Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Was ist mit dem «Bearbeitungsverzeichnis» gemeint?

Die EU-DSGVO sieht – quasi in Vorreiterfunktion für die Schweiz – für Unternehmen, Institutionen und auch Vereine vor, dass sie, unter gewissen Voraussetzungen (die auch bei Kleinunternehmen schnell erfüllt sein können), ein sogenanntes «Verfahrensverzeichnis» erstellen. [Siehe hierzu Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten) DSGVO].

Die Schweiz hat mit dem nDSG den Ball aus der EU aufgenommen und verlangt das Gleiche für Schweizer Unternehmen, Institutionen und Bundesorgane. Artikel 12 (Verzeichnis der Bearbeitungstätigkeiten) nDSG normiert das Erfordernis entsprechend. Dort heisst es in Absatz 1:

«1 Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten. [...]»

In Absatz 5 des gleichen Artikels wird dazu wie folgt konkretisiert:

« [...] 5 Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. »

Im Vergleich zur EU-DSGVO wirkt die Schweizer Regelung als etwas weniger einengend. Dennoch gilt auch hier, dass eine regelmässige Datenbearbeitung zu einer Verpflichtung für das Erstellen bzw. die Pflege eines geeigneten «Bearbeitungsverzeichnisses» führt.

Wie ein Schweizer Unternehmen sein Bearbeitungsverzeichnis gestaltet und aufbaut, hängt in der Regel von der Unternehmensgrösse ab. Während sich bei Kleinunternehmen die Geschäftsleistung wohl selbst um das «Verzeichnis» kümmern wird, werden bei mittleren und grossen Unternehmen sicherlich Projekt-Teams oder ähnliches einzusetzen sein.

Während der Gesetzgeber keine konkrete Form und Vorgehensweise vorschreibt, muss dem Erstellen eines Bearbeitungsverzeichnisses sicherlich eine Durchleuchtung aller vom Unternehmen vorgenommenen bzw. stattfindenden Bearbeitungsverfahren vorausgehen.

Dabei geht es um die Bestimmung, «wie», «wo» und «in welcher Weise» Personendaten im Unternehmen bearbeitet werden. (Zu entsprechend dafür notwendiger Dokumentation gibt es dafür am Markt inzwischen speziell entwickelte Tools; bei den meisten kleineren Unternehmen könnte eine einfache Excel-Liste ausreichen).

Im Prinzip erstellen Unternehmen ihre eigene «Prozesslandkarte» der «Datenflüsse», die sämtliche Datenbearbeitungs-Vorgänge und -Verfahren identifiziert, in welchen mit Personendaten der Mitarbeitenden, Kunden und allenfalls Lieferanten umgegangen wird. Folgende Prozesse und Verfahren sind dabei zu identifizieren und zu dokumentieren:

  • Kernprozesse im Unternehmen: Beratungsdienstleistungen, Vertriebsprozesse, Bestellungsabwicklung, Kundensupport etc.
  • Administrationsprozesse: Buchhaltung, Zahlungsverkehr, Betreibungen, Datenarchivierung etc.
  • Personalverwaltungsprozesse: Personaldossiers, Arbeitszeiterfassung, Bewerbungsprozesse, Vorstellung von Mitarbeitenden auf der Unternehmens-Website etc.
  • Werbungs- und Marketingprozesse: Werbung, Marketing, CRM, Tracking-Massnahmen, Newsletter, Kontaktformulare etc.

Aus der «Prozesslandkarte» ergibt sich für jedes «identifizierte» und datenschutzrelevante Verfahren die Basis zum Erstellen des eigenen «Verzeichnisses», das die Informationsanforderungen des nDSG zu erfüllen hat, wie es in Artikel 12 in den Absätzen 2 und 3 nDSG spezifiziert wird:

«[...] 2 Das Verzeichnis des Verantwortlichen enthält mindestens:

  1. die Identität des Verantwortlichen;
  2. den Bearbeitungszweck;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  4. die Kategorien der Empfängerinnen und Empfänger;
  5. wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  6. wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8 [Datensicherheit];
  7. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 [Grundsätze] Absatz 2.

3 Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g. [...] »

Es ist davon auszugehen, dass das Erstellen eines «Bearbeitungsverzeichnisses» grundsätzlich für die Mehrheit der Schweizer Unternehmen zur Pflicht wird. Doch selbst ohne das Bestehen einer Pflicht ist das Führen eines «Verzeichnisses» schon deshalb «mehr als ratsam», weil es die Basis für einen Grossteil der jeweiligen Datenschutzaktivitäten ist und zudem einen vollständigen und strukturierten Überblick über die Datenströme im Unternehmen ermöglicht.

Nicht zuletzt ist das «Verzeichnis» ebenso Grundlage für die Veröffentlichung der eigenen Datenschutzerklärung und liefert die Übersicht über Verträge zur Auftragsdatenbearbeitung mit Dritten.

Ausserdem ist (eigentlich) nur so zu gewährleisten, dass Auskunfts-, Berichtigungs-, Löschbegehren, die betroffene Personen im Rahmen ihrer Betroffenenrechte gegenüber einem Unternehmen geltend machen, umfassend, rechtskonform und insbesondere zeitnah erfüllt werden.