Der Prozess der Dokumentation und Aufrechterhaltung der DSGVO (BDSG, GDPR) Compliance ist ein kontinuierlicher Zyklus mehrerer Aktivitäten:
Dies ist eine kurze Übersicht über wichtige Aktivitäten, und ein Datenschutzspezialist kann viele andere datenschutz- und compliancebezogene Aufgaben übernehmen, die hier nicht erwähnt werden: Anfragen von betroffenen Personen, Datenschutz-Folgenabschätzungen, Bewertungen des berechtigten Interesses, Bewertungen der Auswirkungen von Übertragungen, interne Überprüfungen neuer Systeme und manueller Prozesse, interne Schulungen und Beratungen und viele andere. Aber lassen Sie uns die Grundlagen betrachten.
Entdeckung
Es beginnt mit der Entdeckung. Sie müssen den Verdacht haben, dass bestimmte Verarbeitungstätigkeiten von Ihrem Unternehmen durchgeführt werden. Das kann in einem kleinen Unternehmen einfach sein und in einem größeren und verteilten Konzern sehr schwierig. Als Datenschutzspezialist, der typischerweise extern zu den meisten Prozessverantwortlichen ist, müssen Sie den Verdacht haben, dass jemand eine Verarbeitungstätigkeit innerhalb des Unternehmens besitzt, diesen Verantwortlichen finden und einen Anruf vereinbaren.
Sie könnten bestimmte Aktivitäten vermuten (Verkauf, Marketing, Personalwesen, Lohnabrechnung), aber Sie könnten auch viele spezifische oder interne Aktivitäten entdecken. Oft werden Sie eine Karte von Aktivitäten und Datenflüssen entdecken, die zuvor nicht existierten.
Die IT-Abteilung ist oft über die Mehrheit der automatischen Prozesse informiert, auch wenn sie diese nicht besitzen oder betreiben. Manuelle Prozesse können schwieriger zu entdecken sein, daher müssen Sie während des Interviews proaktiv sein, um schließlich herauszufinden, was jeder tut.
Befragung
In der Regel basiert die Dokumentation zur DSGVO-Konformität auf Interviews: Sie fragen die Prozessverantwortlichen (oder wer auch immer sachkundig ist) nach den Einzelheiten jedes spezifischen Prozesses und halten die Antworten schriftlich fest. Es wird erwartet (und allgemein akzeptiert), dass Computersysteme das tun, was ihre Eigentümer glauben, dass sie tun, und dass menschliche Kollegen das tun, was sie tun sollen. Sie müssen Maßnahmen ergreifen, wenn Sie den Verdacht haben, dass diese Annahme nicht mehr gültig ist. Zum Beispiel, wenn Menschen inkonsistente Geschichten über bestimmte Prozesse erzählen oder wenn Sie den Prozess selbst beobachten können.
Ein Interview ist typischerweise einer einzelnen Verarbeitungstätigkeit (oder einigen eng verwandten Tätigkeiten) gewidmet. Oft haben Sie zwei verschiedene Kollegen: jemanden, der für die Tätigkeit verantwortlich ist, und jemand anderen, der sie in allen Einzelheiten kennt. Sie möchten möglicherweise ihre Namen in den Feldern 'Verantwortliche Person' und 'Kontaktperson' in den Verzeichnissen der Verarbeitungstätigkeiten in PrivacyDocs festhalten.
Prozessverantwortliche sind oft nicht in der Lage, Ihnen das Bild zu geben, das Sie benötigen. Zum Beispiel kann ein IT-System viele verschiedene Prozesse bedienen, und die an den Prozessen beteiligten Personen sind sich möglicherweise nicht der Einzelheiten bewusst, wie die Daten in das System eingespeist werden, welche Sicherheitsmaßnahmen gelten, wie lange die Daten aufbewahrt werden, welche Informationen den betroffenen Personen bereitgestellt werden usw. Es ist auch üblich, dass die Rechtsabteilung alle Verträge verwaltet und die für einen Prozess verantwortlichen Personen innerhalb eines Unternehmens keine Kopie davon haben.
