Philipp Rosenauer
Partner Legal, PwC Schweiz
Mit der Totalrevision des Schweizer Bundesgesetzes über den Datenschutz (revDSG) wird auch die Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten eingeführt. Im Wesentlichen handelt es sich dabei um ein Verzeichnis, das sämtliche Datenflüsse und deren Bearbeitungszweck dokumentiert. Dies soll für einen allgemeinen Überblick über die Datenbearbeitung sorgen. Von der Pflicht zum Führen eines Verzeichnisses der Bearbeitungstätigkeiten sind die meisten Unternehmen betroffen. Ausgenommen ist die Bearbeitung von Personendaten mit geringem Risiko durch Unternehmen mit weniger als 250 Mitarbeitenden.
Was muss im Verzeichnis der Bearbeitungstätigkeiten enthalten sein?
Gemäss revDSG muss das Verzeichnis folgende Informationen enthalten:
- Identität des Verantwortlichen
- Bearbeitungszweck
- Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
- Kategorien der Empfängerinnen und Empfänger
- Dauer der Aufbewahrung der Personendaten oder Kriterien zur Festlegung der Aufbewahrungsdauer
- allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
- im Fall der Offenlegung der Daten im Ausland die Angabe der jeweiligen Staaten sowie der Garantien.
Nutzen des Verzeichnisses der Bearbeitungstätigkeiten
Das Verzeichnis der Bearbeitungstätigkeiten muss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auf Anfrage zur Verfügung gestellt werden.
Zwar kann die erstmalige Einführung des Verzeichnisses zeitaufwendig sein; es kann jedoch dabei helfen, redundante Bearbeitungstätigkeiten zu erkennen. Sie können feststellen, wo nicht benötigte Personendaten erfasst werden, und wissen so, wo Datensicherheitsrisiken entstehen könnten. Zudem unterstützt dieses Verzeichnis die Rechte der betroffenen Personen, z.B. wenn ein Antrag auf Auskunft eingeht. Mit dem Verzeichnis haben Sie einen soliden allgemeinen Überblick darüber, wo und zu welchem Zweck Daten bearbeitet werden.
Kann ich auch bereits genutzte Verzeichnisse der Bearbeitungstätigkeiten weiterverwenden?
Die Erstellung des Verzeichnisses an sich ist dank der zahlreichen online, z.B. von den Aufsichtsbehörden, zur Verfügung gestellten Vorlagen recht einfach. Gesetzlich wird keine besondere Form vorgeschrieben. Weder die DSGVO noch das revDSG enthalten konkrete Anforderungen im Hinblick auf das Format. Die Verzeichnisse müssen maschinenlesbar sein und folglich in Word, Excel oder einer vergleichbaren Software geführt werden.
Wenn Ihr Unternehmen bereits in den vergangenen Jahren in diesem Bereich Vorarbeit geleistet hat und Sie bereits ein Verzeichnis der Bearbeitungstätigkeiten für die DSGVO nutzen, können Sie diese Struktur weiterverwenden. Sie können dabei kleinere Anpassungen bzw. Ergänzungen in Betracht ziehen, z.B. eine Liste der Staaten, in die Daten übertragen werden, sowie die Rechtsgrundlage und die entsprechenden Garantien, auf denen sie basieren. Wenn es irgendwelche sonstigen geltenden Ausnahmen gibt, sollten Sie diese mit in die Liste aufnehmen.
Zudem sollten Sie darauf achten, das Verzeichnis der Bearbeitungstätigkeiten regelmässig zu aktualisieren. Immer dann, wenn es eine neue Bearbeitungstätigkeit gibt oder sich eine Bearbeitungstätigkeit ändert, müssen diese Änderungen auch im Verzeichnis zum Ausdruck kommen. Das Verzeichnis sollte zudem regelmässig überprüft werden, denn es handelt sich um ein «lebendes» Dokument.
Haben Sie Fragen?
https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de
#social#
Datenschutz-Insights
Contact us
Associate | Data Privacy | ICT | Implementationᐩ, PwC Switzerland
Tel: +41 58 792 43 06