Verzeichnis von Verarbeitungstätigkeiten aufbauen

GRC@SAVISCON: Datenschutz-Management

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GoBD – was hat sich geändert?“ der Reihe GRC@SAVISCON über die Aktualisierungen der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) berichtet haben, soll es heute um das Verzeichnis von Verarbeitungstätigkeiten gehen.

Ein kurzer Rückblick:

Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

In meinem letzten Blog zum Thema Datenschutz habe ich über das Verzeichnis von Verarbeitungstätigkeiten berichtet und darüber, dass das Verzeichnis als Zentrum bzw. Kern angesehen werden kann. Die komplette Dokumentation lässt sich um das Verzeichnis herum aufbauen und es kann auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen und Maßnahmen verwiesen werden.

Was gehört alles in das Verzeichnis von Verarbeitungstätigkeiten?

Zur besseren Übersicht kann man mit dem Verzeichnis in übergeordneten Gruppen/Abteilungen starten (z. B. Personal, Buchhaltung, Vertrieb, Marketing) und dann mit Unterstützung der KollegInnen die entsprechenden Verarbeitungstätigkeiten darunter sammeln. Eine Verarbeitungstätigkeit stellt einen Prozess dar, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden, z. B. die Lohn- und Gehaltsabrechnung, ein System zur Zeiterfassung, das Bewerbermanagement oder die Videoüberwachung von Verkaufsräumen.

Detailtiefe bestimmen – eine Herausforderung

Als wir mit unserem Verzeichnis gestartet sind, haben wir uns immer wieder die Frage gestellt, was eigentlich als eine Verarbeitungstätigkeit zu sehen ist – wie feingranular muss das Verzeichnis aufgebaut werden? Hier kann keine pauschale Aussage getroffen werden, denn jedes Unternehmen ist individuell zu betrachten und natürlich spielt auch die Größe des Unternehmens eine Rolle. Aber wir haben für die SAVISCON entschieden, dass wir immer eine neue Verarbeitungstätigkeit dokumentieren, sobald sich die Kategorie der Daten oder die Gruppe der Empfänger unterscheidet.

Hier ein Beispiel aus der Praxis:

Mehrmals im Jahr führen wir Telemarketing-Aktionen über einen Dienstleister durch. Hierbei handelt es sich immer wieder um die gleichen Datenkategorien (Personendaten, Kontaktdaten) und auch die Empfänger (Dienstleister A und die Deutsche Post) sind identisch. Dieser Prozess wird als eine Verarbeitungstätigkeit in unserem Verzeichnis geführt, obwohl sie mehrmals im Jahr zu unterschiedlichen Themen/Produkten durchgeführt wird. In unserem GRC-COCKPIT ist dieser Prozess dann auch mit den Stammdaten von Dienstleister A verknüpft inkl. Dienstleistungsvertrag und Auftragsverarbeitungsvertrag.

Screenshot aus dem GRC-COCKPIT

Verknüpfung vom Prozess und der Verarbeitungstätigkeit mit dem Partner.

Wenn wir jetzt aber eine Telemarketing-Aktion mit einem anderen Dienstleister durchführen, wird es dazu eine neue, weitere Verarbeitungstätigkeit in unserem Verzeichnis geben. Auch wenn die gleichen Datenkategorien verarbeitet werden, haben wir einen anderen Empfänger der Daten (Dienstleister B und die Deutsche Post). Der neue Dienstleister wird ebenfalls in unserem GRC-COCKPIT als Partner erfasst und sämtliche Verträge damit verknüpft (Hauptvertrag und AV-Vertrag). So können wir ein strukturiertes Verzeichnis sicherstellen und behalten zusätzlich den Überblick über die Auftragsverarbeiter und die dazugehörigen Verträge. Endet eine Zusammenarbeit mit einem der Auftragsverarbeiter, so kann die Verarbeitungstätigkeit geschlossen/deaktiviert werden. Müssen AV-Verträge aktualisiert werden, kann ich über aktive Verarbeitungstätigkeiten die Auftragsverarbeiter ermitteln, die Aktualisierung strukturiert angehen und im GRC-COCKPIT zur besseren Nachverfolgung Termin-Überwachungen einrichten.

Screenshot aus dem GRC-COCKPIT

Verknüpfung von Partner mit Maßnahme und Anhängen.

Wie erkenne ich eine Verarbeitungstätigkeit?