Verzeichnis von Verarbeitungstätigkeiten
PrivacyDocs Unterstützung
Aufzeichnungen über Verarbeitungstätigkeiten als Verantwortlicher sind standardmäßig geöffnet. Sie können zurückschalten, indem Sie die Schaltfläche 'Verantwortlicher Verarbeitung' in der oberen linken Ecke des Bildschirms drücken:
Ziel der Interviews ist es, die Verzeichnisse der Verarbeitungstätigkeiten auszufüllen und neue Aktivitäten, die während der Interviews entdeckt werden, vorläufig einzutragen.
Eine Stunde ist oft nicht genug für das erste Interview, und Nachverfolgungen können erforderlich sein. (Jährliche) Überprüfungen sind in der Regel viel kürzer und entwickeln sich schließlich zu schnellen E-Mail-Austauschen: 'Hat sich etwas geändert?'
Das Teilen des PrivacyDocs-Bildschirms mit dem betreffenden Datensatz während eines Interviews hilft Ihren Kollegen, ihn besser zu verstehen und sich einzubringen. Sie können den endgültigen Zustand des Datensatzes nach dem Interview mit den Stakeholdern teilen, um zu bestätigen und Missverständnisse zu vermeiden.
PrivacyDocs Unterstützung
Teilen Sie den aktuellen Stand des Dokuments, indem Sie es per E-Mail senden (Taste 'Team'):
. Sie können auch Ihre Kollegen einladen, den Datensatz direkt auf PrivacyDocs anzusehen (Schaltfläche 'Kundeneinstellungen'):
Verträge
Die Festlegung der rechtlichen Grundlage für jede Aktivität ist eine separate Aufgabe, da sie während der Interviews oft nicht sofort verfügbar ist. Folgende Situationen treten häufig auf:
- Verarbeitung auf Grundlage eines Vertrags, wie z.B. eines Arbeitsvertrags oder eines Verkaufsvertrags. Als Datenschutzbeauftragter müssen Sie den Vertrag finden, wie er von den betroffenen Personen (Einzelpersonen) unterzeichnet wurde, alle Varianten der Verträge sammeln und diese bewerten, um sicherzustellen, dass das, was vereinbart wurde, mit dem übereinstimmt, was in Ihrer Compliance-Dokumentation dokumentiert ist. Diese Verträge können von anderen Abteilungen verwaltet werden, nur elektronisch existieren oder aus verschiedenen rechtlichen Dokumenten bestehen. Verweise auf die Verträge und deren Texte werden dann in die entsprechenden Felder von PrivacyDocs eingegeben.
- Verarbeitung basierend auf berechtigtem Interesse. Laut der DSGVO müssen Sie ein berechtigtes Interesse 'feststellen', indem Sie eine Bewertung des berechtigten Interesses durchführen. Ein reiner Glaube, dass das Unternehmen das Recht hat, eine bestimmte Verarbeitungstätigkeit durchzuführen, reicht nicht aus, um konform zu sein. PrivacyDocs bietet ein spezialisiertes Formular an, das Sie ausfüllen können. Dabei könnten Sie feststellen, dass das Unternehmen tatsächlich kein 'berechtigtes' Interesse an der Durchführung der Verarbeitung hat oder dass die Verarbeitung aktualisiert werden muss oder die damit verbundenen Risiken bewertet und verwaltet werden müssen.
- Die Verarbeitung auf Grundlage der Einwilligung erfordert typischerweise das Auffinden der genauen Texte, denen die Personen zustimmen. Diese Texte werden oft von den Vertriebs- oder Marketingsystemen bereitgestellt, sind nicht einheitlich und werden nicht wirklich als vertragliche Vereinbarungen verwaltet. Sie müssen in die entsprechenden Felder in PrivacyDocs eingegeben werden.
