Keine Zeit für ein Verarbeitungsverzeichnis nach DSGVO? Tipps für eine schnelle Notlösung in „dreckig“

Datenschutz

Ja, auch bei meinen Mandanten tun sich die meisten (und auch ich) mich schwer – mit der Erstellung des Verarbeitungsverzeichnisses.

Schon früher haben alle – seid ehrlich – die Verfahrensverzeichnisse nach BDSG gehasst. Eine große Liebe wird das mit dem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO bei denen, die es da draußen machen müssen, auch nicht – zumindest sieht es derzeit nicht so aus.

Dabei könnte es so schön sein. Stellt euch mal vor, ihr sollt im Unternehmen (oder der öffentlichen Stelle) die Datenschutzprozesse im Griff haben. Und ja…das müsst ihr sogar. Schaut dazu einfach mal in Art. 24 Abs. 1 DSGVO und werft dann noch einen Blick in Art. 5 Abs. 2 DSGVO. Bloß…wie soll man denn bitte schön da einen Überblick haben. Ja, genau dafür bietet sich halt so ein Verarbeitungsverzeichnis an. Das ist für diesen Überblick und auch für die weitere Planung von Maßnahmen sogar ideal, wenn ihr das Verarbeitungsverzeichnis neben den in Art. 30 Abs. 1 DSGVO genannten Angaben um ein paar weitere Angaben aufbohrt.

Ich kann euch übrigens nur dringend empfehlen, eine tabellarische Gesamtliste für das Verarbeitungsverzeichnis zu verwenden bzw. ein Tool zu benutzen, das in der Lage ist, so eine Tabelle als Gesamtübersicht zu erstellen. Warum? Ihr habt dann ein mächtiges „Dashboard“ – so eine Art Kommandozentrale oder meinetwegen auch Navigationsübersicht. Ihr seht sehr schnell (auf einen Blick wäre übertrieben), welche Verarbeitungen ihr habt, wie diese ggf. miteinander zusammenhängen. Und ihr könnt auf der Basis z.B. gute Maßnahmenpläne entwickeln, als Datenschutzbeauftragte/r Kontrollaufgaben planen, Dienstleisterprüfungen initiieren und habt, wenn ihr die Tabelle um eine Spalte der Rechtsgrundlage ergänzt eine wunderbare Übersicht darüber, wo ihr ggf. Extra-Hinweise in euren Datenschutzhinweisen benötigt, z.B. wenn ihr personenbezogene Daten auf Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO verwendet. Denn dann müssen sich in euren Datenschutzhinweisen auch Angaben zu eurem „Interesse“ wiederfinden (Art. 13 Abs. 1 lit. d) DSGVO, Art. 14 Abs. 2 lit. b) DSGVO).

Natürlich ist so ein Verarbeitungsverzeichnis nur dann ein mächtiges „Dashboard“, wenn die Verarbeitungen in diesem Verzeichnis eine gewisse Differenzierung erreicht haben. Was meine ich damit? Stellt euch mal vor, ihr arbeitet in der Personalabteilung:

Findet in der Personalabteilung eine Verarbeitung von personenbezogenen Daten statt? Yep! Sind das mehrere Verarbeitungsprozesse, die in der Personalabteilung stattfinden? Na klar. Das fängt mit dem Bewerbermanagement an. Auch hier gibt es schon unterschiedliche Prozesse. Zum Beispiel kann es verschiedene Prozesse für Initiativbewerbungen oder für Bewerbungen auf Stellenausschreibungen geben. Und letzteres kann ggf. auch noch einmal differenziert nach z.B. der jeweiligen Jobbörse unterschieden werden. Dann gibt es ggf. einen Prozess für ein „Active Sourcing“, für das Auswahlverfahren, einen für ein ausgelagertes Assessment, dann noch einen für den Bewerberdatenpool, den man führt. Und so geht es weiter mit dem Führen der Personalakte, dem betrieblichen Eingliederungsmanagement, der Förderung von Qualifizierung und deren Aufrechterhaltung bis hin zur betrieblichen Altersversorgung.

