Anleitung

Funktionsweise und allgemeine Hinweise

[Sie find­en die fol­gen­den Erläuterun­gen auch im For­mu­lar “Inhalt­süber­sicht, Anleitung und Glos­sar” unter Down­loads.]

Das Tool beste­ht aus einem Set von PDF-For­mu­la­ren. Jedes For­mu­lar deckt einen anderen Aspekt des Daten­schutzrechts ab; es kön­nen, müssen aber nicht alle For­mu­la­re bear­beit­et wer­den. Gewisse For­mu­la­re müssen mehrfach aus­ge­füllt wer­den (z.B. für jede Daten­bear­beitung im Unternehmen eins). Es gibt zwei For­mu­la­rsorten: Die eine Sorte dient lediglich der Doku­men­ta­tion (A.1, A.2, B.1, B.2, B.3), während andere der daten­schutzrechtlichen Beurteilung und Doku­men­ta­tion dienen (z.B. E.1, C.1, D.1).

Der Blick­winkel der For­mu­la­re ist unter­schiedlich:

  • Solche, die sich auf das gesamte Unternehmen beziehen (A.1, A.2, B.1). Diese hal­ten Basis­in­for­ma­tio­nen fest, ein­schliesslich der Über­sicht über alle Daten­bear­beitun­gen.
  • Solche, die für das gesamte Unternehmen oder auch nur für spez­i­fis­che Unternehmens­bere­iche aus­ge­füllt wer­den kön­nen und dazu dienen, daten­schutzrel­e­vante Prozesse, Funk­tio­nen und Vorkehrun­gen zu beurteilen (z.B. D.1–5, F.1–3, C.1).
  • Solche, die sich auf die einzel­nen Daten­bear­beitun­gen im Unternehmen beziehen (B.1–3, E.1–5, G.1, teil­weise C.1). Diese brin­gen den grössten Aufwand mit sich, weil sie für jede Daten­bear­beitung geson­dert aus­ge­füllt wer­den müssen. Was eine “Daten­bear­beitung” ist, wird später erläutert.

Auf der ersten Seite jedes For­mu­la­rs kann jew­eils angegeben wer­den, worauf sich das For­mu­lar bezieht (Unternehmen­sein­heit, Datenbearbeitung(en) mit Iden­ti­fika­tion­snum­mer gemäss For­mu­lar B.1) sowie wann das For­mu­lar durch wen aus­ge­füllt wurde.

Jedes For­mu­lar ist so auszufüllen, dass es den sta­tus quo angibt, also den momen­ta­nen Zus­tand, und zwar auch dann, wenn der Zus­tand ein­er Daten­bear­beitung oder die Sit­u­a­tion im Unternehmen noch nicht daten­schutzkon­form ist und Mass­nah­men erst zu tre­f­fen sind. Sind diese getrof­fen, sollte das For­mu­lar erneut aus­ge­füllt wer­den. So kann der Fortschritt doku­men­tiert wer­den.

Alle For­mu­la­re soll­ten, sobald aus­ge­füllt, archiviert wer­den. Die Doku­men­ta­tion der Selb­st­beurteilung ist eine wichtige Funk­tion des Tools und eine Anforderung des Daten­schutzrechts (Prinzip der Account­abil­i­ty): Unternehmen müssen zeigen kön­nen, dass sie den Daten­schutz ein­hal­ten, d.h. dass sie sich mit den Anforderun­gen des Daten­schutzrechts auseinan­derge­set­zt, ihre eige­nen Daten­bear­beitun­gen (und flankieren­den Mass­nah­men) auf ihre Kon­for­mität hin beurteilt haben und, wenn nötig, Mass­nah­men zur Verbesserung iden­ti­fiziert und ergrif­f­en haben. Daten­schutzbe­hör­den kön­nen sich diese Doku­men­ta­tion zeigen lassen.

