Die Erstellung und Pflege von einem Verzeichnis der Verarbeitungstätigkeiten (ROPA) ist für die Einhaltung des Datenschutzes und den Schutz der Privatsphäre in einem mittleren bis grösseren Unternehmen unerlässlich. Das ROPA ist das Herzstück einer jeden Compliance-Dokumentation. Es dokumentiert die zentralen Prozesse innerhalb Ihrer Organisation in Bezug auf die Verarbeitung von personenbezogenen Daten. Im Wesentlichen handelt es sich aus rechtlicher Sicht um eine Datenflussanalyse.
Personenbezogene Daten fließen über Schnittstellen, sogenannte Datensammelstellen. Eine Datensammelstelle könnte beispielsweise Ihre Website mit einem Kontaktformular, Ihr Mailserver, auf dem Sie E-Mails empfangen, oder eine Messe sein, auf der Sie mit potenziellen Interessenten oder Kunden in Kontakt treten. Für jede dieser Datenerfassungsstellen muss geprüft werden, ob sie Datenschutzhinweise zu den Rechten und Freiheiten der betroffenen Person enthalten muss.
Daher ist dies einer der Ausgangspunkte für ein ROPA und den darin enthaltenen Datenfluss. Sobald die Daten in Ihr Unternehmen gelangen, werden sie in verschiedenen Prozessen verwendet, die mit Systemen verbunden sind. Diese Prozesse haben eine allgemeine Beschreibung, die erklärt, was sie tun. In der Beschreibung sind auch die Personen aufgeführt, die an diesem Prozess beteiligt sind. Je nach Struktur der Organisation bearbeiten Abteilungen oder Teams die Daten innerhalb eines Prozesses.
Die Prozessdokumentation umfasst auch die externen Parteien, mit denen Sie die Informationen direkt austauschen und die keine Anwendung oder kein System verwenden. Es gibt zwei Möglichkeiten der Datenübermittlung: Eine direkte Übertragung wäre die Übermittlung einer Excel-Tabelle mit potenziellen Interessenten an eine Marketingagentur. Der zweite Weg führt über ein System. Sie könnten beispielsweise ein HR-System einsetzen, das bestimmte HR-Dateien oder HR-Informationen an den Anbieter der SaaS-HR-Lösung sendet.
In beiden Fällen handelt es sich um Übermittlungen an Datenverarbeiter oder für die Verarbeitung Verantwortliche. Dieser Verkäufer muss bewertet werden, und es müssen die erforderlichen Verträge geschlossen werden.
Informationen fließen in Ihre Organisation, Prozesse, verschiedene Abteilungen und Systeme und von dort zu den Datenverarbeitern oder -kontrolleuren. Am Ende der Datenlebenszyklen sind für die verarbeiteten Informationen und die beteiligten Systeme Lösch- und Aufbewahrungsfristen festgelegt. Die Verwendung von Datenlösch- und Aufbewahrungsplänen, die in der Priverion-Plattform verfügbar sind, macht es den Systemadministratoren leicht, die Aufzeichnungen zu pflegen und die notwendigen Prozesse entweder manuell oder automatisch zu implementieren, um bestimmte Informationen zu löschen oder aufzubewahren.
Der letzte Schritt des Datenflusses ist die Löschung oder Anonymisierung der Daten. All dies zusammen bildet das Verzeichnis der Verarbeitungstätigkeit.
Nun bleibt noch ein notwendiger Punkt: die Risikoanalyse für diese Verarbeitungstätigkeit. Die Risikoanalyse berücksichtigt die Wahrscheinlichkeit des Auftretens bestimmter Bedrohungen und das Ausmaß des Schadens, der durch die Ausnützung einer Schwachstelle entsteht.
So würde die Manipulation von Daten in einer Personalakte vielleicht finanzielle oder rufschädigende, aber keine gesundheitlichen Auswirkungen haben. Im Vergleich dazu könnte die Manipulation von Werten in einer Insulinpumpe in einem Krankenhaus zu einem sehr hohen Schaden führen.
Diese Fälle müssen bewertet werden, um das Risiko in den beiden Dimensionen Wahrscheinlichkeit und Schadenshöhe sowie in den verschiedenen Unterdimensionen der Wahrscheinlichkeiten und Bedrohungskategorien zu beurteilen.
