Data Mapping & GDPR: „Aufzeichnungen von Verarbeitungs­tätigkeiten"

Jedes Programm zur Umsetzung des Datenschutzrechts basiert auf einer ordnungsgemäßen Datenzuordnung. Aber ist dies überhaupt eine rechtliche Verpflichtung? Nach der Datenschutz-Grundverordnung lautet die Antwort für die meisten modernen Unternehmen eindeutig „Ja“. Gemäß Artikel 30 müssen Unternehmen sogenannte „Aufzeichnungen über Verarbeitungstätigkeiten" (auch bekannt als RPA oder ROPA) mit detaillierten Informationen über Ihren Datenfluss führen. Wir erklären, wie Sie die GDPR-Standards erfüllen können.

Welche Unternehmen und Organisationen müssen eine RPA-Dokumentation führen?

Die Verpflichtung, „Aufzeichnungen über Verarbeitungstätigkeiten" zu führen, gilt für jedes Unternehmen oder jede Organisation, die personenbezogene Daten im Anwendungsbereich der DSGVO verarbeitet. Aus internationaler Sicht ist es für die extraterritoriale Anwendbarkeit der DSGVO nicht erforderlich, dass das Unternehmen in einem der EU-Mitgliedstaaten niedergelassen ist - es reicht aus, dass ein Unternehmen in irgendeiner Weise mit der EU Geschäfte macht.

Ausnahme für KMU

Im Prinzip müssen Unternehmen mit weniger als 250 Beschäftigten keinen RPA haben. Diese Einschränkung scheint jedoch ein Ablenkungsmanöver zu sein, da das Gesetz weitreichende „Ausnahmen von der Ausnahme" vorsieht. Tatsächlich muss ein KMU auch dann eine RPA-Dokumentation führen, wenn nur eines der folgenden 3 Szenarien zutrifft:

1. Das Unternehmen verarbeitet sensible Daten („besondere Kategorien" personenbezogener Daten im Sinne der DSGVO, z. B. Gesundheits- oder biometrische Daten, Informationen über politische Meinungen, strafrechtliche Verurteilungen, sexuelle Orientierung, rassische oder ethnische Herkunft usw.).
2. Das Unternehmen verarbeitet personenbezogene Daten häufiger als nur „gelegentlich“, d. h., es verfolgt einen strukturierten und systematischen Ansatz bei der Erhebung personenbezogener Daten, entweder als Teil seiner Produkte oder seiner anderen Geschäftsprozesse wie Kundenbeziehungen oder Buchhaltung.
3. Der Geschäftsbetrieb des Unternehmens verursacht in irgendeiner Weise Datenschutzrisiken (z. B. Identitätsdiebstahl, Erpressung, Manipulation).

Dies bedeutet, dass jedes Unternehmen die Anforderungen erfüllen muss, unabhängig von der Anzahl der Mitarbeiter. Ob ein Unternehmen von der RPA-Anforderung ausgenommen ist oder nicht, sollte im Einzelfall rechtlich geprüft werden. Im Zweifelsfall sollten Sie, wenn die DSGVO generell auf Ihr Unternehmen zutrifft, eher davon ausgehen, dass Ihr Unternehmen sie einhalten muss.

Geltungsbereich des RPA

Der Geltungsbereich einer RPA umfasst eine juristische Person. Aus rechtlicher Sicht ist es nicht erforderlich, für abhängige Niederlassungen eine separate Dokumentation zu führen. Insbesondere bei mittleren und großen Unternehmen kann es jedoch ratsam sein, im RPA festzuhalten, welche internen Nutzergruppen (z. B. Abteilungen, Niederlassungen) berechtigt sind, auf den betreffenden Datensatz zuzugreifen oder ihn zu verändern. Auf diese Weise kann der verantwortliche Compliance-Experte festlegen, wer der primäre interne Ansprechpartner für einen bestimmten Geschäftsprozess ist, und auch die Einhaltung weiterer organisatorischer Anforderungen der DSGVO überwachen, wie z. B. die Anwendung des „Need-to-know"-Prinzips für personenbezogene Daten.

Was müssen wir in der RPA dokumentieren?

