DSGVO: Die Beschreibung von Verarbeitungstätigkeiten

Spätestens seit der Datenschutz-Grundverordnung (DSGVO) ist der Datenschutz an den Geschäftsprozessen orientiert.

Nur wer diese Prozesse kennt, weiß, wo wann wer wie und wozu personenbezogene Daten verarbeitet.

Das sieht auch der Gesetzgeber so. Daher müssen Verantwortliche ein Verzeichnis der Verarbeitungstätigkeit (VVT) führen.

Dieses VVT ist eine unendliche Geschichte, eine Aufgabe also, die nie komplett zu Ende gebracht sein wird. Denn Geschäftsprozesse unterliegen einer permanenten Veränderung. Und damit verändert sich ständig, wie und wozu ein Verantwortlicher personenbezogene Daten verarbeitet.

Es handelt sich damit um eine zentrale Aufgabe des Datenschutzes – nicht des Datenschutzbeauftragten! –, das VVT möglichst komplett zu führen.

In der Juni-Ausgabe der Datenschutz PRAXIS ging es bereits schon einmal um das Verzeichnis der Verarbeitungstätigkeiten.

Während wir uns hier v.a. erst einmal um die Kategorien von Prozessen bzw. Verarbeitungstätigkeiten gekümmert haben und um einen groben Überblick, wie Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter alle Beteiligten dazu bringen, die Informationen zusammenzutragen, die Sie für Ihre Arbeit benötigen, gehen wir jetzt mehr ins Detail (siehe Heft 06/19, S. 11–14).

Wer muss eine Verarbeitungsübersicht führen? Nahezu alle!

Die Einschränkung von Art. 30 Abs. 5 DSGVO, der Unternehmen oder Einrichtungen unter bestimmten Voraussetzungen davon befreit, ein VVT zu führen, ist in der Praxis nicht relevant.

Legt man das Schutzstufenmodell des früheren Düsseldorfer Kreises zugrunde, wonach ein Risiko schon ab der Schutzstufe „C“ vorliegt, und trägt man der Tatsache Rechnung, dass jeder Verantwortliche Beschäftigtendaten zu verarbeiten hat, dann ist in allen Fällen ein Risiko für die Rechte und Freiheiten der Beschäftigten zu erkennen.

Welche Prozesse sind zu erfassen? Nahezu alle!

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ (Art. 30 Abs. 1 Satz 1 DSGVO).

Damit sind sämtliche Prozesse (Verarbeitungstätigkeiten) zu erfassen, bei denen personenbezogene oder auf Personen beziehbare Daten verarbeitet werden, wo also mit den Daten etwas gemacht wird, das Art. 4 Ziff. 2 DSGVO aufführt.

Da die Aufzählung umfassend ist, ist kaum eine Tätigkeit denkbar, die nicht darunter fällt.

Wie viele Prozesse kann ein VVT enthalten?

Um wie viele Prozesse bzw. Verarbeitungstätigkeiten es sich am Ende handelt, hängt insbesondere von der Struktur und der Größe der Organisation ab.

Bei großen Einheiten können es leicht mehrere hundert Prozesse sein. Es kommt hier v.a. darauf an, wie die Organisation die Verarbeitungstätigkeit definiert und von anderen abgrenzt.

Schon nach altem Datenschutzrecht gab es Organisationen, die mehr als tausend „Verfahren“, wie die Verarbeitungstätigkeiten damals genannt wurden, beschrieben hatten.

Was ist ein Prozess / eine Verarbeitungstätigkeit?

Hauptmerkmal eines Prozesses ist die Tatsache, dass ein Arbeitsablauf oder Arbeitsschritt komplett bearbeitet wird. Jeder Prozess hat einen Auslöser, einen Ablauf und ein Prozessende.

Ein Beispiel verdeutlicht das. Ein Klassiker unter den Prozessen im Personalbereich ist das Führen der Personalakte.

Ausgelöst wird er, wenn ein Verantwortlicher einen Beschäftigten einstellt. Im Laufe der Zeit fügt die Personalabteilung der Akte Dokumente hinzu, eventuell entfernt sie einzelne Dokumente.

Scheidet die beschäftigte Person aus, wird die Personalakte bis zum Ende der Aufbewahrungsfrist aufbewahrt und dann ordnungsgemäß gelöscht oder geschreddert.

