Das Verzeichnis von Bearbeitungstätigkeiten ist nach der Revision des Schweizer Datenschutzgesetzes (DSG) gemäss Art. 12 obligatorisch geworden. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
Im Verzeichnis geht es um die Dokumentation sämtlicher Datenflüsse von Personendaten und deren Bearbeitungszwecke.
Auch ohne gesetzliche Notwendigkeit macht es Sinn in einem gewissen Masse die Bearbeitung von Personendaten aufzuführen und zu verwalten.
So haben Sie im Blick:
- Welche personenbezogenen Daten Sie bearbeiten.
- Welche Prozesse von der Bearbeitung personenbezogener Daten betroffen sind.
- Welche Daten in welchen Tools bearbeitet werden.
- Wer Zugriff auf die Daten und Verantwortung für die Daten hat.
Variante 1 - Kennzeichnung von Datenschutzrelevanten Prozesse
Eine einfache Möglichkeit die datenschutzrelevanten Prozesse auswerten zu können, ist es, diese mit einer Checkbox zu kennzeichnen. Im Bericht Prozesse mit Kenndaten lässt sich die Liste dann nach dieser Checkbox filtern.
Ergänzend dazu macht es Sinn, nicht nur die relevanten Prozesse zu identifizieren und zu kennzeichnen, sondern zusätzlich auch die im Prozess verwendeten Applikationen/Softwaretools anzugeben.
Mit dieser kleinen Ergänzung in den Prozess-Kenndaten können Sie bei Bedarf einfach herausfiltern, welche Prozesse datenschutzrelevant sind und welche Applikationen für die Bearbeitung verwendet werden.
Daraus ergibt sich noch kein Verzeichnis von Bearbeitungstätigkeiten, jedoch können Sie schnell relevante Prozesse herausfiltern und ggf. als Basis für ein manuell erstelltes Verzeichnis nutzen.
Zusätzlich werden auch Ihre Mitarbeitenden für das Thema Datenschutz sensibilisiert, wenn die relevanten Prozesse gekennzeichnet sind.
Variante 2 - Tabellarische Erfassung der Bearbeitungstätigkeiten und Verknüpfung mit Prozessen
Service über Support, kann standardisiert angelegt werden, ohne manuelle Konfiguration der Tabelle.
Über den QM-Pilot kann eine Stammdatentabelle mit allen notwendigen Feldern für das Verzeichnis von Bearbeitungstätigkeiten durch den QM-Pilot Support angelegt werden. Diese Stammdatentabelle orientiert sich an den Vorgaben des Schweizer DSG. Die in der Tabelle erfassten Bearbeitungstätigkeiten können dann über ein Kenndatenfeld mit den betroffenen Prozessen, in denen die Bearbeitungstätigkeiten durchgeführt werden, verknüpft werden. Folgende Daten werden im Verzeichnis erfasst:
In den Prozessen kann dann über eine Checkbox markiert werden, dass es sich um einen Prozess mit Verarbeitung von Personendaten handelt. Bei Bedarf kann die verwendete Applikation mit angegeben werden und zuletzt wird aus der Tabelle die Verarbeitungstätigkeit, die verknüpft, welche Bezug zum Prozess hat:
Dadurch müssen nicht alle Daten auf Prozessebene erfasst werden, jedoch kann trotzdem ein Bezug zwischen Prozessen und den erfassten Bearbeitungstätigkeiten hergestellt werden.
Variante 3 - Erfassung der Bearbeitungstätigkeiten im Prozess und automatischer Bericht Verzeichnis von Bearbeitungstätigkeiten
Service über Support, kann standardisiert angelegt werden, ohne manuelle Konfiguration der Felder.
Geht man davon aus, dass die beschriebenen Prozesse auch die Bearbeitungstätigkeiten von Personendaten abbilden, können alle relevanten Daten auch direkt im Prozess erfasst werden. Alle geforderten Informationen zur Applikation können in der Applikationstabelle ergänzt werden.
Schritt 1
Die Stammdatentabellen abfüllen:
- Datenkategorien (z.B. Name, Vorname, Geburtsdatum, Geschlecht usw.)
- Personenkategorien/Empfänger (z.B. Mitarbeitende, Kunden, Angehörige, Behörde)
- Zweck der Bearbeitung (z.B. Vertragserfüllung)
- Applikationen
Die Applikationstabelle wird ebenfalls um geforderte Daten erweitert:
Schritt 2
Im Prozess selbst kann dann auf diese Stammdaten zurückgegriffen werden, sodass fast alle datenschutzrelevanten Informationen über Stammdaten im Prozess angegeben werden können:
Schritt 3
Sofern alle Daten vollständig im System erfasst sind, steht ein zusätzlicher Bericht im System zur Verfügung, der die Prozessdaten, mit den Kenndaten und den Daten der verknüpften Applikationen zusammenführt und damit das Verzeichnis von Bearbeitungstätigkeiten darstellt:
Dieser Bericht geht über alle Versionen und muss je nach Bedarf gefiltert werden.
Welche Variante sich am besten eignet, hängt von den Anforderungen und dem Aufbau der Prozesse ab. Gerne unterstützen wir Sie hier bei der Entscheidung und Umsetzung.