32
SCHWERPUNKT
HOCHVERFÜGBARKEIT & IT-SICHERHEIT
MIDRANGE
MAGAZIN · 10/2017
die Einbindung an die Koordinatoren.
Ausgenommen sind alle vertraulichen
Anfragen, in denen die Rechte des Mit-
arbeiters selbst betroffen sind, und di-
rekte persönliche Anfragen betroffener
Personen an den DSB.
Als solche an den DSB zu melden-
den Vorgänge gelten insbesondere
(aber nicht ausschließlich):
ó
Beschwerden von Betroffenen (Mitar-
beiter, Kunden),
ó
Einführung neuer Systeme/Tools,
ó
Einsatz eines neuen Verarbeiters
(Dienstleister),
ó
Werbemaßnahmen (zum Beispiel Ver-
sand von Newslettern), Onlinemarke-
tingmaßnahmen (Google AdWords,
Conversion Tracking etc.),
ó
Einführung von neuen Systemen/
Tools, die der Mitarbeiterüberwa-
chung und -bewertung dienen.
ó
Auch Mitarbeiter- und Kundenbefra-
gungen können datenschutzrelevant
sein. Immer einbezogen werden sollte
der DSB, wenn es um Einwilligungen
zur Verarbeitung besonderer Katego-
rien personenbezogener Daten und
vor allem um Daten Nichtvolljähriger
geht.
Im Unternehmen sollte der Daten-
schutzbeauftragte die datenschutz-
rechtlich relevanten Sachverhalte de-
finieren und diese in die Datenschutz-
richtlinie aufnehmen lassen.
Diese Auflistung kann und muss
nicht abschließend sein, sondern soll-
te vor allem als Handlungshilfe für die
Mitarbeiter dienen und nachträglich
ergänzt werden können.
Die Verantwortung für den Daten-
schutz verbleibt immer beim Verant-
wortlichen – sie kann nicht an den DSB
delegiert werden, der zukünftig wohl
auch namentlich der Aufsichtsbehörde
gemeldet werden muss.
Verzeichnis von Verarbeitungstä-
tigkeiten
Um personenbezogene Daten, zum
Beispiel von Kunden, Lieferanten oder
Beschäftigten, nach den Maßgaben der
DS-GVO schützen zu können, muss das
verantwortliche Unternehmen ermit-
teln, in welchen Fällen diese verarbei-
tet werden. Zunächst bietet es sich an,
alle Systeme bzw. Tools im Unterneh-
men aufzulisten, in denen personen-
bezogene Daten gespeichert werden.
Eine solche Vorgehensweise ist aus
zweierlei Gründen sinnvoll: Zum einen
können dadurch die Datenflüsse im Un-
ternehmen ermittelt und definiert wer-
den. Zum anderen wird der Grundstein
für das Verzeichnis von Verarbeitungs-
tätigkeiten gelegt, zu dessen Führung
der Verantwortliche nach Art. 30 DS-
GVO verpflichtet ist. Künftig wird nicht
mehr zwischen internem und öffent-
lichem Verfahrensverzeichnis unter-
schieden, wie dies vom BDSG bekannt
ist. Das öffentliche Verfahrensverzeich-
nis entfällt. Im künftigen Verzeichnis
sind die wesentlichen Informationen
zu Datenverarbeitungstätigkeiten zu-
sammenzufassen, insbesondere die
Angaben zum Zweck der Verarbeitung,
sowie eine Beschreibung der Kategori-
en der Daten, der betroffenen Personen
und möglicher Empfänger vorzuneh-
men. Die neuen Verzeichnisse von Ver-
arbeitungstätigkeiten ähneln inhaltlich
den bisherigen internen Verfahrens-
verzeichnissen. Wer diese schon immer
gut gepflegt hat, ist im Vorteil.
Künftig sind umfassendere Aus-
künfte an Betroffene zu erteilen. Wenn
keine anderen Auskunftssysteme ver-
fügbar sind, wird das Verzeichnis zu-
meist Grund für die Auskunft sein.
Um Unübersichtlichkeit zu vermei-
den, sollten nicht alle Verarbeitungs-
tätigkeiten in ein einzelnes Dokument
gepackt werden Das Verzeichnis sollte
daher in der Praxis aus verschiede-
nen Einzeldokumenten bestehen. So
kann zum Beispiel für jedes Tool bzw.
System (zum Beispiel Zeiterfassungs-
system, CRM-System, Bewerber-Tool,
HR-Management-Tool etc.) ein eigenes
beschreibendes Dokument zur Verar-
beitungstätigkeit erstellt werden.
Dieser Artikel wird Ihnen in Zusam-
menarbeit von Raz-Lee Security GmbH
und dem Datenschutzbeauftragten Jür-
gen Hartz präsentiert.
ó
Raz-Lee Security ist ein führender internatio-
naler Anbieter von Sicherheits‑, Auditing- und
Compliance-Lösungen (SOX, PCI, HIPAA etc.)
für die IBM i. Zu den Raz-Lee-Kunden zählen
Unternehmen aller Größen, von KMUs bis zu
Unternehmen mit hunderten von Systemen,
in allen vertikalen Märkten und Branchen. Fi-
nanzinstitute wie Banken und Versicherungen
sind besonders zahlreich unter der Raz-Lee-
Klientel vertreten.
ZUM UNTERNEHMEN
Grecaud Paul, fotolia.com