Prozess global oder im Einzelfall betrachten?

Betrachtet man den Prozess rein auf die Tätigkeit bezogen, dann führen Personaler die Personalakten vom ersten Auslöser für das Führen einer Personalakte bis zur Löschung respektive Vernichtung der letzten Personalakte der Organisation.

Die Beschreibung bezieht sich nicht auf den personalisierten Einzelfall, sondern auf den umfassenden Prozess.

Betrachtet man allerdings den Prozess im Zusammenhang mit der Person des oder der Beschäftigten, dann ist die Verarbeitungstätigkeit „Führen der Personalakte“ mit der Beschäftigungsdauer und der gesetzlichen oder prozessualen Aufbewahrungspflicht der Personalakte geknüpft.

Am Beispiel der einzelnen Person betrachtet, wird der Prozess v.a. aus Sicht des Datenschutzes mit seinen Persönlichkeits- und Freiheitsrechten anschaulicher.

Dennoch muss man auch in diesem Fall immer die Summe aller geführten Personalakten betrachten.

Denn wie es bei den Beschäftigungsverhältnissen Unterschiede gibt, gibt es sie auch bei den Personalakten, zumindest was Umfang, Einteilung und Art der Dokumente betrifft.

Wie die Prozesse ordnen?

Angesichts der Vielzahl der Tätigkeiten, die in einer modernen Organisation anfallen, muss erst einmal eine Ordnung in diese Prozesse / Verarbeitungstätigkeiten gebracht werden, die den dort beschäftigten Personen die Übersicht und damit die Arbeit erleichtert.

Hier bietet es sich zunächst an, sich an den Geschäftsbereichen im Unternehmen zu orientieren. Tut man das, gibt es eine bestimmte Zahl von Geschäftsbereichen – je nach Organisation des Unternehmens mehr oder weniger –, und für jeden Geschäftsbereich eine Vielzahl von Prozessen.

ACHTUNG: Bei der Sortierung der Prozesse gilt es zu bedenken, dass die Übersicht über die Verarbeitungstätigkeiten kein rein internes Dokument ist. Der Verantwortliche muss es auf Anforderung der Aufsichtsbehörde zur Verfügung stellen.

Sollte die Sortierung also Betriebs- oder Geschäftsgeheimnisse offenbaren, müssen diese Prozesse weiter oder enger gefasst werden.

Dann ist zwar der Prozess als Ganzes noch bezeichnet und beschrieben, allerdings nicht in der Granularität, die unerlaubte Einblicke in geheim zu haltende Geschäftsprozesse gibt.

Übersicht über die Bereiche der Prozesse / Verarbeitungstätigkeiten

Der Vorschlag, den wir in der Folge vorstellen, ist KEIN allgemein gültiges Muster, sondern ist gegebenenfalls an die besondere Ablauforganisation des Unternehmens anzupassen!

1. Bürokommunikation / Office-Anwendungen
2. Verträge, Rechnungswesen
3. Kundendaten, Kundengewinnung
4. Aufträge, Service-Aufträge
5. Logistik, Versand
6. Personaldaten
   • Personalverwaltung
   • Lohnabrechnung,
     Beschäftigtenrechte
   • Bewerbungen
   • Beschäftigtenvertretung,
     Mitbestimmungsrechte
   • Kontrollen von Beschäftigten
     und Externen
   • Besondere Personaldaten
     in Spezialfällen
7. Einkauf, Lieferanten, Dienstleister
8. Entwicklungs- und Produktionsprozesse
9. IT und TK
   • IT und TK – Administration
     durch Dritte
   • IT und TK – eigene Administration
   • IT und TK – Administration für Dritte
   • Internet of Things (IoT)
10. Hausverwaltung, Betriebsmittelverwaltung, Objektsicherung
11. Branchen- oder unternehmensspezifische Prozesse

Abschnitt 1: Office-Prozesse

Am Anfang der Übersicht über die datenschutzrelevanten Prozesse bzw. Verarbeitungstätigkeiten steht ein Bereich, der wegen seiner umfassenden und übergreifenden Verwendung gern übersehen wird.