Auf gewis­sen For­mu­la­ren ist nicht nur anzugeben, wer sie aus­ge­füllt hat, son­dern auch, wer für die betr­e­f­fende Daten­bear­beitung ver­ant­wortlich ist. Diese Per­son ist sowohl für das kor­rek­te und voll­ständi­ge Aus­füllen der Selb­st­beurteilung wie auch für die dabei getrof­fe­nen Entschei­dun­gen betr. Kon­for­mität und etwaigen Mass­nah­men ver­ant­wortlich. Dies ist ein wichtiger Aspekt des Tools: Jede für eine Daten­bear­beitung ver­ant­wortliche Per­son muss für ihre Daten­bear­beitung und deren Beurteilung selb­st die Ver­ant­wor­tung tra­gen. Wenn sie sich in einem Punkt nicht sich­er ist, muss sie von sich aus einen Experten oder die anderen nöti­gen Stellen fra­gen. Dies funk­tion­iert wie bei der Steuer­erk­lärung: Wer nicht weiss, wie sie aus­ge­füllt wer­den muss, muss Hil­fe holen.

Am Ende des For­mu­la­rs E.1 ist fern­er eine Beurteilung durch die Busi­ness Own­er der von ein­er Daten­bear­beitung betrof­fe­nen Prozesse vorge­se­hen. In den meis­ten Unternehmen wer­den Daten­bear­beitun­gen mit den Prozessen des Unternehmens nicht deck­ungs­gle­ich sein. Da jedoch das Risiko-Man­age­ment typ­is­cher­weise an die Prozesse des Unternehmens anknüpft, wird mit dieser let­zten Seite des For­mu­la­rs E.1 die Brücke geschla­gen und von den für die von ein­er Daten­bear­beitung betrof­fe­nen Prozesse ver­ant­wortlichen Per­so­n­en erfragt, ob sie damit ver­bun­dene Risiken zu tra­gen bere­it sind oder aber welche Mass­nah­men umge­set­zt wer­den müssen. Hier­bei kann auch die Ansicht der Daten­schutzstelle, sofern es eine solche gibt, fest­ge­hal­ten wer­den.

Das For­mu­lar E.1 und diverse weit­ere For­mu­la­re sehen vor, dass je nach Kon­for­mität des betr­e­f­fend­en Prozess­es oder der betr­e­f­fend­en Daten­bear­beitung bes­timmte Mass­nah­men zu tre­f­fen sind. Diese sind als Vorschläge aus­gestal­tet, d.h. sie sind möglicher­weise nicht alle sin­nvoll oder nötig. Der Entscheid über diese Mass­nah­men und ggf. die Pri­or­isierung und deckt das Tool nicht ab.

Sobald die Vorschläge für Mass­nah­men fest­ste­hen, empfehlen wir daher, die von den ver­ant­wortlichen Stellen vorgeschla­ge­nen Mass­nah­men in ein sep­a­rates Doku­ment (z.B. Excel) zu übernehmen, über die einzel­nen Mass­nah­men zu entschei­den und sie zu pri­or­isieren. In diesem sep­a­rat­en Doku­ment kann auch deren Umset­zung kon­trol­liert wer­den.

Sind die Mass­nah­men ein­er bes­timmten Daten­bear­beitung oder eines bes­timmten Prozess­es vorgenom­men, kann das betr­e­f­fende For­mu­lar, das dazu Anlass gab, erneut aus­ge­füllt wer­den, um den nun mehr daten­schutzkon­for­men Zus­tand zu doku­men­tieren.

In den Beurteilungs­for­mu­la­ren kann jew­eils fest­ge­hal­ten wer­den, wenn die Sit­u­a­tion unklar erscheint, d.h. der Beurteilungsvor­gang nicht ohne zusät­zliche Abklärun­gen oder Experte­nun­ter­stützung abgeschlossen wer­den kann. In diesen Fällen sind die betr­e­f­fend­en Abklärun­gen zu tre­f­fen bzw. Experten­mei­n­un­gen einzu­holen.

Eben­falls kann fest­ge­hal­ten wer­den, ob angesichts der Beurteilung Sofort­mass­nah­men erforder­lich sind, bis hin zur vorüberge­hen­den Ein­stel­lung ein­er Daten­bear­beitung. Solche Sofort­mass­nah­men wer­den erfahrungs­gemäss die absolute Aus­nahme sein.

Der Ablauf

Der Ablauf der Selb­st­beurteilung ist im nach­fol­gen­den Fluss­di­a­gramm fest­ge­hal­ten. Die orangen Doku­mente beurteilen einzelne Daten­bear­beitun­gen, die blauen Doku­mente über­greifende Prozesse, Funk­tio­nen oder Aspek­te.

