Bearbeitungsverzeichnis: Neue Vorgaben im Datenschutz
Passende Arbeitshilfen
Neue Dokumentationspflichten - Bearbeitungsverzeichnis
Das revidierte Bundesgesetz über den Datenschutz (revDSG) ist am 1. September 2023 in Kraft getreten. Zu den verschiedenen Datenschutzthemen, denen sich Unternehmen neu anzunehmen haben, gehört auch die mögliche Führung eines Verzeichnisses der Bearbeitungstätigkeiten («Bearbeitungsverzeichnis»). Das Bearbeitungsverzeichnis soll als zentrale Dokumentation über die im Unternehmen vorhandenen Datenbearbeitungen dienen, aus welchem die bearbeiteten Personendaten, Bearbeitungszwecke sowie mögliche Datenempfänger entnommen werden können. Welche Informationen im Bearbeitungsverzeichnis enthalten sein müssen, wie ein solches erstell wird, wer zur Führung eines solchen Bearbeitungsverzeichnis verpflichtet ist und weshalb es sich lohnt ein solches allenfalls auf freiwilliger Basis zu erstellen, soll nachfolgend beleutet werden.
Inhalt und Form eines Bearbeitungsverzeichnisses
In Art. 12 revDSG wird festgehalten, dass ein Datenbearbeiter (entweder als Verantwortlicher oder Auftragsbearbeiter) ein Verzeichnis seiner Bearbeitungstätigkeiten zu führen hat. Die Mindestanforderungen an den Inhalt des Bearbeitungsverzeichnisses sind in Art. 12 Abs. 2 revDSG aufgeführt. Es steht den Datenbearbeitern frei, über die Mindestinhalte hinaus weitere Angaben ins Bearbeitungsverzeichnis aufzunehmen, wenn dies für die internen Zwecke dienlich ist. Insbesondere sind die Identität des Datenbearbeiters, die Nennung des jeweiligen Bearbeitungszwecks, eine kategorisierte Beschreibung der betroffenen Personen und bearbeiteten Personendaten sowie Kategorie der möglichen Dritten, welche die Personendaten erhalten.
Als Bearbeiten gilt fast jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten (siehe dazu auch Art. 5 lit. d revDSG). Wird also eine dieser Handlungen durch einen Datenbearbeiter vorgenommen, gehört die Tätigkeit grundsätzlich ins Bearbeitungsverzeichnis. In der Botschaft zum revDSG wurde ausgeführt, «Verzeichnis ist mithin eine schriftliche Darstellung der wesentlichen Informationen zu allen Datenbearbeitungen eines Verantwortlichen oder Auftragsbearbeiters». Nicht notwendig ist entsprechend einen einzelnen Unternehmensprozess in kleine Datenbearbeitungsschritte aufzuteilen und diese einzeln im Bearbeitungsverzeichnis zu erfassen. So ist davon auszugehen, dass es betreffend Kommunikation mit Kunden genügt, einen Bearbeitungstätigkeit «Kommunikation mit Kunden» zu führen, und darin sämtliche Kommunikationskanäle zu erfassen.
Für die Bearbeitung der Lohnbuchhaltung könnten die Informationen beispielhaft so aussehen: Erfüllung der gesetzlichen Lohnpflichten (Zweck), persönliche Kontaktdaten inkl. Bankverbindungen der Mitarbeiter (Kategorie betroffener Personen und Personendaten) sowie Bank des Arbeitgebers als Empfänger der Personendaten.
In welcher Form das Bearbeitungsverzeichnis geführt wird, liegt im Ermessen des Führenden. Bereits ausreichend wäre die Führung eines entsprechenden Dokumentes auf Papier. In der Praxis haben sich für einfachere Sachverhalte Bearbeitungsverzeichnisse als Word- oder auch als Excel-Dokumente etabliert. Für grössere Unternehmen oder bei komplexeren Bearbeitungstätigkeiten können sich spezifische Software-Programme anbieten, welche die Verknüpfung von Informationen erleichtern, sowohl innerhalb des Dokumentes oder gar mit anderen Unternehmenssystemen. Die elektronische Führung ermöglicht es die Informationen beliebig zu ergänzen und abzuändern. Dies ist insbesondere wichtig, da das Bearbeitungsverzeichnis jeweils den aktuellen Stand der Bearbeitungstätigkeiten abbilden soll und deshalb von Zeit zu Zeit überprüft werden muss.
Erstellung und Pflege des Bearbeitungsverzeichnisses
Nachdem eine Vorlage mit den entsprechend notwendigen Mindestinformationen erstellt wurde, gilt es die entsprechenden Informationen innerhalb der eigenen Organisation zu sammeln. In der Praxis haben sich hierbei die Durchsicht von internen Prozessbeschrieben und Verträgen sowie strukturierte Interviews mit den Abteilungsleitern (schriftlich oder mündlich) als effektive Methoden etabliert. Gerade während den persönlichen Interaktionen ergeben sich oft Diskussionen welche weitere Datenbeareitung enthüllen.