Tätigkeiten aus diesem Bereich sind nicht einem speziellen Geschäftsprozess zugeordnet und werden daher oft genau deswegen nicht beschrieben – möglicherweise in der irrigen Annahme, das sei schon an anderer Stelle geschehen.

Die Rede ist von Office-Anwendungen wie Word, Outlook, Excel usw. Dazu gehören aber auch Programme und Anwendungen, über die geschäftsrelevante Auswertungen und Reports laufen.

Abschnitt 2: Verträge

Teil 2 der Übersicht bildet Prozesse ab, die mit Verpflichtungen des Unternehmens Dritten gegenüber zu tun haben. Dabei handelt es sich in der Regel um Verträge.

Abschnitte 3–5: Kundendaten, Aufträge, Logistik, Versand

Die Verarbeitung von Kundendaten im CRM sowie die Kundengewinnung durch Marketing und z.B. Messebesuche inklusive der dazugehörigen Prozesse beschreibt Block 3.

Die Abarbeitung der erteilten Aufträge sowie dazugehörende Services bilden Teil 4 des VVT. Logistik und Versand sowie alle dazugehörenden Prozesse fasst Teil 5 zusammen.

Abschnitt 6: Personal

Einer der größten Blöcke vom Umfang her ist der Block 6, die Personaldaten. Die hier vorgeschlagene weitere Unterteilung in sechs Unterblöcke kann, muss aber nicht so übernommen werden. Sie hat sich jedoch in der Praxis bewährt.

Eine umfangreiche Gesetzgebung v.a. in Deutschland sorgt dafür, dass die Prozesse in diesem Block von Jahr zu Jahr mehr werden.

Abschnitte 7–10 und mögliche weitere Abschnitte

Im Block 7 dreht sich alles um die Beschaffung. Dort sind der Einkauf, die Lieferanten und andere Dienstleister mit ihren Prozessen erfasst.

Die Produktion samt Entwicklungsprozessen erfasst Block 8. Block 9 kümmert sich um die informationstechnischen Leistungen.

Dort gibt es dreierlei Sichtweisen:

• informationstechnische Systeme, die ein Auftragsverarbeiter administriert und wartet
• informationstechnische Systeme, bei denen Administration und Wartung im eigenen Haus geschehen
• Prozesse, die ein Unternehmen im Auftrag für Verantwortliche, also als Auftragnehmer erbringt

Neu hinzugekommen ist der Bereich des Internet of Things (IoT), der den vierten Bereich im Block 9 ausmacht.

Der 10. Blog schließlich ist durch Facility Management belegt. Kommen weitere branchentypische Prozesse hinzu, lassen sich dafür weitere Blöcke einfügen.

Prozesse Bürokommunikation / Office

Schauen wir uns nun exemplarisch den Block 1 im Detail an. Durch die Nähe zur Geschäftsleitung enthalten diese Prozesse neben sensiblen personenbezogenen Daten oft vertrauliche Informationen. Sie sind somit auch für die Informationssicherheit interessant.

Das gilt besonders bei Prozessen wie Berichten und Auswertungen, Dokumentenmanagementsystemen, Reports usw.

Eine der wichtigsten Untergruppen der Verarbeitungstätigkeiten im Bereich Bürokommunikation ist Office 365.

Zum einen weil die Erfahrung lehrt, dass diese Prozesse derzeit aus Sicht des Datenschutzes so gut wie gar nicht beschrieben sind. Zum anderen, weil Office 365 in immer mehr Unternehmen die Standardsoftware für den Informationsaustausch im Unternehmen ist.

Zugleich sei auf die zahlreichen Apps eingegangen, die Office 365 anbietet.

Der Prozess „Erstellen von Dokumenten“

Hierunter fallen alle Arbeitsschritte, bei denen Beschäftigte Dokumente im Büro oder im Home Office erstellen.

