Zuletzt aktualisiert: Mi, 1. Dezember 2021
Da sitzt man nun als bestellter Datenschutzbeauftragter (DSB) vor seiner Liste mit Aufgaben, die es abzuarbeiten gilt. Auf dieser Liste gibt es bestimmt einen Punkt, der sich mit der Erstellung eines IT-Verfahrensverzeichnisses beschäftigt. Ja, was ist das denn? Wenn Sie bislang noch keine Erfahrungen in der IT gesammelt haben, dann ist das schon spannend. Also Erfahrungen nicht als Anwender in der IT, sondern als IT-ler in der IT. Kennen Sie die Zusammenhänge und Abhängigkeiten in dem IT-Verbund, für den Sie als DSB bestellt wurden? Wenn ja, dann tun Sie sich mit dem Verfahrensverzeichnis bestimmt leichter. Wenn nicht, dann will ich hier ein paar Hinweise geben, wie ich mich der Umsetzung dieses Themas genähert habe.
Begriffsdefinition
Um IT-Verfahren zu dokumentieren, müssen Sie diese zunächst identifizieren. Um sie identifizieren zu können, müssen Sie wissen, wonach überhaupt gesucht wird. Ich persönlich mag folgende Definition für den Begriff IT-Verfahren:
„Ein IT-Verfahren besteht aus einem oder mehreren IT-gestützten Geschäftsprozessen, die eine arbeitsorganisatorisch abgeschlossene Einheit mit einem gemeinsamen Ziel bilden.“
Aha, es geht um Prozesse. Das macht es vielleicht leichter zu verstehen. Überlegen Sie sich, welche IT-Prozesse es im Unternehmen gibt. Interviewen Sie dazu den IT-Leiter, sprechen Sie mit den Abteilungs- oder Teamleitern. Schreiben Sie diese Prozesse zunächst einfach auf. Anschließend können einzelne Prozesse sicherlich zu thematischen Gruppen sinnvoll zusammengefasst werden. Aus jedem Prozess ein einzelnes IT-Verfahren zu machen, würde zu umfangreich werden. Vielleicht wurden solche Prozesse auch bereits vom Prozessmanagement dokumentiert. Hilfreich ist es natürlich auch, wenn sich die IT-Abteilung nach IT Service Management organisiert hat und bereits ein sogenannter Service Catalogue erstellt wurde. Die Einteilung der IT-Prozesse in einzelne Services erfolgt in etwa nach den gleichen Kriterien. Als Datenschutzbeauftragter brauchen Sie sich glücklicherweise nur um die Prozesse bzw. Services zu kümmern, in denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Alle anderen müssen Sie nach Prüfung auf solche Daten zunächst nicht weiter verfolgen.
Eigentlich ist es ganz einfach
Wenn Sie im Bundesdatenschutzgesetz den §4g Satz 2 lesen, dann ist die Aufgabe der Erfassung von Verfahren eigentlich ganz einfach. Die Geschäftsleitung muss Ihnen als DSB nämlich eine Liste der Verarbeitungen und den jeweiligen Zugriffsberechtigten auf die Daten zur Verfügung stellen. Diese Liste gilt es zu sichten und zu bewerten. Dabei stellen Sie fest, wo personenbezogene Daten erhoben, verarbeitet oder genutzt werden und sehen sich die betroffenen Verfahren genauer an.
Es wäre einmal interessant, wie vielen Datenschutzbeauftragten diese Liste mit Verarbeitungen wirklich in der Form zur Verfügung gestellt wird. Die Realität sieht wohl eher anders aus. Sie werden sich diese Liste selbst erarbeiten müssen. Die Geschäftsleitung kann diese Liste nicht zur Verfügung stellen, da diese überhaupt nicht existiert.
Werden personenbezogene Daten in einem Verfahren verarbeitet, dann werden diese im Verfahrensverzeichnis dokumentiert. Alle anderen müssen Sie nicht aufnehmen. Welche Informationen dokumentiert werden müssen, können Sie in diversen Dokumenten nachlesen. Zur Erfassung von IT-Verfahren gibt es entsprechende Vorlagen, beispielsweise vom bayerischen Landesamt für Datenschutzaufsicht in Ansbach. Wenn Sie diese Vorlage einfach den Leitern der Fachabteilungen übermitteln mit der Bitte diese auszufüllen, dann kommen da bestimmt Rückfragen. Diese müssen von Ihnen beantwortet werden. Sie kommen also nicht drum herum, entsprechende IT-Kenntnisse mitzubringen. Dies entspricht auch der geforderten Fachkunde an einen Datenschutzbeauftragten, wie ihn der Düsseldorfer Kreis bei seiner Sitzung im November 2010 festgelegt hat. Mit Sicherheit werden Sie den Fachverantwortlichen erklären müssen, worum es geht und welche Informationen genau benötigt werden. Das ist Ihre Aufgabe als Datenschutzbeauftragter. Im Ergebnis haben Sie dann aber die benötigte Übersicht über alle Prozesse und Software der IT vorzuliegen.
Aus diesen Angaben erstellen Sie das öffentliche Verfahrensverzeichnis, welches auf Antrag jedermann in geeigneter Weise zur Verfügung gestellt wird. Für die Verfahren im Verfahrensverzeichnis kontrollieren Sie die technischen und organisatorischen Maßnahmen des Unternehmens und dokumentieren diese.
Fertig. Hat zwar sicherlich ein, zwei oder drei Jahre gebraucht, aber so lange kann es halt dauern. Natürlich muss die Dokumentation regelmäßig überprüft werden. Neue Verfahren kommen dazu, manche Verfahren werden nicht mehr genutzt.
Unterstützung durch Softwaretools
Als Datenschützer müssen Sie sich, wie bereits erwähnt, prinzipiell nicht um alle IT-Verfahren kümmern, sondern nur um die, bei denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Aber freuen Sie sich nicht zu früh, denn wo werden heute keine personenbezogene oder personenbeziehbare Daten automatisiert verarbeitet? Sie werden da schon eine Menge zu bewerten haben.
Die Dokumentation der IT-Verfahren können Sie in speziellen Softwaretools durchführen. Neben kostenpflichtigen gibt es auch sehr brauchbare Open Source Tools, wie beispielsweise verinice. Dort gibt es eine Umsetzung des Bausteins B1.5 – Datenschutz aus den Grundschutzkatalogen vom BSI. Es lohnt sich diesen zu studieren, wenn Sie ihn noch nicht kennen sollten.