Es wird viel über die Dokumentationspflichten in der DSGVO geschrieben. Allen voran steht das Verzeichnis der Verarbeitungstätigkeiten. Diese Übersicht über die Verarbeitung personenbezogener Daten ist vieles in Einem. Dokumentation der Prozesse, Auftragsverarbeiter und externen Empfängern und letztendlich der Verantwortlichkeiten innerhalb des Unternehmens. Dazu sollten die Systeme und technischen und organisatorischen Maßnahmen beschrieben oder referenziert werden.
Was oftmals unterschätzt wird bei den heutigen Systemen ist die Interoperabilität und Anbindbarkeit untereinander. Kurzum die sogenannten Schnittstellen. Viele Dienstleister im IT-Bereich bieten Unternehmen an, die bestehenden Lösungen zu verbinden und interoperabel zu gestalten. Dabei ist das Ziel in der Regel Zeitersparnis verbunden mit einer Effizienzsteigerung.
Wenn die Zeiterfassung mit dem ERP-System spricht, die ActiveDirectory das HR-System anzapft oder im Dokumentenmanagementsystem Konten eingerichtet werden, gehen die personenbezogenen Daten sprichwörtlich auf Reisen. So werden aus eigentlich sicher gewähnten abgeschirmten Datentöpfen Daten regelmäßig extrahiert und modifiziert.
Denn eine Schnittstelle besteht immer aus einem sendenden und empfangenden System. Daher lohnt es sich aus Datenschutzsicht auf die Schnittstellendokumentation zu schauen und diese bei Neuerstellung und Anpassung von Einträgen im VVT heranzuziehen.
Viele Fragen sollten die Attribute bzw. Datenobjekte betreffen, neben der grundlegenden Frage des Zweckes. Denn welchen Vorteil erhofft man sich mit der Einrichtung? Sind alle abgerufenen Attribute erforderlich für den Zweck oder kann auch mittels Pseudonymisierung das gleiche Ziel erreicht werden? Was passiert anschließend mit den Datenpaketen? Erfolgt eine automatisierte Löschung oder wird archiviert und wie erfolgt die Auslösung?
Die Dokumentation und Prüfung können helfen, Risiken zu identifizieren und zu bewerten, um angemessene Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Mitunter werden auch Defizite in der eigenen Projektdokumentation offenbart, wenn der Datenschutz einmal dezidiert nachfragt.
Erst mit solchen Fragen und Prüfungen kann man die die Datenströmen innerhalb des Unternehmens angemessen dokumentieren bzw. kartieren. Die zugehörige Schnittstellendokumentation ist ein wichtiger Bestandteil des Datenschutzmanagements im Unternehmen.
Den Daten im Unternehmen auf der Spur zu bleiben ist eine der Aufgaben des Datenschutzbeauftragten. Das ist mitunter kompliziert, aber auch spannend.
Gerne unterstützen wir Ihren intern bestellten Datenschutzbeauftragten mit unseren Erfahrungen und unserer Expertise.