Da Office 365 zahlreiche Anwendungen („Apps“) anbietet, gehören u.a. folgende Apps in die Betrachtung:

• Erstellen von Dokumenten mit Word oder einem anderen Programm zur Textverarbeitung
• Erstellen von Excel-Tabellen oder einem anderen Programm zur Tabellenkalkulation
• Arbeiten mit Outlook oder einer anderen Groupware
• Arbeiten mit One Drive oder einer anderen Dokumenten-App
• Arbeiten mit One Note oder anderen Notiz-Apps
• Arbeiten mit Microsoft Booking oder einer anderen Terminzugriffs-App
• Nutzung von Sharepoint individualisiert
• Nutzung von Yammer oder einer anderen Messenger-App
• Nutzung von Planner oder einer anderen Team-Organisations-App
• Nutzung von My Analytics oder einer anderen Selbstorganisations-App
• Nutzung von Outlook Customer Manager oder einer anderen Kundenbeziehungs-App
• Arbeiten mit Microsoft PowerApps oder einer anderen App für Entwicklung und Nutzung von eigenen Business-Apps
• Arbeiten mit Microsoft Projekt oder einer anderen Business-App für Projektorganisation und Projektmanagement
• Nutzen von StaffHub oder einer anderen App für Support- und Servicekräfte, sofern nicht in MS Teams schon erfasst
• Arbeiten mit Microsoft Teams oder einer anderen App mit entsprechenden Aufgaben für die Kollaboration mit Kollegen oder Dritten
• Arbeiten mit MS Stream oder anderen Video-Apps wie Youtube
• Arbeiten mit Sway oder einer anderen App für interne Newsletter
• Nutzen von To-do oder einer anderen Organisations-App
• Arbeiten mit MS Visio oder einer anderen Flow-Chart-App oder Prozessdokumentations-App
• Arbeiten mit MS Whiteboard oder einer anderen App für Ideenorganisation (sofern nicht schon in Teams beschrieben)

Hier können sich je nach Unternehmen zahlreiche weitere Anwendungen finden.

ACHTUNG: Der Teufel steckt auch bei den Office-Apps im Detail. So lassen sich bei einigen Anwendungen beispielsweise Bilder der Beschäftigten einstellen. Nicht selten erwarten Unternehmen, dass alle Beschäftigten das auch tun.

Sind diese Bilder erst einmal vorhanden, lassen sie sich doch zusätzlich einfach für Zutrittsausweise verwenden, oder …?

Haben Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter auch ein Auge auf solche Dinge.

Personenbezogene Daten werden auch unabhängig von speziellen Aufgaben verarbeitet

Charakteristisch für die Prozesse / Verarbeitungstätigkeiten in diesem Segment ist, dass die Beschäftigten ganz selbstverständlich personenbezogene Daten verarbeiten und weitergeben, unabhängig von speziellen Abläufen.

Dazu gehören auch eigene Daten der Beschäftigten, v.a. wenn sie eine Anwendung, etwa den Outlook-Kalender, für andere aus dem Team oder der Arbeitsgruppe öffnen.

Über diese Tools lassen sich darüber hinaus rasch Leistungen ermitteln, beispielsweise die durchschnittliche Bearbeitungsdauer bei Apps wie Outlook Customer Manager oder Planner.

Diese Daten verarbeitet Office 365 generell in der Cloud, was eine entsprechende vertragliche Gestaltung erfordert.

Betriebsrat beteiligen!

Viele der Daten, die die Beschäftigten mit Office-Apps verarbeiten, können dazu dienen, Verhalten und Leistung zu kontrollieren.

Daher ist, falls vorhanden, die Beschäftigtenvertretung einzubinden.

Eine Beschreibung oder viele?

Natürlich ist es auch möglich, all diese Anwendungen in eine einzige Prozessbeschreibung bzw. Beschreibung der Verarbeitungstätigkeit hineinzunehmen. Zumal in vielen Fällen nicht alle Apps zum Einsatz kommen.

Hier lehrt allerdings die Erfahrung, dass eine solche Sammelbeschreibung rasch unübersichtlich wird. Außerdem geraten bei der Vielzahl der Punkte leicht einzelne Aspekte in Vergessenheit.

Darüber hinaus zeigt die Praxis, dass die Anwender diese Apps rasch selbst entdecken – selbst dann, wenn sie das Unternehmen gar nicht offiziell freigegeben hat.

Stellen Sie sich also darauf ein, dass Sie im Rahmen Ihrer Kontrolltätigkeit auch solche Apps finden werden.

Eine genauere Betrachtung aus Sicht von Datenschutz und Informationssicherheit zumindest für die wichtigsten dieser Anwendungen (Word, Excel, Outlook und Teams) ist für spätere Ausgaben schon eingeplant.

Eberhard Häcker