  1. Begonnen wird mit For­mu­lar A.1 und option­al For­mu­lar A.2. Darin wer­den bes­timmte Grun­dangaben zum Unternehmen fest­ge­hal­ten. Beurteilt wird noch nichts; die bei­den For­mu­la­re dienen nur der Doku­men­ta­tion. Es wird auch abge­fragt, ob gewisse nach DSGVO teil­weise erforder­liche Stellen existieren. Ob es diese braucht, wird später mit For­mu­lar D.1 beurteilt.In einem Konz­ern ist für jede rechtliche Ein­heit (juris­tis­che Per­son) eine sep­a­rate Beurteilung vorzunehmen. Die ver­schiede­nen Gesellschaften eines Konz­erns sind grund­sät­zlich wie Dritte zu behan­deln, auch wenn sie z.B. bes­timmte IT-Anwen­dun­gen (z.B. Per­son­alver­wal­tung oder Buch­hal­tung) teilen. In diesen Fällen ist jede Unternehmen­sein­heit für ihren Teil der IT-Anwen­dung bzw. der darin ver­ar­beit­eten Dat­en ver­ant­wortlich.
  1. In einem zweit­en Schritt müssen die Daten­bear­beitun­gen des Unternehmens ermit­telt und in For­mu­lar B.1 erfasst wer­den. Gemeint sind die ver­schiede­nen Aktiv­itäten, in deren Rah­men Per­so­n­en­dat­en bear­beit­et wer­den, also Infor­ma­tion, die sich auf bes­timmte oder bes­timm­bare natür­liche Per­so­n­en (d.h. Men­schen) beziehen. Bes­timm­bar ist eine Per­son dann, wenn genü­gend Angaben vor­liegen, anhand welch­er die betrof­fene Per­son unter Zuhil­fe­nahme ander­er Daten­quellen iden­ti­fiziert wer­den kann, auch wenn dafür ein vertret­bar­er Zusatza­ufwand betrieben wer­den muss (z.B. eine AHV‑, Handy- oder eine Bankkon­to-Num­mer ein­er Per­son). Für den vor­liegen­den Kon­text wird emp­fohlen, IP-Adressen und dauer­hafte Cook­ies eben­falls als Per­so­n­en­dat­en zu betra­cht­en, auch wenn sie dies kor­rek­ter­weise in manchen Fällen nicht sind (in der EU beste­ht jedoch eine starke Ten­denz, sie als solche zu betra­cht­en). Eine Bear­beitung ist jed­er Umgang mit Per­so­n­en­dat­en, also solche erheben, nutzen, weit­ergeben oder auch nur aufbewahren.Es gibt keine bes­timmte Regel, nach welchen Kri­te­rien die Vielzahl an Daten­bear­beitun­gen in einem Unternehmen aufzutren­nen sind (nach IT-Anwen­dung, nach Geschäft­sprozess, nach betrof­fe­nen Per­so­n­en, nach ver­ant­wortlich­er Per­son). Wesentlich ist, dass jene Aktiv­itäten zu ein­er Daten­bear­beitung zusam­menge­fasst und unter einem Titel und mit ein­er Num­mer in For­mu­lar B.1 einge­tra­gen wer­den, die eine logis­che Ein­heit bilden und für welche die Fra­gen ins­beson­dere gemäss For­mu­lar E.1 bzw. For­mu­lar E.2 ein­heitlich beant­wortet wer­den kön­nen. Die Zwecke von Q4 von For­mu­lar B.2 geben einen Hin­weis auf typ­is­che Daten­bear­beitun­gen, die alle Unternehmen haben (z.B. Per­son­al­ad­min­is­tra­tion, Rekru­tierung, Finanzen und Buch­hal­tung).
