2.Schritt: Ver­fah­rens­ver­zeich­nis­se und Pro­zess­ana­ly­se

 

Im Rah­men der neu­en EU-DSGVO Ein­füh­rung am 25.05.2018 ste­hen von Klein­un­ter­neh­men bis hin zu Groß­kon­zer­nen, alle vor den glei­chen Her­aus­for­de­run­gen. Eine davon ist die neue Rege­lung bezüg­lich des Ver­fah­rens­ver­zeich­nis­ses. Die­ses ist ein grund­le­gen­der Teil der Doku­men­ta­ti­on des Umgangs mit per­so­nen­be­zo­ge­nen Daten, wel­che die neue EU-Datenschutzgrundverordnung ver­langt.

Was ändert sich?

Man ver­steht unter Ver­fah­rens­ver­zeich­nis eine Beschrei­bung der ein­zel­nen „Ver­ar­bei­tungs­tä­tig­kei­ten“ des Unter­neh­mens, inner­halb derer man mit per­so­nen­be­zo­ge­nen Daten in Berüh­rung kommt. Dazu gehö­ren auch soge­nann­te Kern­pro­zes­se wie bei­spiels­wei­se Per­so­nal­be­schaf­fung, Kun­den­be­treu­ung oder Lohn­buch­hal­tung. Die­se Abläu­fe soll­ten stan­dar­di­siert und doku­men­tiert sein, aller­dings dif­fe­ren­zie­ren sie sich häu­fig im dai­ly busi­ness. Mit der EU-DSGVO sol­len nun inter­ne Ver­ar­bei­tungs­über­sich­ten und exter­ne Ver­fah­rens­ver­zeich­nis­se ver­ein­heit­licht wer­den, sodass man der Nach­weis­pflicht, wie man mit den Daten umgeht, nach­kom­men kann.

Was kann man tun?

Um zu ver­ste­hen, in wel­chen Pro­zes­sen ein Kon­takt mit per­so­nen­be­zo­ge­nen Daten besteht und nichts über­se­hen wird, haben wir zusam­men mit unse­rem Part­ner der blu Sys­tems GmbH zunächst alle sol­che Tätig­kei­ten durch ein Brain­strom­ing gesam­melt. Damit man die­se ein­zel­nen Pro­zes­se zur EU-DSGVO Anpas­sung nun daten­schutz­recht­lich bewertbar machen kann, wur­den Ablauf­dia­gram­me zu den ein­zel­nen Kern­pro­zes­sen erstellt. Die ein­zel­nen Pro­zess­schrit­te wur­den anschlie­ßend in einer Pro­zess­ma­trix näher defi­niert, die sowohl eine RASIC, als auch eine Daten­fluss­über­sicht ent­hält. Auf die­se Wei­se kann man die Pro­zes­se detail­lier­ter betrach­ten. Als hilf­rei­che Über­sicht wur­de eben­falls eine Tabel­le ange­legt, in der die ein­zel­nen Pro­zes­se den jewei­li­gen Ver­ant­wort­li­chen zuge­wie­sen wur­den, sodass jedem Mit­ar­bei­ter bewusst ist, auf was er genau ach­ten muss.

Vor­tei­le:

  • Ein­fa­che­re Kate­go­ri­sie­rung der ein­zel­nen Tätig­kei­ten bzgl. Daten­schutz­re­le­vanz
  • Sicher­stel­lung der Voll­stän­dig­keit aller Pro­zes­se und inter­ne Rol­len­auf­tei­lung
  • Auf­de­cken von Schwach­stel­len und Risi­ken
  • Mög­lich­keit für eine geziel­te Ver­bes­se­rung und Über­ar­bei­tung
  • Grund­la­ge für eine struk­tu­rier­te Unter­neh­mens­kom­mu­ni­ka­ti­on der Umset­zung

Dar­auf ist zu ach­ten:

  • Stan­dar­di­sier­te Dar­stel­lung wäh­len
  • Mög­lichst anschau­lich und kla­re Dar­stel­lung
  • Auf ein­deu­ti­ge Beschrei­bun­gen ach­ten
  • Auf den Daten­fluss ach­ten
  • Kon­zen­tra­ti­on auf daten­schutz­re­le­van­te Pro­zes­se mit per­so­nen­be­zo­ge­nem Daten­um­gang