verarbeitungstätigkeiten i.S.d Art. 30 Abs. 1 DSGVO
Ein Verzeichnis der Verarbeitungstätigkeiten wird in der Praxis in der Regel aus vielen verschiedenen Einzelverzeichnissen bestehen. So sollte für jedes Tool bzw. System (z.B. Zeiterfassungssystem, CRM-System, Bewerbertool, HR-Managementtool, etc.) ein eigenes Verzeichnis der Verarbeitungstätigkeiten erstellt werden.
Mittlerweile gibt es auf dem Markt diverse Datenschutzmanagement-Tools, die – mal mehr mal weniger – dazu geeignet sind, die Verarbeitungsverzeichnisse umfassend zu dokumentieren.
Die Verarbeitungsverzeichnisse haben folgende wesentlichen Informationen zu Datenverarbeitungstätigkeiten zu enthalten:
- Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- Name des Verfahrens;
- Angaben zum Zweck der Verarbeitung;
- Beschreibung der Kategorien der personenbezogenen Daten und der betroffenen Personen; Dabei ist empfehlenswert hervorzuheben, ob besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO verarbeitet werden;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 UAbs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Auch wenn nicht in Art. 30 DSGVO ausdrücklich verlangt, ist es sinnvoll, einige Zusatzinformationen in das Verarbeitungsverzeichnis aufzunehmen, um im Zweifelsfalle die Rechtmäßigkeit der Verarbeitung nachweisen zu können. Art. 5 DSGVO schreibt folgende Grundsätze für die Datenverarbeitung vor, die von Unternehmen einzuhalten und nachzuweisen sind:
- Rechtmäßigkeit
- Transparenz
- Zweckbindung
- Datenminimierung/-sparsamkeit
- Richtigkeit
- Speicherbegrenzung (Löschung/Sperrung)
- Integrität und Vertraulichkeit
- Rechenschaftspflicht (Dokumentation)
Daher ist es ratsam, in die Verarbeitungsverzeichnisse zumindest noch folgende Angaben aufzunehmen:
- Art. 5 Abs. 1 lit. a), Art. 6 DSGVO: Rechtsgrundlage der Datenverarbeitung
- Art. 35 DSGVO: Erforderlichkeit einer Datenschutz-Folgenabschätzung (DSFA)
Verzeichnissen von Verarbeitungstätigkeiten i.S.d Art. 30 Abs. 2 DSGVO
Agiert ein Unternehmen auf dem Markt als Auftragsverarbeiter, so hat es für Verarbeitungstätigkeiten, die im Auftrag von Verantwortlichen durchgeführt werden, Verarbeitungsverzeichnisse i.S.d. Art. 30 Abs. 2 DSGVO bereitzuhalten. Diese Verarbeitungsverzeichnisse müssen folgende Inhalte dokumentieren:
- Den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
- Die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation sowie die Dokumentierung geeigneter Garantien für den Datenschutz;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.
Weitere Hinweise zur Erstellung von Verarbeitungsverzeihnissen finden Sie in unserem Beitrag Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung. Für einen tieferen Einstieg bietet sich daneben auch die GDD-Praxishilfe sowie der Bitkom Leitfaden zum Verzeichnis von Verarbeitungstätigkeiten an.
Welche Vorgaben hat die ISO 27701 im Bereich Verarbeitungsverzeichnisse?
Anforderungen an PII-Beauftragten (Verantwortlicher)
Kapitel 7.2 der ISO 27701 enthält die Anforderungen an die Erhebung und Verarbeitung von personenbezogenen Daten. Das Ziel der Maßnahmen aus diesem Kapitel ist es, dass der PII-Verarbeiter bestimmt und dokumentiert, dass die Verarbeitung von personenbezogenen Daten aufgrund einer rechtlichen Grundlage nach den geltenden Rechtssystemen und mit klar definierten und legitimen Zwecken erfolgt. Für eine solche Dokumentation bieten sich die Verarbeitungsverzeichnisse im Sinne des Art. 30 DSGVO an.