  2. Zu viele Daten­bear­beitun­gen zu definieren, schafft unnöti­gen Aufwand. Ähn­liche Daten­bear­beitungsak­tiv­itäten kön­nen und soll­ten daher zu ein­er Daten­bear­beitung zusam­menge­fasst wer­den, ins­beson­dere, wenn dieselbe Per­son für sie ver­ant­wortlich ist und sie eine gewisse inhaltliche Ein­heit aufweisen (gle­iche oder ver­gle­ich­bare Zwecke, gle­ich­es Risiko­pro­fil, gle­iche Art von Dat­en). In einem ein­fachen Unternehmen gibt es typ­is­cher­weise ein- bis zwei Dutzend Daten­bear­beitun­gen. Zwei Daten­bear­beitungsak­tiv­itäten sind dann in zwei ver­schiedene Daten­bear­beitun­gen aufzutren­nen und geson­dert zu behan­deln, wenn sich bei der daten­schutzrechtlichen Beurteilung (d.h. For­mu­lar E.1 bzw. For­mu­lar E.2) zeigt, dass sie zu sehr unter­schiedlichen Antworten führen und keine sin­nvolle Beurteilung mehr möglich ist. Dafür gibt es keine scharfe Regel.
  3. Die Aufteilung der Daten­bear­beitungsak­tiv­itäten in die einzel­nen Daten­bear­beitun­gen kann dur­chaus auch mit Bauchge­fühl und ohne ein­heitliche Sys­tem­atik vorgenom­men wer­den. Entschei­dend ist einzig, dass am Schluss alle wesentlichen Daten­bear­beitungsak­tiv­itäten beurteilt wur­den und es nicht zu viele ver­schiedene Daten­bear­beitun­gen gibt. Die Liste kann im Laufe der Zeit auch erweit­ert wer­den.
  4. Im For­mu­lar B.1 ist für jede Daten­bear­beitung auch festzuhal­ten, ob das Unternehmen als Ver­ant­wortlich­er oder als Auf­trags­bear­beit­er auftritt. Dort, wo das Unternehmen Dat­en für ein anderes Unternehmen (Kunde, andere Konz­ernge­sellschaft) bear­beit­et (z.B. für ein Out­sourc­ing), ist das Unternehmen Auf­trags­bear­beit­er. Dort, wo das Unternehmen selb­st Herr der Dat­en ist und daher selb­st bes­timmt bzw. ver­ant­wortlich dafür ist, welche Dat­en wozu und wie bear­beit­et wer­den, ist es Ver­ant­wortlich­er.
    Die Unter­schei­dung ist wichtig, weil das Unternehmen je nach Rolle unter­schiedliche daten­schutzrechtliche Pflicht­en hat. Bei diversen For­mu­la­ren wird deshalb nach diesen bei­den Rollen unter­schieden. Die Rolle ist in For­mu­lar B.1 eben­falls einzu­tra­gen, wobei im Falle ein­er Auf­trags­bear­beitung, alle ver­gle­ich­baren, für einen oder mehrere Kun­den bzw. Konz­ernge­sellschaften betriebe­nen Daten­bear­beitun­gen zusam­menge­fasst wer­den kön­nen (z.B. Serv­er- und Anwen­dungs­be­trieb für Konz­ernge­sellschaften).
  1. Im drit­ten Schritt wird ermit­telt, inwieweit das rev­i­dierte DSG und die DSGVO auf die einzel­nen Daten­bear­beitun­gen Anwen­dung find­en. Dazu dienen die bei­den Fra­gen im For­mu­lar C.1. Bei einem Unternehmen in der Schweiz wird das DSG grund­sät­zlich immer Anwen­dung find­en; trotz­dem wer­den in Q1 die Voraus­set­zun­gen abge­fragt, da das For­mu­lar auch für Unternehmen im Aus­land einge­set­zt wer­den kann, wo das rev­i­dierte DSG möglicher­weise nicht zur Anwen­dung gelangt. In Q2 wird wiederum geprüft, ob und inwieweit die DSGVO zur Anwen­dung kommt. Hat das Unternehmen keine Nieder­las­sung in der EU, so find­et die DSGVO höch­stens auf bes­timmte Daten­bear­beitun­gen Anwen­dung. Daher kann in Q1 und Q2 jew­eils angegeben wer­den, für welche Daten­bear­beitun­gen (von For­mu­lar B.1) welche Voraus­set­zun­gen erfüllt sind und daher das rev­i­dierte DSG bzw. die DSGVO gilt. Das