Da kommen schnell mal 30 Prozesse (oder mehr) zusammen.

Und die große Frage für das Verarbeitungsverzeichnis ist jetzt:

Sind alle diese o.g. Detailprozesse jeweils eine Verarbeitung, die in das Verarbeitungsverzeichnis kommen sollte?

Oder ist diesen Verarbeitungen nicht ein gemeinsamer Zweck oder ein Bündel von Zwecken gemein, dass sich als eine Verarbeitung in Form der „Personaldatenverarbeitung“ bezeichnen ließe?

Und genau das ist nicht klar. Die wohl h.M. liest aus Art. 30 DSGVO heraus, dass das Verarbeitungsverzeichnis feingranular oder differenziert diese Verarbeitungen unterscheiden sollte. Wirklich gut begründet wird dies m.E. nicht. Natürlich macht es Sinn, das so zu tun. Und ich bin ein großer Fan von diesem Ansatz, weil er praktisch extrem hilfreich und ein mächtiges Tool (s.o.) für die Bewältigung von Datenschutz sein kann.

Aber: Nur weil es sinnvoll ist, heißt dies nicht, dass es auch direkt aus den gesetzlichen Anforderungen abzuleiten ist.

Und wenn wir mal genau hinschauen, gibt Art. 30 Abs. 1 DSGVO weder dem Wortlaut, noch nach Anwendung weiterer Auslegungsmethoden hier eine Antwort, ob so eine detaillierte Auflistung wirklich erforderlich ist.

Und jetzt kommen wir mal zu dem eigentlichen Thema dieses Beitrages. Denn diese Unklarheit nutzen wir jetzt mal. Und so möchte ich euch nun einen Vorschlag unterbreiten, wie ihr aus einem Haufen – mit Verlaub – „Shiet“ (wie wir in Norddeutschland sagen, dazu illustrativ: „Hansens Platt“) eine schöne, gutschmeckende Schokocreme machen können.

Früher hatte ich mal auf einer Datenschutzschulungs-Folie stehen:

Das war natürlich etwas prägnanter. Und das ist natürlich eine Meinungsäußerung gewesen. Und das war 2010 (!).

Aber es geht jetzt genau darum. Wir machen aus „Shiet“ etwas „Gutes“. Diesem Ansatz liegt natürlich erst einmal zugrunde, das wir mit „Shiet“ anfangen. Und dieser Zustand von „Shiet“ kann ggf. auch etwas länger anhalten. „Shiet“ hat aber auch seinen Charme. Denn mit „Shiet“ werdet ihr am 25.05.2018 einen Zustand haben, bei dem man nicht zwingend zu dem Ergebnis kommen kann, dass ihr die Voraussetzungen für ein Verzeichnis von Verarbeitungen nicht erfüllt. Dieser „Shiet“-Ansatz verschafft euch somit auch etwas Zeit, um dann den Prozess zu starten, nach und nach aus diesem „Shiet“ etwas schönes und leckeres zu machen. Und das, liebe Leser, ist Qualitätsmanagement in Reinkultur. Denn das ist schlichtweg der kontinuierliche Verbesserungsprozess. Der besagt nämlich, dass man von einem Zustand, der vielleicht nicht optimal (aber eben ein „Zustand“) ist, sich auf die Reise begibt. Auf die Reise hin zu einem „Besseren“. Und dieses „Bessere“ ist dann hoffentlich irgendwann ein „Optimal-Zustand“. Sozusagen ein „Verarbeitungsverzeichnis in richtig“. Wobei „richtig“ hier nicht im Sinne von „rechtskonform“ zu verstehen ist. Denn da wird man wohl mit wesentlich weniger auskommen.

Und wie kommt man jetzt zu dem ersten Minimal-Shiet-Zustand? Ja, das kann z.B. so gehen:

Das Verarbeitungsverzeichnis in DRECKIG – Das Video

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.