Richtlinien aktualisieren
PrivacyDocs Unterstützung
Erstellen Sie Richtliniendokumente mit der Schaltfläche 'Richtlinien':
Wenn ein Verarbeitungseintrag aktualisiert wird, sollten Sie die Richtlinien, Hinweise und Verträge überprüfen, in denen die betroffenen Personen über die Verarbeitung informiert werden oder zustimmen. Eine gut definierte Richtlinie oder ein Hinweis wäre ausreichend umfassend, um regelmäßige Aktualisierungen zu vermeiden. Es ist dennoch sinnvoll, sie zu überprüfen, um mit der restlichen Dokumentation zum Datenschutz synchron zu bleiben.
PrivacyDocs unterstützt die Erstellung dieser Dokumente mit den 'Richtlinie'-Schaltflächen in der Symbolleiste. Nach Abschluss Ihrer jährlichen Überprüfungsrunde können Sie die Richtlinien erneut generieren und sie mit den Versionen des Vorjahres vergleichen, indem Sie die Vergleichsfunktionen in Microsoft Word oder anderen Tools verwenden. So stellen Sie sicher, dass Ihre Richtliniendokumente auf dem neuesten Stand sind.
Verstöße untersuchen
Sie könnten persönliche Datenpannen registrieren und untersuchen, während sie auftreten. Normalerweise sollten kleine, risikoarme Pannen regelmäßig auftreten, und ein gut geführtes Register dieser Pannen ist das beste Zeichen für Ihre Einhaltung der Anforderungen zur Registrierung von Pannen gemäß der DSGVO (BDSG, GDPR).
Ein Verstoß würde typischerweise ein Risiko aufzeigen, das gemindert oder akzeptiert werden muss.
Risiken identifizieren und verwalten
Risiken können an drei Stellen identifiziert werden:
- Vorläufige Risikoidentifikation im Rahmen eines Verzeichnisses von Verarbeitungstätigkeiten (Feld 'Risiken')
- Datenschutz-Folgenabschätzung (Tabelle 'DFA - Datenschutz-Folgenabschätzungen')
- Bewertung von Verletzungen während der Verletzungsregistrierung
Die meisten Risiken führen zu einer Geschäftsentscheidung, die von der Akzeptanz der Risiken in ihrer aktuellen Form bis hin zur Änderung der die Risiken verursachenden Verarbeitungsaktivitäten reicht. Sie müssen diese Schritte dokumentieren, da sie Teil der Compliance-Dokumentation sind. Der Prozess der Reaktion auf ein Risiko kann einige Zeit in Anspruch nehmen, insbesondere wenn eine angemessene Reaktion eine wesentliche Änderung der Verarbeitung erfordert.
Entscheidungen dokumentieren
Dokumentation über Entscheidungsfindung ist Teil der Compliance-Dokumentation. Entsprechende E-Mails, Chat-Nachrichten und Zusammenfassungen von Gesprächen müssen gesammelt und jedem Risiko beigefügt werden. Sie sollten am besten in einem separaten Ordner gespeichert werden, der von PrivacyDocs verlinkt ist.
Arbeiten an Compliance-Lücken
Die DSGVO-Compliance ist immer ein fortlaufender Prozess. Etwas ist immer unvollständig: fehlende Dokumentationsbestandteile, Risiken, die gemindert werden müssen, usw. Diese Lücken und der fortlaufende Fortschritt des Unternehmens bei deren Abdeckung sollten in der Datenschutzdokumentation (oder Datenschutz Dokumentation) reflektiert werden.
Wir können Ihnen helfen
Wir können Ihnen helfen, die Interviews durchzuführen und Ihre Übersicht über die Verarbeitungstätigkeiten im Rahmen der PrivacyDocs DSGVO-Beratung zu erstellen.