Unsere Webseite nutzt Cookies und weitere Technologien, um die Benutzerfreundlichkeit für Sie zu verbessern und die Leistung der Webseite und unserer Werbemassnahmen zu messen. Weitere Informationen und Optionen finden Sie in unserer Datenschutzerklärung.
Ok

Bearbeitungsverzeichnis: Neue Vorgaben im Datenschutz

Das revidierte Bundesgesetz über den Datenschutz ist am 1. September 2023 in Kraft getreten und bringt neue Dokumentationspflichten für Organisationen mit sich. Eine dieser Pflichten betrifft die mögliche Führung eines Verzeichnisses der Bearbeitungstätigkeiten, auch als "Bearbeitungsverzeichnis" bekannt. In diesem Verzeichnis sollen alle Datenbearbeitungen eines Unternehmens dokumentiert werden, um eine zentrale Dokumentation über die im Unternehmen vorhandenen Datenbearbeitungen zu schaffen. Der vorliegende Artikel erklärt, welche Informationen im Bearbeitungsverzeichnis enthalten sein müssen, wer zur Führung verpflichtet ist und wie es erstellt und gepflegt wird.

15.02.2024 Von: Florian Müller
Bearbeitungsverzeichnis

Passende Arbeitshilfen

Neue Dokumentationspflichten - Bearbeitungsverzeichnis

Das revidierte Bundesgesetz über den Datenschutz (revDSG) ist am 1. September 2023 in Kraft getreten. Zu den verschiedenen Datenschutzthemen, denen sich Unternehmen neu anzunehmen haben, gehört auch die mögliche Führung eines Verzeichnisses der Bearbeitungstätigkeiten («Bearbeitungsverzeichnis»). Das Bearbeitungsverzeichnis soll als zentrale Dokumentation über die im Unternehmen vorhandenen Datenbearbeitungen dienen, aus welchem die bearbeiteten Personendaten, Bearbeitungszwecke sowie mögliche Datenempfänger entnommen werden können. Welche Informationen im Bearbeitungsverzeichnis enthalten sein müssen, wie ein solches erstell wird, wer zur Führung eines solchen Bearbeitungsverzeichnis verpflichtet ist und weshalb es sich lohnt ein solches allenfalls auf freiwilliger Basis zu erstellen, soll nachfolgend beleutet werden.

Inhalt und Form eines Bearbeitungsverzeichnisses

In Art. 12 revDSG wird festgehalten, dass ein Datenbearbeiter (entweder als Verantwortlicher oder Auftragsbearbeiter) ein Verzeichnis seiner Bearbeitungstätigkeiten zu führen hat. Die Mindestanforderungen an den Inhalt des Bearbeitungsverzeichnisses sind in Art. 12 Abs. 2 revDSG aufgeführt. Es steht den Datenbearbeitern frei, über die Mindestinhalte hinaus weitere Angaben ins Bearbeitungsverzeichnis aufzunehmen, wenn dies für die internen Zwecke dienlich ist. Insbesondere sind die Identität des Datenbearbeiters, die Nennung des jeweiligen Bearbeitungszwecks, eine kategorisierte Beschreibung der betroffenen Personen und bearbeiteten Personendaten sowie Kategorie der möglichen Dritten, welche die Personendaten erhalten.

Newsletter Datenschutz

Für Schweizer Unternehmen und Institutionen.

ab CHF 98.00

Als Bearbeiten gilt fast jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten (siehe dazu auch Art. 5 lit. d revDSG). Wird also eine dieser Handlungen durch einen Datenbearbeiter vorgenommen, gehört die Tätigkeit grundsätzlich ins Bearbeitungsverzeichnis. In der Botschaft zum revDSG wurde ausgeführt, «Verzeichnis ist mithin eine schriftliche Darstellung der wesentlichen Informationen zu allen Datenbearbeitungen eines Verantwortlichen oder Auftragsbearbeiters». Nicht notwendig ist entsprechend einen einzelnen Unternehmensprozess in kleine Datenbearbeitungsschritte aufzuteilen und diese einzeln im Bearbeitungsverzeichnis zu erfassen. So ist davon auszugehen, dass es betreffend Kommunikation mit Kunden genügt, einen Bearbeitungstätigkeit «Kommunikation mit Kunden» zu führen, und darin sämtliche Kommunikationskanäle zu erfassen.