Ein entscheidender Faktor für die Wahrscheinlichkeit und die Höhe des Schadens sind die technischen und organisatorischen Maßnahmen, die innerhalb dieses Prozesses angewendet werden. So kann die Verschlüsselung der Daten bei der Übertragung und im Ruhezustand sogar den Schaden abwenden, den eine Datenpanne oder ein Hackerangriff auf die Datenbank verursachen würde, da der Angreifer nur Zugriff auf verschlüsselte Daten hätte. Dadurch wäre der potenzielle Schaden minimal.
Diese Risikobewertung wird in der Regel im Team durchgeführt, da Einzelpersonen eine eigene Perspektive oder eine spezifische Wahrnehmung bestimmter Risiken und Wahrscheinlichkeiten haben. Daher empfehlen wir dringend, dass der Prozessverantwortliche, ein Datenschutzbeauftragter oder ein Datenschutzexperte sowie ein Mitarbeiter der Informationssicherheit oder der IT-Abteilung des Unternehmens daran teilnehmen. Diese drei oder vier Personen können die Risiken in Bezug auf die von der Verarbeitung betroffenen Personen am besten einschätzen und einen Konsens oder eine Mittelwertbildung für die Wahrscheinlichkeiten und Schadensdimensionen finden.
Zusammenfassend lässt sich sagen, dass die Organisation, bevor sie mit der Aufzeichnung von Verarbeitungstätigkeiten oder der Risikobestimmung beginnt, spezifische Parameter hinsichtlich der Wahrscheinlichkeit und des Schadens festlegen muss. Eine Organisation muss festlegen, was eine geringe, mittlere, hohe oder sehr hohe Wahrscheinlichkeit für sie bei dieser speziellen Bewertung ist. Dies kann einmal im Jahr, monatlich, täglich, stündlich oder jede Minute geschehen. Dies muss standardisiert und in einer Richtlinie festgehalten werden, damit jeder Mitarbeiter, der eine solche Bewertung vornimmt, die zugrunde liegenden Werte kennt. Das Gleiche gilt für die Schadenshöhe. Wann ist die Schadenshöhe in Bezug auf die betroffene Person hoch, wann ist sie niedrig?
In der Regel haben Organisationen Tabellen, in denen festgelegt ist, was für sie unter dem Gesichtspunkt der Informationssicherheit ein hoher Schaden ist. Während 100.000 Euro für einige Organisationen ein hoher Schaden sein können, sind es für andere 100 Millionen Euro. Bei der Bewertung muss jedoch das einzelne Datensubjekt und nicht die Organisation berücksichtigt werden. Im ROPA ist nur der Schaden für die betroffene Person relevant. Hier ist die durchschnittliche betroffene Person im Verarbeitungskontext die Ausgangsbasis, und ihr Schaden muss bewertet werden. Ein Verlust von 10.000 Euro oder eine Schädigung der Gesundheit oder des Ansehens kann für eine durchschnittliche Person erheblich sein, auch wenn die Beträge aus Sicht der Organisation gering sind.
Angenommen, die Bewertungsergebnisse lassen auf ein hohes Risiko für die betroffene Person schließen. In diesem Fall müssen zusätzliche technische und organisatorische Maßnahmen ergriffen werden, die sich nach dem geltenden Recht richten, um die betroffene Person vor dem potentiellen Schaden zu schützen.
Hier ist die Verhältnismäßigkeit wichtig. Die Einführung bestimmter Maßnahmen, die einen erheblichen Betrag überschreiten, steht möglicherweise nicht im Verhältnis zu dem Schaden, der entstehen könnte. In diesem Fall ist die Maßnahme vielleicht nicht durchführbar. aber es gibt gegebenenfalls Alternativen, die nicht so viel kosten, aber ein ähnliches Ziel erreichen.
Es ist wichtig, darauf hinzuweisen, dass diese Bewertung auf hoher Ebene kürzer ist als eine Datenschutz-Folgenabschätzung und aus einer allgemeinen Risikoperspektive erfolgt, die pragmatische Entscheidungen ermöglicht, insbesondere für spezielle Standardsituationen.
Eine Datenschutz-Folgenabschätzung geht mehr ins Detail, prüft mehr technische und organisatorische Maßnahmen und beinhaltet ein Befragungsverfahren der betroffenen Interessengruppen oder ein Feedback-Verfahren zu der zu bewertenden Verarbeitungstätigkeit.