Im Grunde genommen ist die RPA ein Arbeitsblatt, das bestimmte Informationen über alle Geschäftsprozesse des Unternehmens enthält, die in den Anwendungsbereich der DSGVO fallen. Die Dokumentation kann elektronisch geführt werden, z. B. als Excel-Datei oder in einem anderen gängigen Format.

Was den Inhalt betrifft, so ist es wichtig, den Unterschied zwischen der Rolle eines Unternehmens als „für die Datenverarbeitung Verantwortlicher" und als „Datenverarbeiter" zu verstehen (wir erläutern diese Schlüsselbegriffe der DSGVO in unserem Artikel über den extraterritorialen Anwendungsbereich der DSGVO näher). Je nachdem, welche Rolle das Unternehmen einnimmt, gelten unterschiedliche inhaltliche Anforderungen. Es ist wichtig zu bedenken, dass ein und dasselbe Unternehmen in Bezug auf verschiedene Geschäftsprozesse sowohl als für die Datenverarbeitung Verantwortlicher (z. B. bei der Erhebung personenbezogener Daten für eigene Marketingzwecke) als auch als Datenverarbeiter für seine Kunden auftreten kann.

Sie werden den unten beschriebenen Inhalt besser verstehen, wenn Sie sich auch einige Beispiele ansehen. Die folgenden Links führen Sie zu Vorlagen, die vom britischen Information Commissioner’s Office (ICO), der Datenschutzbehörde des Vereinigten Königreichs, herausgegeben wurden:

• Dokumentationsvorlage für für die Datenverarbeitung Verantwortliche
• Dokumentationsvorlage für Datenverarbeiter

Allgemeine inhaltliche Anforderungen

Zunächst einmal muss die RPA den vollständigen juristischen Namen des Unternehmens und die Kontaktdaten der Hauptniederlassung und gegebenenfalls des Datenschutzbeauftragten des Unternehmens sowie seines EU-Vertreters enthalten.

Bei allen anderen Informationen, die in der RPA angegeben werden, ist es ratsam, die Tabelle zu strukturieren, indem auf bestimmte Geschäftsprozesse (bei für die Datenverarbeitung Verantwortlichen) bzw. Geschäftskunden (bei Datenverarbeitern) verwiesen wird. Das ICO betont, dass die RPA so strukturiert sein muss, dass die Informationskategorien sinnvoll miteinander in Beziehung gesetzt werden können. Es gibt folgendes Beispiel:

„Sie können zum Beispiel mehrere getrennte Aufbewahrungsfristen haben, die sich jeweils auf verschiedene Kategorien personenbezogener Daten beziehen. Ebenso ist es wahrscheinlich, dass die Organisationen, mit denen Sie personenbezogene Daten austauschen, je nach Art der Personen, über die Sie Informationen besitzen, und dem Zweck der Datenverarbeitung unterschiedlich sind. Die Aufzeichnungen über Ihre Verarbeitungstätigkeiten müssen diese Unterschiede widerspiegeln. Eine allgemeine Liste von Informationen ohne sinnvolle Verknüpfungen zwischen ihnen wird den Dokumentationsanforderungen der Datenschutz-Grundverordnung nicht gerecht.“

Auf der Grundlage einer solchen Struktur muss die RPA-Dokumentation weitere Angaben enthalten:

• Bei Datenübermittlungen in Länder außerhalb des Europäischen Wirtschaftsraums den Namen des Empfängerlandes und, in bestimmten Ausnahmefällen, weitere Informationen über die rechtliche Rechtfertigung der Übermittlung;
• Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherheit. Dabei kann die RPA auch auf weiterführende Dokumente (z. B. IT-Sicherheitskonzepte, Audits und Penetrationstests) verweisen.

Weitere Anforderungen an die für die Datenverarbeitung Verantwortlichen

Zusätzlich zu den oben genannten Inhalten müssen die RPA der für die Verarbeitung Verantwortlichen die folgenden Informationen enthalten:

• Eine Beschreibung des Zwecks der jeweiligen Datenverarbeitung (z. B. Lieferung von gekauften Artikeln);
• Eine Beschreibung der Kategorien der betroffenen Personen (z. B. Kunden) und der Kategorien personenbezogener Daten (z. B. Name, Postanschrift);
• Die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben werden (z. B. Paketdienstleister);
• Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (z. B. 3 Monate nach der Lieferung, es sei denn, der Kunde hat ein dauerhaftes Benutzerkonto eingerichtet);
• Gegebenenfalls die Kontaktdaten anderer juristischer Personen, die gemeinsam mit dem Unternehmen als für die Datenverarbeitung Verantwortliche fungieren (z. B. teilen sich verschiedene Wiederverkäufer in einer Gruppe eine Datenbank in einer Auftragsverwaltungsplattform).