Für die Bearbeitung der Lohnbuchhaltung könnten die Informationen beispielhaft so aussehen: Erfüllung der gesetzlichen Lohnpflichten (Zweck), persönliche Kontaktdaten inkl. Bankverbindungen der Mitarbeiter (Kategorie betroffener Personen und Personendaten) sowie Bank des Arbeitgebers als Empfänger der Personendaten.

In welcher Form das Bearbeitungsverzeichnis geführt wird, liegt im Ermessen des Führenden. Bereits ausreichend wäre die Führung eines entsprechenden Dokumentes auf Papier. In der Praxis haben sich für einfachere Sachverhalte Bearbeitungsverzeichnisse als Word- oder auch als Excel-Dokumente etabliert. Für grössere Unternehmen oder bei komplexeren Bearbeitungstätigkeiten können sich spezifische Software-Programme anbieten, welche die Verknüpfung von Informationen erleichtern, sowohl innerhalb des Dokumentes oder gar mit anderen Unternehmenssystemen. Die elektronische Führung ermöglicht es die Informationen beliebig zu ergänzen und abzuändern. Dies ist insbesondere wichtig, da das Bearbeitungsverzeichnis jeweils den aktuellen Stand der Bearbeitungstätigkeiten abbilden soll und deshalb von Zeit zu Zeit überprüft werden muss.

Erstellung und Pflege des Bearbeitungsverzeichnisses

Nachdem eine Vorlage mit den entsprechend notwendigen Mindestinformationen erstellt wurde, gilt es die entsprechenden Informationen innerhalb der eigenen Organisation zu sammeln. In der Praxis haben sich hierbei die Durchsicht von internen Prozessbeschrieben und Verträgen sowie strukturierte Interviews mit den Abteilungsleitern (schriftlich oder mündlich) als effektive Methoden etabliert. Gerade während den persönlichen Interaktionen ergeben sich oft Diskussionen welche weitere Datenbeareitung enthüllen.

Abhängig von der grösse der Organisation kann das Bearbeitungsverzeichnis durch eine einzelne verantwortliche Person oder durch ein Team erarbeitet werden. Gerade bei mehreren Zuständigen kann der initiale Aufwand der Informationsbeschaffung beschleunigt werden.

Nach der Informationsbeschaffung sind die Informationen zu ordnen, zu kategorisieren und die Beschreibungen zu vereinheitlichen, um die zukünftige Handhabung des Bearbeitungsverzeichnisses zu erleichtern. Das Bearbeitungsverzeichnis sollte im Anschluss zentral abgelegt werden.

    Datenschutz kompakt

    Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

    ab CHF 148.00

    Um die Aktualität des Bearbeitungsverzeichnisses sicher zu stellen, müssen intern die jeweiligen Verantwortlichkeiten für die Pflege festgelegt werden. Wie bei der Erstellung kann die Verantwortung bei einer zentralen Funktion liegen oder gar bei den für die verschiedenen Bearbeitungstätigkeiten verantwortlichen Personen. Bei der Pflege ist insbesondere zu prüfen ob sämtliche Bearbeitungsätigkeiten überhaupt noch durchgeführt werden, neue Bearbeitungen aufgenommen werden müssen, weitere Personendaten bei einzelnen Tätigkeiten dazugekommen sowie ob die Empfänger der Personendaten noch korrekt und vollständig sind.