Ergeb­nis sollte für jede Daten­bear­beitung in For­mu­lar B.1 nachge­tra­gen werden.In allen anderen For­mu­la­ren wird nach Anwend­barkeit des rev­i­dierten DSG und der DSGVO unter­schieden. Die Anforderun­gen, die unter dem rev­i­dierten DSG zu beacht­en sind, sind mit einem grü­nen Balken markiert, jene, die im Rah­men der DSGVO zu beacht­en sind, mit einem blauen. Viele Anforderun­gen gel­ten für bei­de Geset­ze. In Beurteilungs­for­mu­la­ren wie For­mu­lar E.1 ist auf der Titel­seite jew­eils anzugeben, nach welchem Gesetz die betr­e­f­fende Daten­bear­beitung beurteilt wird.
  1. Im vierten Schritt wird das gemäss DSGVO und rev­i­diertem DSG erforder­liche Verze­ich­nis der Daten­bear­beitun­gen erstellt. Hierzu wird für jede Daten­bear­beitung entwed­er das For­mu­lar B.2 (wo das Unternehmen Ver­ant­wortlich­er ist) und For­mu­lar B.3 (wo das Unternehmen Auf­trags­bear­beit­er ist) aus­ge­füllt. Es geht lediglich um eine Doku­men­ta­tion der Daten­bear­beitung; beurteilt wer­den sie dabei nicht. Die For­mu­la­re beschränken sich daher im Hin­blick auf die Angaben auf das geset­zliche Min­i­mum. Es sind bere­its zahlre­iche Muster­ant­worten enthal­ten. Diese bei­den For­mu­la­re sind durch jene Stellen auszufüllen, die für die betr­e­f­fend­en Daten­bear­beitun­gen ver­ant­wortlich sind. Dies sollte meist ohne fach­liche Hil­fe möglich sein.
  2. Im fün­ften Schritt wird für jede Daten­bear­beitung beurteilt, ob diese die Anforderun­gen des anwend­baren Daten­schutzrechts (rev­i­diertes DSG, DSGVO oder bei­de) erfüllen. Hierzu wird für jede Daten­bear­beitung entwed­er das For­mu­lar E.1 (wo das Unternehmen Ver­ant­wortlich­er ist) und For­mu­lar E.2 (wo das Unternehmen Auf­trags­bear­beit­er ist) aus­ge­füllt. Dies ist der mit Abstand aufwändig­ste Schritt im Rah­men der Selb­st­beurteilung. Auch hier soll­ten die For­mu­la­re durch jene Stellen aus­ge­füllt wer­den, die für die betr­e­f­fend­en Daten­bear­beitun­gen ver­ant­wortlich sind. So wird der Aufwand im Unternehmen verteilt. Es ist ohne Weit­eres möglich, dass ein Unternehmen sowohl Daten­bear­beitun­gen in der Rolle als Ver­ant­wortlich­er wie auch Daten­bear­beitun­gen als Auf­trags­bear­beit­er hat. In diesen Fällen muss das Unternehmen bei­de For­mu­la­re aus­füllen, jew­eils für die entsprechen­den Datenbearbeitungen.Die For­mu­la­re weisen mehrere Beson­der­heit­en auf:
    • Jede Anforderung (beim For­mu­lar E.1 sind es 27) ist mit ein bis drei Kurzant­worten verse­hen, welche die häu­fig­sten Fälle zusam­men­fassen. Wenn eine solche Antwort genau passt, kann die Anforderung mit einem einzi­gen Kreuz beurteilt wer­den. Passen diese Kurzant­worten nicht, oder ist die aus­fül­lende Per­son nicht sich­er, so kann sie in die Detailant­worten ein­steigen.