Eine weitere Frage, die uns immer wieder beschäftigt: ist das überhaupt eine Verarbeitungstätigkeit und wenn ja, von uns oder von unserem Dienstleister? Wieder ein Beispiel aus der Praxis: Webinare über XING bewerben.
Wir haben uns dazu entschlossen, kostenfreie Webinare anzubieten und über XING zu bewerben. Wir nutzen XING als Dienstleister und XING schlägt unser Event in unserem Auftrag beispielsweise allen IT-Leitern vor und macht sie so auf unser Webinar-Angebot aufmerksam. Da wir in diesem Szenario keine Personen direkt anschreiben, findet keine Verarbeitung von personenbezogenen Daten durch uns statt, also keine Verarbeitungstätigkeit von uns – wohl aber von XING. Erst durch eine aktive Anmeldung zum Webinar erhalten wir personenbezogene Daten (Name, E-Mail-Adresse, etc.) und nutzen diese für die Termineinladung – erst jetzt ist es eine Verarbeitungstätigkeit für unser Verzeichnis.

Warum das Verzeichnis so wichtig ist:

Wie eingangs erwähnt, kann das Verzeichnis den zentralen Kern darstellen, um den man alles weitere aufbaut:

Grafik Verzeichnis von Verarbeitungstätigkeiten als Kern

Das Verzeichnis von Verarbeitungstätigkeiten als Kern des Datenschutz-Managements.

Mit jeder dokumentierten Verarbeitungstätigkeit werden die dazugehörigen Maßnahmen (TOM) verknüpft und dokumentiert. Werden Auftragsverarbeiter eingesetzt, so können die entsprechenden Vertragswerke (Dienstleistungsverträge, AV-Verträge, etc.) hinterlegt werden. Ebenso können aus dem Verzeichnis heraus Richtlinien (z. B. Archivierungsrichtlinien, Passwortrichtlinien, etc.), Arbeitsanweisungen und Konzepte (z. B. Löschkonzept) verlinkt werden.
Zur Erfüllung eines Auskunftsersuchens (Betroffenenrechte laut DSGVO) liefert das Verzeichnis wichtige Informationen, nämlich welche Daten sind wo gespeichert und warum und wie lange. Und auch eine Datenschutz-Folgenabschätzung kann (falls notwendig) direkt aus der entsprechenden Verarbeitungstätigkeit abgeleitet werden. Sie sehen, es lohnt sich Zeit und Mühe in das Verzeichnis zu stecken, da viele andere Themen darauf aufgebaut werden können.

In meinem nächsten Datenschutz-Blog wird die Datenschutz-Folgenabschätzung (kurz: DSFA) Thema sein. Auch hier haben wir in unserem GRC-COCKPIT neue Features eingebaut. Lassen Sie sich überraschen …

…to be continued:

Hier die Zusammenfassung der neuen Erkenntnisse aus dem Projekt Datenschutz:

  • für die Struktur des Verzeichnisses am besten mit übergeordneten Gruppen (Abteilungen) starten und darunter die einzelnen Verarbeitungstätigkeiten sammeln
  • Festlegung treffen, wie feingranular das Verzeichnis aufgebaut werden soll
  • das Verzeichnis kann als Zentrum/Kern gesehen werden
  • es lohnt sich, Zeit und Mühe in das Verzeichnis zu stecken, da alles Weitere darauf aufbaut

Im nächsten Blog-Beitrag schauen wir wieder in das Projekt Datenschutz: Datenschutz-Folgenabschätzung.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Digitalisierung von Compliance-Management-Prozessen

Chance für eine ganzheitliche Betrachtung

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Digitalisierung von Compliance-Prozessen ist auf dem Vormarsch! Diesen Trend bestätigen, stellvertretend für zahlreiche andere Ausführungen und Studien, beispielsweise die jährlichen Studien von Deloitte „The Future of Compliance 20xx”. Der Markt von Anbietern, die digitale Compliance-Produkte anbieten, wächst stetig. Diese Lösungen sind zwar sehr oft gut und sinnvoll, jedoch meist auf spezifische Compliance-Themengebiete fokussiert. Durch die verteilte Bearbeitung bestimmter Compliance-Themenbereiche kann so in größeren Organisationen eine unkoordinierte Anhäufung von IT-Anwendungen entstehen. Das erhöht die Komplexität entweder für den IT-Betrieb, oder, bei starker Nutzung von Cloud-Dienstleistungen, den Aufwand für Datenschutz und Providermanagement. Es erhöht aber nicht unbedingt die Transparenz über alle Compliance-Aktivitäten in der Organisation. Was häufig fehlt ist die „digitale Klammer“ um die Sammlung aller Compliance-Anforderungen, -Risiken und -Maßnahmen und den genutzten spezifischen IT-Anwendungen.

