Ist-Situation Verarbeitungstätigkeiten
Zunächst gilt es, den betriebliche Schutzbedarf zu klären bzw. die “Ist-Situation“ schutzrelevanter Verarbeitungen festzustellen.
Die Aufgabe Datenschutz bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten. Das sind alle Informationen, durch die eine lebende Person identifizierbar und identifiziert wird.
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; DSGVO Art. 4 Ziff. 1
Die Leitung kennt ihren Betrieb/ihre Einrichtung besser als jeder Außenstehende. In der Regel weiß sie, wozu Daten über das Verhalten und zur Person von welcher Stelle in welchen Vorgängen benötigt, gesammelt, vorgehalten oder weitergeben werden.
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; DSGVO Art 4 Ziff. 2
Die Verantwortung für die Verarbeitung liegt in den Händen der Betriebsleitung. Sie betraut Stellen, z. B. Personalabteilung bzw. Dienstleister, z. B. Internet-Service-Provider, Steuerberatungskanzlei mit der Verarbeitung.
Nach diesen begrifflichen Klärungen kann nun die Bestandsaufnahme beginnen.
In welchen Verfahren, durch welche Stellen, für welche Vorgänge verarbeiten Sie, Ihre Mitarbeiter und ggf. beauftragte Dienstleister Angaben zur Person (personenbezogene Daten)?
Tipp: Beginnen Sie mit den bereits vorhandenen Dokumentationen zum Datenschutz, oder gängigen Verzeichnissen z. B. Kundenlisten oder Mitarbeiterstammdaten.
Die Analyse betrieblicher Prozesse und der Geschäftstätigkeiten ermittelt an welchen Stellen Informationen über Personen verarbeitet werden.
Leicht übersehen wird die typische Mitarbeiter- oder Lieferanten-Mailadresse der Form: v(orname)Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder aber die IP-Adresse/ Geräte-Kennung eines Smartphones. Beide gelten als personenbezogene Daten. Durch die letztere lässt sich z. B. der Standort einer Person identifizieren und wird identifiziert. Erstere stellt über den Namen einen direkten Bezug zur Person her.
----
1Für die EU vgl. Art 8 der Grundrecht-Charta, für Deutschland das verfassungsgerichtlich normierte Recht auf informationelle Selbstbestimmung mit Bezug zu Artikel 1 Grundgesetz.