Weitere Anforderungen für Datenverarbeiter

Der Anwendungsbereich der RPA für Datenverarbeiter ist begrenzt. Zusätzlich zu den oben genannten allgemeinen inhaltlichen Anforderungen muss die RPA von Datenverarbeitern nur die folgenden Informationen enthalten:

• Den Namen und die Kontaktdaten jedes für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist (eine vollständige Kundenliste);
• Die Kategorien der im Auftrag des jeweiligen für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungen, d. h. eine Liste der Produkte und Dienstleistungen, einschließlich einer Beschreibung dessen, was das Unternehmen mit den im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten macht (z. B. Cloud-Speicherung von Personalstammdaten).

Welche strategischen Aspekte sollten wir bei der Ausarbeitung der RPA berücksichtigen?

Nutzen Sie Ihr Programm zur Einhaltung der GDPR

Erstens kann der Entwurf der RPA-Dokumentation das gesamte Programm zur Einhaltung der Datenschutzbestimmungen unterstützen. Eine gut vorbereitete RPA enthält viele relevante Informationen für verschiedene Aufgaben, beispielsweise um zu prüfen, ob bestimmte Geschäftsvorgänge den Anforderungen der DSGVO entsprechen oder um Datenverarbeitungsverträge mit Kunden und Anbietern abzuschließen. Der Prozess der RPA-Erstellung kann als zentrale Grundlage dienen, um Informationen aus verschiedenen Abteilungen zu sammeln und später eine rechtliche Plausibilitätsprüfung bei der Implementierung durchzuführen.

Halten Sie Ihre RPA-Dokumentation auf dem neuesten Stand

Zweitens sollte die RPA als ein lebendiges Dokument betrachtet werden. Den Unternehmen wird empfohlen, regelmäßige Aktualisierungsprozesse zu implementieren, z. B. auf periodischer Basis, wenn neue Geschäftsprozesse implementiert werden, und als Teil von Produktentwicklungsschleifen. Wenn ein Unternehmen als Datenverarbeiter für andere tätig ist, sollte sichergestellt werden, dass die Angaben zu neuen Kunden im Zuge des Onboarding-Verfahrens an die interne Abteilung weitergeleitet werden, die für die Pflege der RPA zuständig ist.

Überlegen Sie, was Sie den Behörden offenlegen wollen

Drittens ist es wichtig zu bedenken, dass Unternehmen verpflichtet sind, die RPA-Dokumentation auf Anfrage an die zuständige EU-Datenschutzaufsichtsbehörde weiterzugeben. Wenn ein Unternehmen keine Niederlassung in der EU hat und daher einen EU-Vertreter gemäß Artikel 27 DSGVO benannt hat, muss es eine Kopie der Dokumentation an diesen Vertreter übergeben. Dieser ist ebenfalls verpflichtet, die Unterlagen weiterzuleiten, wenn die Aufsichtsbehörde dies anfordert.

Diese Anforderung hat zwei Auswirkungen: Erstens können etwaige Mängel in der RPA-Dokumentation leicht erkannt und mit hohen Geldbußen belegt werden. Zweitens kann die RPA mögliche Verstöße gegen andere Anforderungen der Datenschutzgrundverordnung aufdecken. Es ist daher wichtig, sorgfältig abzuwägen, welche Informationen in die RPA-Dokumentation aufgenommen werden sollten, um sowohl den gesetzlichen Anforderungen gerecht zu werden als auch unnötige Details zu vermeiden, die zusätzliche Untersuchungen auslösen könnten. Unternehmen können sogar erwägen, eine interne Version der RPA-Dokumentation zu führen, die sich von der Version für eine potenzielle Offenlegung unterscheidet.