#getready EU-DSGVO: Prozessanalyse

2.Schritt: Verfahrensverzeichnisse und Prozessanalyse

Im Rahmen der neuen EU-DSGVO Einführung am 25.05.2018 stehen von Kleinunternehmen bis hin zu Großkonzernen, alle vor den gleichen Herausforderungen. Eine davon ist die neue Regelung bezüglich des Verfahrensverzeichnisses. Dieses ist ein grundlegender Teil der Dokumentation des Umgangs mit personenbezogenen Daten, welche die neue EU-Datenschutzgrundverordnung verlangt.

Was ändert sich?

Man versteht unter Verfahrensverzeichnis eine Beschreibung der einzelnen „Verarbeitungstätigkeiten“ des Unternehmens, innerhalb derer man mit personenbezogenen Daten in Berührung kommt. Dazu gehören auch sogenannte Kernprozesse wie beispielsweise Personalbeschaffung, Kundenbetreuung oder Lohnbuchhaltung. Diese Abläufe sollten standardisiert und dokumentiert sein, allerdings differenzieren sie sich häufig im daily business. Mit der EU-DSGVO sollen nun interne Verarbeitungsübersichten und externe Verfahrensverzeichnisse vereinheitlicht werden, sodass man der Nachweispflicht, wie man mit den Daten umgeht, nachkommen kann.

Was kann man tun?

Um zu verstehen, in welchen Prozessen ein Kontakt mit personenbezogenen Daten besteht und nichts übersehen wird, haben wir zusammen mit unserem Partner der blu Systems GmbH zunächst alle solche Tätigkeiten durch ein Brainstroming gesammelt. Damit man diese einzelnen Prozesse zur EU-DSGVO Anpassung nun datenschutzrechtlich bewertbar machen kann, wurden Ablaufdiagramme zu den einzelnen Kernprozessen erstellt. Die einzelnen Prozessschritte wurden anschließend in einer Prozessmatrix näher definiert, die sowohl eine RASIC, als auch eine Datenflussübersicht enthält. Auf diese Weise kann man die Prozesse detaillierter betrachten. Als hilfreiche Übersicht wurde ebenfalls eine Tabelle angelegt, in der die einzelnen Prozesse den jeweiligen Verantwortlichen zugewiesen wurden, sodass jedem Mitarbeiter bewusst ist, auf was er genau achten muss.