    Wichtige Hinweise:

    • Form des Verzeichnisses nicht vorgegeben
    • Gesetzliche Mindestinhalte bei Erstellungspflicht
    • Fortlaufende Pflege des Verzeichnisses notwendig
    • Freiwillige Erstellung wird empfohlen

    Erstellungspflicht mit Ausnahmen

    Wie einleitend bereits angedeutet, bestehen Ausnahmen von der Pflicht zur Erstellung eines Bearbeitungsverzeichnisses: Dies dann, wenn das Unternehmen anfangs Jahr weniger als 250 Mitarbeiter beschäftigt. Ausnahme von dieser Grundregel ist, dass trotzdem ein Bearbeitungsverzeichnis erstellt werden muss, wenn besonders schützenswerte Personendaten (vgl. Art. 5 lit. c revDSG) in grossem Umfang bearbeitet werden oder wenn ein Profiling mit hohem Risiko durchgeführt wird.

    Entgegen der europäischen Datenschutzgesetzgebung, wo grundsätzlich sämtliche Datenbearbeiter ein Bearbeitungsverzeichnis zu führen haben, werden in der Schweiz weniger Organisationen zur Führung eines solchen verpflichtet sein.

    Aufgrund der Rechte, welche den von der Bearbeitung betroffenen Personen zustehenen, ist es fast unumgänglich, eine Übersicht der vorhandenen Bearbeitungstätigkeiten sowie Personendaten zu haben. Schliesslich kann eine Auskunft nur erfolgen, wenn ich die entsprechenden Informationen finde oder gerade auch nicht. Sind keine Informationen in der Organisation vorhanden, so kann die Auskunft auch lauten, dass keine Personendaten vorhanden sind. Ebenfalls ist die Einhaltung des Datenschutzes beim Einsatz von Cloud-Software nur möglich, wenn ich überhaupt weiss, welche entsprechenden Produkte eingesetzt werden. Weiter dient das Bearbeitungsverzeichnis ebenfalls als Grundlage zur Erfüllung der Informationspflichten gegenüber den betroffenen Personen.

    Hat eine Organisation den Überblick über ihre Bearbeitungstätigkeit, ist es deutlich einfacher, die Einhaltung des Datenschutzes zu gewährleisten und agil auf neue Herausforderungen zu reagieren. Aus diesen Gründen bietet es sich gerade an, ein Bearbeitungsverzeichnis, sei es zumindest für die wichtigsten Bearbeitungstätigkeiten, freiwillig zu erstellen.

    Fazit

    Auch wenn keine gesetzliche Pflicht zur Erstellung eines Bearbeitungsverzeichnisses für Ihre Organisation besteht, empfiehlt es sich, zumindest im Kleinformat ein solches zur Orientierung erstellen. Es erleichtert den Überblick und schafft Transparenz. Besteht eine Pflicht zur Erstellung, lohnt sich ein Blick ins Gesetz, welchem die Mindestangaben entnommen werden können. Auch wenn die Aufgabe zu Beginn allenfalls überwältigend wirkt, ist die Erstellung des Bearbeitungsverzweichnisses keine Hexerei und kann bei guter Planung und Vorbereitung zeitnah durchgeführt werden.

    Seminar-Empfehlungen

    Weitere Beiträge zu diesem Thema

    HR-Daten
    / HR-Daten

    Diese Aufbewahrungsfristen gelten für Mitarbeiterdaten
    Auftragsdatenbearbeitung
    W+
    / Auftragsdatenbearbeitung

    Outsourcing von Aufgaben im Digitalisierungszeitalter
    Cloud
    W+
    / Cloud

    Datenschutz-Schreckgespenst Cloud?
    IP-Adressen
    / IP-Adressen

    Es gilt das Datenschutzrecht
    Cloud-Lösungen
    / Cloud-Lösungen

    Was ist datenschutzrechtlich erlaubt?
    Records Management
    / Records Management

    Löschungspflicht und Records Management
    Newsletter W+ abonnieren