II Verarbeitungsverzeichnis
An dieser Stelle ein ausdrücklicher Hinweis. Ich weiche hier von den Vorstellungen der herrschenden Ansicht (so nennt man die Mehrheit der publizierenden Juristen) ab. Die DSGVO besagt, daß der Verantwortliche ein Verarbeitungsverzeichnis zu erstellen hat. Hinter diesem Begriff verbirgt sich ein Dokument, das den Istzustand der Datenverarbeitung erfaßt. Nach einer bestimmten Matrix sollen Verarbeitungsvorgänge erfasst werden, z.B. welche Daten von welchen Menschen wohin geleitet werden. Diese Pflicht zu erfüllen, bedeutet viel Arbeit. Die wesentliche Neuerung der DSGVO besteht nicht darin, daß die Vorschriften wie mit personenbezogenen Daten umgegangen werden soll, wesentlich verschärft werden, sondern daß ein wirklich umfassender Dokumentationsaufwand betrieben werden muß. Falls Sie sich einmal mit einer ISO Zertifizierung nach 9000/9001 befasst haben, haben Sie eine gute Vorstellung von dem Umfang.
Die DSGVO sieht nun eine Ausnahme von dieser Dokumentationspflicht vor, wenn weniger als 250 Mitarbeiter vorhanden sind. Von dieser Ausnahme gibt es eine Ausnahme: Keine Befreiung von der Dokumentationspflicht soll gelten, wenn sich aus der Art der Verarbeitung besondere Risiken ergeben und/oder die Daten regelmäßig verarbeitet werden und/oder eine Verarbeitung von besonderen Datenkategorien nach Art 9 DSGVO erfolgt. Letzteres ist in Deutschland immer der Fall, wenn man Angestellte hat. Zu den besonderen Datenkategorien gehören Daten, die die Religionszugehörigkeit ausweisen. In Deutschland wird die Kirchensteuer über die Einkommenssteuer abgeführt, also gibt es immer dann keine Ausnahme, wenn man Angestellte hat. Und außerdem wird von dem Chor der Aufsichtsbehörden und der Datenschützer vorgetragen, daß aus jeder Verarbeitung eine besondere Risiken folgen würden. Dann aber wäre das Rätzel zu klären, warum die Grenze von 250 Mitarbeitern überhaupt eingeführt wurde.
Der Text der DSGVO sieht hier so aus:
Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Außerdem gibt es Erwägungsgründe der Verfasser der DSGVO, aus denen sich ergibt, daß man sich über die Kosten der Dokumentationspflicht genau bewusst war und man die Grenze von 250 Mitarbeitern eingeführt hat und nur in Ausnahmefällen die Ausnahme nicht gelten sollte.
Wir wissen, daß nicht nur Behörden das Recht machen und daß Behörden auch falsche Ansichten vertreten können. Bei uns gibt es eine Gewaltenteilung und das letzte Wort haben die Gerichte. Gerichtsentscheidungen über diesen Komplex wird es aber erst in Jahren geben.
Meine Ansicht ist: Verarbeitungsverzeichnisse sind in hohem Detailgrad herzustellen, wenn Prozesse betroffen sind, die nach außen gerichtet sind. Also bei der IT Supportanfragen, Remote Access, Webhosting, SaaS, in Projekten dann, wenn Echtdaten verarbeitet werden etc. Das liegt einfach darin begründet, daß hier gewerblich gearbeitet wird und man bei Prozessen, die nach aussen gerichtet sind, immer besonders sorgsam arbeiten sollte. Im Übrigen sollten unternehmensintern dann Verarbeitungsverzeichnisse erstellt werden, wenn sensible Daten betroffen sind, also z.B. im Rahmen der Personalbuchhaltung etc. Die technischen und organisatorischen Maßnahmekonzepte haben für diese Prozesse einen angemessenen Schutz zu bieten. Im Übrigen können Verarbeitungsverzeichnisse, die für interne Abläufe gelten, dann gröber erfasst werden, wenn gewährleistet ist, daß die Rechte der Betroffenen (also von Mitarbeitern, etc.) auf Auskunft etc. innerhalb der Regelfristen erfüllt werden können. Das erscheint mir als ein nach dem Gesetz möglicher und vertretbarer Mittelweg. Aber: Die Aufsichtsbehörden können hier anderer Ansicht sein und bis die entsprechenden Ordnungsgelder dann wieder zurück überwiesen werden, kann viel Zeit vergehen, weil die Gerichte vermutlich lange Zeit brauchen werden.
Dies vorweg geschickt müssen im zweiten Schritt Verarbeitungsverzeichnisse für die Supporttätigkeiten erstellt werden. Die BITKOM verfügt hier über sehr gute Formulare, die zu Recht über den Kerngehalt der gesetzlichen Anforderung hinausgehen (weil man die Rechte der Betroffenen erfüllen können muss) aber noch auf die Besonderheiten der Auftragsverarbeitung angepasst werden müssen. Diese Formulare sind für alle Tätigkeiten, bei denen eine Verarbeitung von personenbezogenen Daten von Menschen außerhalb des eigenen Unternehmens vorliegt, anzufertigen. Man beziehe am besten die Mitarbeiter aus den Abteilungen Support, Marketing, Entwicklung, QM etc mit in diese Arbeit mit ein. Aus der Summe der Formulare wird dann in einem Analyseprozess ein Verarbeitungsverzeichnis gemacht, das dann in der erforderlichen Übersichtlichkeit erstellt werden sollte.
Als Ergebnis hat man den Ist Zustand aufgenommen. Dieses Dokument hat zwei Funktionen: Es soll helfen, die Rechte der Betroffenen zu erfüllen und eine Analyse der erforderlichen technischen und organisatorischen Maßnahmen ermöglichen.