Unkategorisiert

25.03.2018

#getready EU-DSGVO: Prozessanalyse

2.Schritt: Verfahrensverzeichnisse und Prozessanalyse

Im Rahmen der neuen EU-DSGVO Einführung am 25.05.2018 stehen von Kleinunternehmen bis hin zu Großkonzernen, alle vor den gleichen Herausforderungen. Eine davon ist die neue Regelung bezüglich des Verfahrensverzeichnisses. Dieses ist ein grundlegender Teil der Dokumentation des Umgangs mit personenbezogenen Daten, welche die neue EU-Datenschutzgrundverordnung verlangt.

Was ändert sich?

Man versteht unter Verfahrensverzeichnis eine Beschreibung der einzelnen „Verarbeitungstätigkeiten“ des Unternehmens, innerhalb derer man mit personenbezogenen Daten in Berührung kommt. Dazu gehören auch sogenannte Kernprozesse wie beispielsweise Personalbeschaffung, Kundenbetreuung oder Lohnbuchhaltung. Diese Abläufe sollten standardisiert und dokumentiert sein, allerdings differenzieren sie sich häufig im daily business. Mit der EU-DSGVO sollen nun interne Verarbeitungsübersichten und externe Verfahrensverzeichnisse vereinheitlicht werden, sodass man der Nachweispflicht, wie man mit den Daten umgeht, nachkommen kann.

Was kann man tun?

Um zu verstehen, in welchen Prozessen ein Kontakt mit personenbezogenen Daten besteht und nichts übersehen wird, haben wir zusammen mit unserem Partner der blu Systems GmbH zunächst alle solche Tätigkeiten durch ein Brainstroming gesammelt. Damit man diese einzelnen Prozesse zur EU-DSGVO Anpassung nun datenschutzrechtlich bewertbar machen kann, wurden Ablaufdiagramme zu den einzelnen Kernprozessen erstellt. Die einzelnen Prozessschritte wurden anschließend in einer Prozessmatrix näher definiert, die sowohl eine RASIC, als auch eine Datenflussübersicht enthält. Auf diese Weise kann man die Prozesse detaillierter betrachten. Als hilfreiche Übersicht wurde ebenfalls eine Tabelle angelegt, in der die einzelnen Prozesse den jeweiligen Verantwortlichen zugewiesen wurden, sodass jedem Mitarbeiter bewusst ist, auf was er genau achten muss.

Vorteile:

  • Einfachere Kategorisierung der einzelnen Tätigkeiten bzgl. Datenschutzrelevanz
  • Sicherstellung der Vollständigkeit aller Prozesse und interne Rollenaufteilung
  • Aufdecken von Schwachstellen und Risiken
  • Möglichkeit für eine gezielte Verbesserung und Überarbeitung
  • Grundlage für eine strukturierte Unternehmenskommunikation der Umsetzung

Darauf ist zu achten:

  • Standardisierte Darstellung wählen
  • Möglichst anschaulich und klare Darstellung
  • Auf eindeutige Beschreibungen achten
  • Auf den Datenfluss achten
  • Konzentration auf datenschutzrelevante Prozesse mit personenbezogenem Datenumgang