    • Bei jed­er Anforderung ist es das Ziel, in der mit­tleren Spalte (die den momen­ta­nen Zus­tand angibt) alle erforder­lichen, grün markierten “OKs” zu holen. Führt eine (angekreuzte) Aus­sage zu einem einzel­nen OK (“ hier alles OK”), so bedeutet dies, dass die Anforderung grund­sät­zlich erfüllt ist. Führt eine Aus­sage zu einem mit ein­er Zahl verse­henen OK (z.B. “→ 1. OK”), so ist damit nur eines von mehreren erforder­lichen OKs geholt (im Beispiel ist dann noch ein zweites OK, ev. ein drittes OK, usw. zu holen). Wie viele OKs erforder­lich sind, damit eine Anforderung grund­sät­zlich erfüllt ist, ergibt sich aus dem Frage­bo­gen. Führt eine Aus­sage zu einem roten “Böm­bchen” (“M”) ist die Anforderung ver­mut­lich nicht bzw. nicht voll­ständig erfüllt. Mit diesen bei­den Codierun­gen kann der­jenige, der das For­mu­lar aus­füllt, selb­st beurteilen, ob seine Daten­bear­beitung je nach der von ihm getrof­fe­nen Aus­sage die jew­eilige Anforderung erfüllt.
    • Das For­mu­lar doku­men­tiert nur die Aus­sagen desjeni­gen, der das For­mu­lar aus­füllt. Es liefert für diese Aus­sagen keine Belege oder nähere Erläuterun­gen, auch wenn solche in den Fre­i­t­ext-Feldern ver­merkt wer­den kön­nen (und sich gewisse Angaben aus dem Inven­tar, d.h. dem For­mu­lar B.2 und For­mu­lar B.3, ergeben). Die nötige Doku­men­ta­tion und die nöti­gen Abklärun­gen, um das For­mu­lar aus­füllen zu kön­nen, sind Sache der Per­son, die es aus­füllt. Immer­hin macht es Sinn, in einem der passenden Fre­i­t­ext-Felder festzuhal­ten, warum eine bes­timmte Aus­sage getrof­fen wurde, wenn dies für einen Leser unklar wäre.
    • In der recht­en Spalte kann nach dem Aus­füllen der mit­tleren Spalte angegeben wer­den, ob die betr­e­f­fende Anforderung erfüllt ist oder nicht. Das ist ein Risikoentscheid; es ist möglich, die Anforderung als erfüllt zu erk­lären, auch wenn sie es in gewis­sen Kon­stel­la­tio­nen nicht sein mag, diese Aus­nah­men im Gesamtkon­text aber von unter­ge­ord­neter Bedeu­tung sind. In der recht­en Spalte kann aber auch aus ein­er Rei­he von vordefinierten Mass­nah­men zur Behe­bung etwaiger Nonkon­for­mitäten oder ander­er daten­schutzrechtlich­er Prob­leme, die sich aus der Beurteilung in der mit­tleren Spalte ergeben, aus­gewählt wer­den. Find­et sich keine passende Mass­nahme, kann sie auch frei for­muliert wer­den. Es sind dies alles Vorschläge für Mass­nah­men, d.h. was genau umge­set­zt wird und mit welch­er Pri­or­ität ist damit noch nicht entsch­ieden. Es liegt somit an der für eine Daten­bear­beitung ver­ant­wortlichen Per­son, wie genau sie mit der Ein­hal­tung des Daten­schutzes nehmen will; sie wird dafür let­ztlich auch ver­ant­wortlich gemacht wer­den kön­nen.
    • In Unternehmen mit kom­plex­eren Ver­hält­nis­sen greifen ver­schiedene Daten­bear­beitun­gen regelmäs­sig in sich. So lan­den z.B. die Dat­en aus der Bestellab­wick­lung im Data Ware­house oder die Fir­ma, die für das Man­age­ment aller IT-Anwen­dun­gen zuständig ist, hat auch auf alle deren Dat­en Zugriff und müsste ggf. bei jed­er Daten­bear­beitung als Auf­trags­bear­beit­er aufge­führt und behan­delt wer­den. Das würde allerd­ings zu Dop­pel­spurigkeit­en führen. Aus diesem Grund ist es möglich, bes­timmte