Unterschiedliche Anforderungen führen zu einer Sammlung verschiedener IT-Anwendungen

Die Digitalisierung bietet bereits heute viele Lösungen für bestimmte Compliance-Themenfelder an. Gemäß der Studie von Deloitte „The Future of Compliance 2020“ sind es vor allem Anwendungen für Sanktionslistenprüfung, Geldwäsche-Screening/KYC und Hinweisgebersysteme, die digital gut bis sehr gut funktionieren. Richtung Compliance-Kultur, Kommunikation und Sensibilisierung sind E-Learning und Computer-Based-Trainings bereits weit verbreitet. In der Zukunft werden sich weitere Systeme etablieren. Dabei sind es sicher Detektionsmechanismen, getrieben durch Big Data Analytics und KI, die zukünftig eine größere Rolle spielen werden. Wie etwa die bereits gängigen Anwendungen, welche aus Millionen Kontobewegungen auffällige Transaktionen herausfiltern und diese dem Compliance-Team anzeigen. Für jedes weitere Big Data Analyseziel muss allerdings immer ein eigenes Analysemodell und damit eine weitere Anwendung implementiert oder eingebunden werden.

Die Bearbeitung verschiedener Compliance-Themen ist über die Organisation verteilt

Wechseln wir einmal die Perspektive weg von IT-Systemen auf die Organisation selbst. „Vorzugsweise ist das Compliance-Management […] in das Finanz-, Risiko-, Qualitäts-, Umwelt- und Gesundheitsmanagement der Organisation und die betrieblichen Gegebenheiten und Prozesse integriert.“ Dieser Satz trifft den Nagel auf den Kopf, und das nicht ganz unerwartet. Schließlich steht er in der Einleitung der DIN ISO 19600:2016-12 Compliance-Managementsysteme – Leitlinien. Und eigentlich müsste man in dem Satz heutzutage noch das IT-Sicherheitsmanagement und das Management des Datenschutzes ergänzen. 

Dennoch ist die Wahrnehmung im Austausch mit unseren Kunden eine andere. Die Rechtsabteilungen größerer Organisationen behandeln in der Regel die gängigen Themen wie Geldwäsche und Terrorismusbekämpfung, Kartellrecht, Bestechung und Bestechlichkeit in einem Team. In der Finanzindustrie beispielsweise kommen die spezifischen Anforderungen der BaFin wie MaRisk, VAIT oder einschlägige Gesetze wie das Versicherungsvertragsgesetz noch dazu. Die Überprüfung weiterer bindender Verpflichtungen liegt jedoch regelmäßig in anderen Organisationseinheiten bei dazu ernannten Beauftragten. Hier geht es um Datenschutz, Umweltschutz, Arbeitsschutz, Betreiberverantwortung oder (IT-)Sicherheitsmanagement, um einmal die häufigsten zu nennen. Die benannten Beauftragten sitzen eher selten in der Compliance-Abteilung. Sie nehmen „ihre“ Themen für sich mit und bearbeiten diese nach bestem Wissen und Gewissen. Und das unter Umständen noch in eigenen, spezialisierten IT-Anwendungen.

Die digitale Klammer – ein digitales CMS

Die Anzahl der spezifischen Compliance-Anwendungen gepaart mit der Verteilung der Compliance-Themen auf die verschiedenen Organisationseinheiten erschwert den Überblick. Transparenz über den gesamten Compliance-Status einer Organisation zu erhalten, und diesen an verschiedene Stakeholder zielgruppengerecht und tagesaktuell zu berichten, wird so zur ständigen Herausforderung für die Ausführenden der Compliance-Funktion.

Hier kann die Digitalisierung klar weiterhelfen. Sie schafft mit einer Integration verschiedener Compliance-Themen in ein CMS signifikante Synergieeffekte. Das liegt daran, dass für die Themengebiete oft eigene Managementsysteme entworfen worden sind, wie ein Blick auf die einschlägigen DIN/ISO Standards zeigt. Die Anforderungen an die Prozesse in den Managementsystemen sind daher weitestgehend deckungsgleich. Die gängigen Managementsysteme orientieren sich in der Regel am Deming-Zyklus (Plan-Do-Check-Act) oder ähnlichen Konstrukten zur kontinuierlichen Verbesserung. Ein generischer digitaler CMS Kernprozess stellt sich wie folgt dar:

Infografik Compliance-Management-Kern

Kernprozess eines Compliance-Management-Systems

Beispielhafter Ablauf des Prozesses

Es beginnt mit Informationen, die möglicherweise Auswirkungen auf die Compliance haben. Diese Information werden in den Identifikationen am Anfang des Prozesses dokumentiert und über Workflows einer Würdigung durch eine oder mehrere betroffene Fachabteilungen zugeführt. Dabei kann es verschiedene Quellen für Identifikationen geben. Ob nun der Entwurf des Lieferkettengesetztes oder die Anbahnung eines Großauftrags zur Lieferung von Maschinenteilen ins Ausland. Beide Identifikationen müssen bezüglich der Abhängigkeit oder Auswirkungen auf die Compliance untersucht werden. Auch Einträge aus einem Hinweisgebersystem können über einen besonders geschützten Workflow anonymisiert und neutralisiert in Identifikationen hineinlaufen. Nur, wenn die Untersuchung der Identifikation einen Handlungsbedarf ergibt, läuft die Information in den Compliance-Management-Kernprozess.

