Annika Schröder
Best Practice im Data Mapping
Zwischen Prozessbeschreibungen und Accountability: Dokumentationspflichten für Datenbearbeiter
Annika Schröder, Leiterin Datenschutz-Management, Migros-Genossenschafts-Bund, Zürich.
Die Autorin gibt in diesem Beitrag ihre persönliche Meinung wieder. Der vollständige Beitrag ist in der April-Ausgabe 2020 der digma – Zeitschrift für Datenrecht und Informationssicherheit erschienen.
Dokumentationspflichten aktueller Datenschutzgesetze stellen Unternehmen vor Herausforderungen. Es etablieren sich erste Best-Practice-Ansätze.
Weltweit steht der Datenschutz derzeit stark im Fokus der Gesetzgebung. Mit der EU-DSGVO hat der Gesetzgeber in der EU 2018 Grundlegendes im Datenschutz verändert und den ersten Stein der modernen Datenschutz-Gesetzgebung gelegt. Die EU-DSGVO stellt dabei vor allem die Pflichten für Unternehmen als Verantwortliche in den Fokus, vor allem in Bezug auf Dokumentations- und Auskunftspflichten. «Accountability» steht somit im Fokus der modernen Datenschutz-Gesetzgebung.
Die EU-DSGVO definiert Accountability als Rechenschaftspflicht, die sich im Grundsatz auf eine angemessene Dokumentation über Art, Umfang, Zweck und Dauer der Bearbeitung von Personendaten bezieht.
In der Praxis lassen sich aus EU-DSGVO und DSG diverse Dokumentationspflichten ableiten, so u.a. Die Pflicht zur Erstellung eines Verzeichnisses von Bearbeitungstätigkeiten. Dieses Verzeichnis, häufig auch als «Data Mapping» bezeichnet, muss Angaben zum Zweck der Bearbeitung, zu den Kategorien der betroffenen Personen, zu den Kategorien von Empfängern, zu möglichen Datenübermittlungen in Drittländer, zur Speicherdauer sowie Kontaktinformationen des für die Bearbeitung verantwortlichen Unternehmens enthalten.
Meist stehen Unternehmen für die Erfüllung dieser Dokumentationspflichten und die Erstellung des Bearbeitungsverzeichnisses vor einigen Herausforderungen:
- Die Identifikation von Verantwortlichkeiten im Sinne der Accountability: Die Dokumentationspflichten fordern die Benennung eines Verantwortlichen für die Datenbearbeitung. In der Praxis ist hierbei zwischen der Verantwortlichkeit aus Gesamtunternehmenssicht und der fachlichen Verantwortlichkeit für die Datenbearbeitung zu unterscheiden.
- Das Problem kaum vorhandener Prozessdokumentation: Da bei vielen Unternehmen wenige bis keine Prozessdokumentationen vorhanden sind, die den Zweck einer Prozessbeschreibung beim Data Mapping erfüllen, ergibt sich meist ein verhältnismässig grosser, zeitintensiver Aufwand zu Beginn des Data Mappings.
- Eine nachvollziehbare Struktur und Detaillevel beim Data Mapping: Auf Anfrage müssen die Prozessbeschreibungen bzw. das Bearbeitungsverzeichnis z.B. Aufsichtsbehörden bereitgestellt werden. Daher ist eine einheitliche Struktur erforderlich, die auch für Aussenstehende nachvollziehbar ist.
- Definition eines geeigneten Dokumentationsformats: Die Erfahrung zeigt, dass bei den meisten Unternehmen beim Data Mapping eine grosse Anzahl an Bearbeitungen zusammenkommt, die zeitgleich bearbeitet, geprüft und gepflegt werden müssen. Zentral ist daher die Auswahl eines geeigneten Formats zur Dokumentation, z.B. durch den Einsatz entsprechender Tools und Software.
- Die Koordination beim Data Mapping: Um ein Data Mapping effizient und strukturiert zu erstellen und zu pflegen, ist in der Regel eine zentrale Koordination notwendig. So können z.B. durch einen gesamtheitlichen Überblick Einheitlichkeit und Nachvollziehbarkeit der Dokumentation verbessert werden.
Die Umsetzungserfahrung zeigt, dass insbesondere folgende Best-Practice-Massnahmen die Herausforderungen im Data Mapping adressieren:
- Definition einer zentralen Verantwortlichkeit: Auf organisatorischer Seite bietet die Benennung einer zentralen Verantwortlichkeit den Vorteil, die Durchführung des Data Mapping zentral zu koordinieren. So lassen sich beispielsweise einheitliche Qualitätsmassstäbe über alle Unternehmensbereiche hinweg definieren.
- Orientierung an bestehenden Strukturen für das Data Mapping: Durch die Ausrichtung des Data Mappings an bestehenden und bekannten Strukturen, z.B. in Form vorhandener Organigramme oder Übersichten, wird die Zuordnung von Datenbearbeitungen zu verantwortlichen Unternehmensbereichen und Personen vereinfacht.
- Die Dokumentation im Data Mapping «lebt»: Um den Dokumentationspflichten nicht nur im Zeitpunkt der Erstaufnahme der Datenbearbeitungen gerecht zu werden, ist eine kontinuierliche. Laufende Aktualisierung der dokumentierten Bearbeitungen erforderlich. Hier empfiehlt sich zum Beispiel eine zentral koordinierte (halb-)jährliche Aktualisierung.
Zusammengefasst fordern geltende rechtliche Anforderungen an die Dokumentationspflichten von verantwortlichen Unternehmen für die Datenbearbeitungen neben Transparenz, Vollständigkeit und Nachvollziehbarkeit auch Aktualität. Um die Anforderungen laufend zu erfüllen, ergibt sich in Bezug auf das Data Mapping also ein laufender Aktualisierungsaufwand.