Daten­bear­beitun­gen ganz oder teil­weise aus der Betra­ch­tung beim Aus­füllen von For­mu­lar E.1 auszuk­lam­mern. Wird zum Beispiel die “Mark­t­forschung” als eigene Daten­bear­beitung beurteilt und greift diese auf die Dat­en viel­er ander­er Daten­bear­beitun­gen im Unternehmen zu, so kön­nen die Ver­ant­wortlichen dieser Daten­bear­beitun­gen die Mark­t­forschung auf der Seite mit den “Abgren­zun­gen” ins erste Feld einge­tra­gen wer­den. Sie brauchen sich dann bei der Beant­wor­tung der Fra­gen nicht mehr um diese Zweit­nutzung ihrer Dat­en zu küm­mern (z.B. ob ihre Dat­en für die Mark­t­forschung auch wirk­lich genutzt wer­den dür­fen). Diese Fra­gen wer­den in diesem Falle nur noch bei der Beurteilung der Mark­t­forschung geprüft. So ver­hält es sich im Prinzip auch bei den bei­den weit­eren Abgren­zungsmöglichkeit­en. Im zweit­en Feld kön­nte z.B. die “Stam­m­daten­ver­wal­tung” aufge­führt wer­den; greift dann der “Online-Shop” auf diese Daten­bear­beitung zu, so braucht im For­mu­lar für den Online-Shop nicht geprüft wer­den, ob die Stam­m­daten­ver­wal­tung daten­schutzkon­form erfol­gt. Es wird nur der Zugriff durch den Online-Shop geprüft.
    • Im For­mu­lar E.1 wird an ver­schiede­nen Stellen für bes­timmte Fragestel­lun­gen auf Neben­for­mu­la­re ver­wiesen. Diese sind dann beizuziehen und für die betr­e­f­fende Daten­bear­beitung par­al­lel auszufüllen und das Ergeb­nis von dort in das For­mu­lar E.1 zu übernehmen. Will sich die ver­ant­wortliche Per­son für eine Daten­bear­beitung zum Beispiel im Zusam­men­hang mit Anforderung nach For­mu­lar E.1 auf eine Ein­willi­gung der betrof­fe­nen Per­son abstützen, so muss diese Ein­willi­gung mit Q1 des Frage­bo­gens von For­mu­lar E.3 (DSGVO) bzw. For­mu­lar E.4 (DSG) auf ihre Gültigkeit unter dem anwend­baren Daten­schutzrecht geprüft wer­den (neb­st anderen Rechts­grund­la­gen bzw. Recht­fer­ti­gungs­grün­den). Diese Beurteilung kann im betr­e­f­fend­en Neben­for­mu­lar doku­men­tiert wer­den. Wird dieselbe Ein­willi­gung auch für eine andere Daten­bear­beitung benötigt, kann auf das­selbe Neben­for­mu­lar ver­wiesen wer­den. Für den Umgang mit Lösch- und Sper­rrecht­en (unter der DSGVO) wird auf das For­mu­lar E.5 Diese Neben­for­mu­la­re haben keine eigen­ständi­ge Bedeu­tung. Sie sind nur auszufüllen, wenn dies für die Beurteilung ein­er Daten­bear­beitung gestützt auf For­mu­lar E.1 bzw. For­mu­lar E.2 nötig ist.
    • Am Ende des For­mu­la­rs E.1 kön­nen der oder die Eign­er der von der Daten­bear­beitung betrof­fe­nen Geschäft­sprozesse für die Zwecke des Risiko­man­age­ments eine Beurteilung abgeben, ob die Daten­bear­beitung grund­sät­zlich daten­schutzkon­form ist, welche Risiken iden­ti­fiziert und Mass­nah­men vorgeschla­gen wur­den und ob diese Risiken ins Risikoin­ven­tar des Unternehmens aufgenom­men wer­den sollen. Dies beurteilt auch die Daten­schutzstelle. Deren Beurteilung kann vom Prozes­seign­er wiederum kom­men­tiert wer­den. Dieser Teil des For­mu­la­rs ist option­al.