Eine der Maßnahmen ist (ISO 27701, Kapitel 7.2.8), dass der PII-Beauftragte die notwendigen Aufzeichnungen zur Unterstützung seiner Verpflichtungen für die Verarbeitung von personenbezogenen Daten festlegen und sicher aufbewahren muss. In der Anleitung zur Umsetzung dieser Maßnahme wird als eine Möglichkeit für die Aufzeichnung der Verarbeitung von personenbezogenen Daten ein Inventar oder eine Liste der PII-Verarbeitungstätigkeiten genannt. Solch ein Inventar kann Folgendes umfassen:
- die Art der Verarbeitung;
- den Zweck für die Verarbeitung;
- eine Beschreibung der Kategorien von personenbezogenen Daten und betroffenen Personen (z. Kinder);
- die Kategorien von Empfängern, denen personenbezogene Daten offengelegt wurden oder werden, einschließlich der Empfänger in Drittländern oder internationalen Organisationen;
- eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen und
- einen Bericht zur Datenschutz-Folgenabschätzung.
Hier merkt der aufmerksame Leser eine verblüffende Ähnlichkeit zu den Regelungen aus Art. 30 DSGVO.
Anforderungen an PII-Verarbeiter (Auftragsverarbeiter)
Die ISO 27701 sieht – wie auch die DSGVO – für die Auftragsverarbeiter eine gesonderte Regelung vor. In Kapitel 8.2.6 ISO 27701 wird folgendes vorgeschrieben:
„Die Organisation sollte die notwendigen Aufzeichnungen zum Nachweis der Einhaltung ihrer Verpflichtungen (wie im anwendbaren Vertrag festgelegt) für die Verarbeitung von personenbezogenen Daten, die im Namen eines Kunden durchgeführt wird, festlegen und führen.“
In der Anleitung zur Umsetzung dieser Maßnahme wird sodann darauf hingewiesen, dass einige Rechtssysteme von der Organisation verlangen können, Informationen aufzuzeichnen, wie z.B.
- Kategorien von Verarbeitungen, die im Namen der einzelnen Kunden durchgeführt werden;
- Übertragungen an Drittländer oder internationale Organisationen und
- eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
Auch hier sind Parallelen zu Art. 30 Abs. 2 DSGVO zu erkennen.
Kann der Prozess Verarbeitungsverzeichnisse in das bestehende ISMS integriert werden?
Zu überlegen wäre, ob das Unternehmen die Verarbeitungsverzeichnisse im Sinne der DSGVO in die Tabelle bzw. in die Datenbank der Informationswerte aufnimmt. Sollte eine Integration von Verarbeitungsverzeichnissen die Tabelle bzw. die Datenbank der Informationswerte zum „Explodieren“ bringen, d.h. die Dokumentation wird insgesamt zu unübersichtlich, empfiehlt es sich im Unternehmen einen eigenständigen Prozess für die Führung von Verarbeitungsverzeichnissen zu etablieren.
In diesem Prozess müssen im ersten Schritt alle Verarbeitungsvorgänge der personenbezogenen Daten im Unternehmen identifiziert und bestimmten Personen als Verantwortliche zugewiesen werden. Im zweiten Schritt müssen pro Verarbeitungstätigkeit die von Art. 30 DSGVO und ISO 27701, Kapitel 7.2.8 vorgesehenen Angaben dokumentiert werden. Im Anschluss muss das Unternehmen dafür sorgen, dass die Dokumentation der Verarbeitungstätigkeiten immer aktuell ist.
In unserem nächsten Blogbeitrag der Reihe „Datenschutz-Zertifizierung nach ISO 27701“ beschäftigen wir uns mit dem Thema „Datenschutz-Folgenabschätzung (DSFA)“.