Im Falle des Gesetzentwurfs wird das Gesetz als Anforderung in das System geladen. Es wird geprüft, ob die Organisation gegenüber den neuen Anforderungen bereits Maßnahmen implementiert hat, die den Anforderungen gerecht werden. Ist das der Fall, werden die Maßnahmen dokumentiert und mit der Anforderung verknüpft. Ist das nicht der Fall, muss die Risikoprüfung erfolgen und festgestellt werden, ob die Non-Compliance hier ein wesentliches Risiko darstellt. Wenn ja, müssen entsprechende Maßnahmen zur Risikobehandlung abgeleitet und geplant werden. Die Umsetzung aller Maßnahmen muss überwacht und deren Wirksamkeit festgestellt werden.

Bei dem Beispiel des Großauftrags leitet man direkt aus der Identifikation die Risiken ab, welche der Auftrag mit sich bringt. Beispielsweise Währungsrisiken, Risiken der Logistik oder auch Risiken aufgrund politischer Rahmenbedingungen. Aber auch Maßnahmen können direkt aus der Identifikation abgeleitet bzw. bereits vorhandene Maßnahmen damit verknüpft werden. Zum Beispiel die bereits bestehenden Standardmaßnahmen zur Überprüfung der Sanktionslisten und die Prüfung, ob Dual-Use bei den zu liefernden Maschinenteilen möglich und die Lieferung damit erlaubt ist. Auch diese Maßnahmen bekommen jeweils eine Überwachung und müssen bezüglich Durchführung und Wirksamkeit im System dokumentiert werden.

Die generische Anwendung ermöglich ein umfassendes Berichtswesen

Dieses Vorgehen lässt sich auf beliebige Compliance-Themen ausweiten. Jede Information, die relevant sein könnte, wird als Identifikation einer Würdigung unterzogen. Wird kein Handlungsbedarf festgestellt, so ist trotzdem im System dokumentiert, dass das Thema betrachtet wurde und warum diese Einschätzung getroffen wurde. Alle anderen Themen laufen in den Kernprozess, der generisch für alle Themen funktioniert.

Da alles in einem System stattfindet, ist auch das zielgerichtete Reporting leicht umgesetzt. Dabei geht es zum einen um Berichte in Form von Dokumenten, aber vor allem auch um ein Cockpit, in dem der Zustand des Systems immer aktuell auf einen Blick erfassbar ist:

COCKPIT Ansicht

Mögliches Beispiel für eine Cockpit Ansicht

In einer operativen Plausibilitätsprüfung können Auffälligkeiten ausgewertet und dargestellt werden, sodass mit einem Mausklick direkt die Auffälligkeiten betrachtet, analysiert und behoben werden können.

Screenshot Health Check aus dem GRC-COCKPIT

Mögliches Beispiel für eine Plausibilitätskontrolle.

Ein weiterer Vorteil des digitalen CMS ist, dass für interne und auch externe Audits alle Information im System vorhanden sind. Man kann also die Auditoren mit temporären und gezielten Zugriffsberechtigungen den Zustand des Compliance-Management-Systems vorab remote prüfen lassen, bevor ggf. eine örtliche Begehung stattfindet. Das reduziert die Reisetätigkeit und beschleunigt den Auditprozess erheblich.

Das bringt uns zurück an den Beginn dieses Textes. Die Ausführung soll zeigen, dass es mit einem solchen generischen Ansatz gelingen kann, alle Compliance-Themengebiete und auch Managementsysteme in einer Anwendung abzubilden. Entsprechende zielgruppenkonforme Sichten zeigen den spezifischen Anwendern genau die Informationen, die sie benötigen. Trotzdem hat aber die Unternehmensleitung einen vollständigen und ganzheitlichen Überblick, wie es um das Compliance-Management im Unternehmen bestellt ist. Das funktioniert allerdings nur, wenn die Compliance-Management-Prozesse komplett in einem digitalen CMS abgebildet sind, das die digitale Klammer um alle darunter liegenden Einzelprozesse und IT-Anwendungen bildet.

Fazit: Eine digitale Umsetzung eines Compliance-Management-Systems eröffnet die (einzige) Chance, trotz der großen Menge der anfallenden Daten und unabhängig von der Größe der Organisation, das CMS ganzheitlich aufzusetzen. Es ermöglicht ein Aufbrechen der Prozess-Silos und schafft damit erhebliche Synergieeffekte, die in der Bearbeitung der Compliance-Themen im gesamten Unternehmen gehoben werden können.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus.

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel