Unternehmen brauchen aufgrund gesetzlicher Vorgaben ein öffentliches Verfahrensverzeichnis und eine interne Verarbeitungsübersicht über alle Verfahren, bei denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden.

Während die Verarbeitungsübersicht der internen Dokumentation und Datenschutzkontrolle dient, sorgt das Verfahrensverzeichnis für Transparenz und schafft Vertrauen bei Kunden und Geschäftspartnern. Die Ergebnisse des TÜV SÜD Datenschutzindikators (DSI) zeigen jedoch, dass dies vielen Unternehmen nicht bewusst ist [1].

Obwohl es in § 4 Bundesdatenschutzgesetz (BDSG) gefordert ist, verfügen mehr als zwei Drittel der beim DSI befragten Unternehmen weder über ein öffentliches Verfahrensverzeichnis noch über eine aktuelle interne Verarbeitungsübersicht.

Doch vor allem letztere ist eine Grundlage guten Datenschutzmanagements und ein wichtiges Instrument des Datenschutzbeauftragten. In der Verarbeitungsübersicht müssen unter anderem die für das beschriebene Verfahren vorgesehenen Zwecke, die jeweils erhobenen, verarbeiteten oder genutzten personenbezogenen Daten sowie getroffene Sicherheitsmaßnahmen konkret beschrieben und mögliche Empfänger der personenbezogenen Daten benannt sein.

Damit der Datenschutzbeauftragte eine Bewertung der Verfahren zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten auf deren Zulässigkeit durchführen kann, sind vollständige und aussagekräftige Informationen in den Verarbeitungsübersichten letztendlich unabdingbar.

»Die Auswertungen des DSI zeigen, dass Unternehmen, die über eine gute allgemeine Dokumentation ihrer Verfahren verfügen, auch insgesamt ein gutes Datenschutzniveau haben«, erklärt Rainer Seidlitz, Prokurist der TÜV SÜD Sec-IT GmbH. »Das Erstellen einer internen Verarbeitungsübersicht ist ein wichtiger Schritt, um festzustellen, was tatsächlich bereits umgesetzt wird und wo noch Lücken bestehen.«

Wird die Verarbeitungsübersicht gründlich gepflegt und vom Datenschutzbeauftragten regelmäßig durchgesehen, kann er beispielsweise feststellen, dass Daten ohne gesetzliche Grundlage an einen Dritten übermittelt werden, dass mit einem Dienstleister keine Vereinbarung zur Auftragsdatenverarbeitung besteht oder dass intern verarbeitete Daten über die festgelegten Zwecke hinaus unzulässig verarbeitet werden. Dadurch kann er entsprechende Maßnahmen ergreifen und hohe Bußgelder vermeiden.

»Wer in Sachen Datenschutz Hilfe benötigt, kann an der Selbsteinschätzung DSI teilnehmen und sich von TÜV SÜD unterstützen lassen«, fügt Rainer Seidlitz hinzu.

[1] Der TÜV SÜD DSI wurde im Juli 2014 von der TÜV SÜD Sec-IT GmbH, unterstützt durch die LMU München, vorgestellt. Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können am TÜV SÜD DSI unter www.tuev-sued.de/datenschutzindikator teilnehmen. Die aktuelle Trendfrage »Achten Sie auf die Datenschutzvereinbarungen des Anbieters, wenn Sie PC-Software, Smartphone-Apps oder Online-Dienste nutzen?« kann unabhängig von der Selbsteinschätzung beantwortet werden.

Weitere Informationen zum Thema Datenschutz und Datensicherheit erhalten Interessenten unter www.tuev-sued.de/sec-it oder unter der kostenlosen Rufnummer 0800/5791-5005.