Abhängig von der grösse der Organisation kann das Bearbeitungsverzeichnis durch eine einzelne verantwortliche Person oder durch ein Team erarbeitet werden. Gerade bei mehreren Zuständigen kann der initiale Aufwand der Informationsbeschaffung beschleunigt werden.
Nach der Informationsbeschaffung sind die Informationen zu ordnen, zu kategorisieren und die Beschreibungen zu vereinheitlichen, um die zukünftige Handhabung des Bearbeitungsverzeichnisses zu erleichtern. Das Bearbeitungsverzeichnis sollte im Anschluss zentral abgelegt werden.
Um die Aktualität des Bearbeitungsverzeichnisses sicher zu stellen, müssen intern die jeweiligen Verantwortlichkeiten für die Pflege festgelegt werden. Wie bei der Erstellung kann die Verantwortung bei einer zentralen Funktion liegen oder gar bei den für die verschiedenen Bearbeitungstätigkeiten verantwortlichen Personen. Bei der Pflege ist insbesondere zu prüfen ob sämtliche Bearbeitungsätigkeiten überhaupt noch durchgeführt werden, neue Bearbeitungen aufgenommen werden müssen, weitere Personendaten bei einzelnen Tätigkeiten dazugekommen sowie ob die Empfänger der Personendaten noch korrekt und vollständig sind.
Wichtige Hinweise:
- Form des Verzeichnisses nicht vorgegeben
- Gesetzliche Mindestinhalte bei Erstellungspflicht
- Fortlaufende Pflege des Verzeichnisses notwendig
- Freiwillige Erstellung wird empfohlen
Erstellungspflicht mit Ausnahmen
Wie einleitend bereits angedeutet, bestehen Ausnahmen von der Pflicht zur Erstellung eines Bearbeitungsverzeichnisses: Dies dann, wenn das Unternehmen anfangs Jahr weniger als 250 Mitarbeiter beschäftigt. Ausnahme von dieser Grundregel ist, dass trotzdem ein Bearbeitungsverzeichnis erstellt werden muss, wenn besonders schützenswerte Personendaten (vgl. Art. 5 lit. c revDSG) in grossem Umfang bearbeitet werden oder wenn ein Profiling mit hohem Risiko durchgeführt wird.
Entgegen der europäischen Datenschutzgesetzgebung, wo grundsätzlich sämtliche Datenbearbeiter ein Bearbeitungsverzeichnis zu führen haben, werden in der Schweiz weniger Organisationen zur Führung eines solchen verpflichtet sein.
Aufgrund der Rechte, welche den von der Bearbeitung betroffenen Personen zustehenen, ist es fast unumgänglich, eine Übersicht der vorhandenen Bearbeitungstätigkeiten sowie Personendaten zu haben. Schliesslich kann eine Auskunft nur erfolgen, wenn ich die entsprechenden Informationen finde oder gerade auch nicht. Sind keine Informationen in der Organisation vorhanden, so kann die Auskunft auch lauten, dass keine Personendaten vorhanden sind. Ebenfalls ist die Einhaltung des Datenschutzes beim Einsatz von Cloud-Software nur möglich, wenn ich überhaupt weiss, welche entsprechenden Produkte eingesetzt werden. Weiter dient das Bearbeitungsverzeichnis ebenfalls als Grundlage zur Erfüllung der Informationspflichten gegenüber den betroffenen Personen.
Hat eine Organisation den Überblick über ihre Bearbeitungstätigkeit, ist es deutlich einfacher, die Einhaltung des Datenschutzes zu gewährleisten und agil auf neue Herausforderungen zu reagieren. Aus diesen Gründen bietet es sich gerade an, ein Bearbeitungsverzeichnis, sei es zumindest für die wichtigsten Bearbeitungstätigkeiten, freiwillig zu erstellen.
Fazit
Auch wenn keine gesetzliche Pflicht zur Erstellung eines Bearbeitungsverzeichnisses für Ihre Organisation besteht, empfiehlt es sich, zumindest im Kleinformat ein solches zur Orientierung erstellen. Es erleichtert den Überblick und schafft Transparenz. Besteht eine Pflicht zur Erstellung, lohnt sich ein Blick ins Gesetz, welchem die Mindestangaben entnommen werden können. Auch wenn die Aufgabe zu Beginn allenfalls überwältigend wirkt, ist die Erstellung des Bearbeitungsverzweichnisses keine Hexerei und kann bei guter Planung und Vorbereitung zeitnah durchgeführt werden.