    Ist For­mu­lar E.1 oder For­mu­lar E.2 fer­tig aus­ge­füllt und sind die offe­nen Fra­gen gek­lärt, so kön­nen die Ergeb­nisse aus der recht­en Spalte weit­er­ver­ar­beit­et wer­den. Wir empfehlen, diese in ein sep­a­rates Doku­ment (z.B. eine Excel-Datei) zu übernehmen und dort weit­erzu­ver­ar­beit­en. Es muss entsch­ieden wer­den, welche Mass­nah­men tat­säch­lich umge­set­zt wer­den sollen und in welch­er Pri­or­ität. Die dies­bezüglichen Risikoentschei­de bzw. deren Doku­men­ta­tion sind derzeit nicht Teil des Tools, eben­so nicht die Überwachung der Umset­zung der Mass­nah­men.

    Ist die Daten­schutz-Kon­for­mität ein­er Daten­bear­beitung beurteilt, kann dies im For­mu­lar B.1 ver­merkt wer­den.

  1. Soweit das Unternehmen eine Daten­bear­beitung als Ver­ant­wortlich­er bear­beit­et, genügt die Beurteilung der Daten­schutz-Kon­for­mität nach For­mu­lar E.1 unter Umstän­den nicht. Je nach Fal­lkon­stel­la­tion wird zusät­zlich zur herkömm­lichen Kon­for­mitäts­beurteilung sowohl nach dem rev­i­dierten DSG als auch der DSGVO eine Daten­schutz-Fol­gen­ab­schätzung (DSFA) erforder­lich sein. Hier­für wird das For­mu­lar G.1 ver­wen­det. In einem ersten Schritt wird damit beurteilt, ob eine DSFA über­haupt erforder­lich ist. Dies geschieht durch das Aus­füllen des ersten Teils des For­mu­la­rs. Ist eine DSFA nötig, kann diese mit dem­sel­ben For­mu­lar durchge­führt wer­den. Auch dies ist Sache der für die Daten­bear­beitung ver­ant­wortliche Per­son. Eine DSFA set­zt ein fer­tig aus­ge­fülltes For­mu­lar E.1 voraus. Ist die DSFA durchge­führt, kann dies im For­mu­lar B.1 ver­merkt wer­den. Ist keine DSFA nötig, kann der Neg­a­tivbe­fund zur Doku­men­ta­tion eben­falls abgelegt wer­den.
  2. Im näch­sten Schritt wird, soweit dies noch erforder­lich ist, beurteilt, ob die vom Unternehmen in Anspruch genomme­nen Auf­trags­bear­beitun­gen den geset­zlichen Vor­gaben entsprechen. Hierzu dient das For­mu­lar F.1, wobei für jede Auf­trags­bear­beitung (d.h. in der Regel jeden Auf­trags­bear­beit­er und jeden Ver­trag) ein sep­a­rates For­mu­lar aus­ge­füllt wer­den muss (aus der Warte des Ver­ant­wortlichen; für Auf­trags­bear­beit­er ist For­mu­lar E.2 vorge­se­hen). Auf For­mu­lar F.1 wird auch von For­mu­lar E.1 ver­wiesen. Da für die Auf­trags­bear­beitun­gen in den meis­ten Unternehmen andere Per­so­n­en ver­ant­wortlich sind als jene, die für die Daten­bear­beitun­gen ver­ant­wortlich zeich­nen, und dieselbe Auf­trags­bear­beitung mehrere Daten­bear­beitun­gen betr­e­f­fen kann, ist für die Erfas­sung und Beurteilung der Auf­trags­bear­beitun­gen ein sep­a­rates For­mu­lar vorge­se­hen.
  3. Im sel­ben Sinne sep­a­rat beurteilt wer­den die Mass­nah­men zur Daten­sicher­heit. Hierzu dient For­mu­lar F.2. Dies erfol­gt in einem sep­a­rat­en For­mu­lar, weil die Ver­ant­wor­tung für die Daten­sicher­heit in den meis­ten Unternehmen ein­er anderen Stelle zugeteilt ist als den Inhalt der Daten­bear­beitung. Sie ist häu­fig auch über­greifend geregelt und imple­men­tiert. So genügt es in aller Regel, für mehrere oder alle Daten­bear­beitun­gen das For­mu­lar ein­mal auszufüllen (und in For­mu­lar E.1 jew­eils darauf zu ver­weisen).
  4. Schliesslich wird mit For­mu­lar F.3 das Weisungswe­sen im Unternehmen beurteilt. Es wird ermit­telt, ob die erforder­lichen Weisun­gen und Schu­lun­gen gegenüber den Mitar­beit­ern des Unternehmens beste­hen. Über­prüft wird auch die Audi­tierung der Daten­schutz-Prozesse, sofern ein Audit-Prozess über­haupt beste­ht. Es wird dabei zwis­chen ein­er all­ge­meinen Daten­schutzweisung und sach­spez­i­fis­chen Weisun­gen (z.B. zur Weisun­gen zur Bear­beitung von Per­son­al­dat­en) unter­schieden. Bei Let­zteren wird geprüft, ob diese die typ­is­chen Inhalte aufweisen.
  5. Soweit das Unternehmen mit ein­er oder mehreren Daten­bear­beitun­gen in den Anwen­dungs­bere­ich der DSGVO fällt, ist mit­tels For­mu­lar D.1 zu prüfen, ob das Unternehmen einen Vertreter nach Art. 27 DSGVO, einen Daten­schutzbeauf­tragten nach Art. 37 DSGVO oder bei­des bestellen muss. Hier­bei wer­den nur die Vor­gaben gemäss DSGVO geprüft, nicht etwaige stren­gere Vor­gaben gemäss nationalem Recht der EU-Mit­glied­staat­en. Diese sind in den Fällen zu berück­sichti­gen, in denen sich die Unternehmen­sein­heit mit ein­er Nieder­las­sung in der EU (bzw. dem EWR) befind­et und mit einem lokalen Experten zu klären. In Deutsch­land wer­den beispiel­sweise die meis­ten Unternehmen einen betrieblichen Daten­schutzbeauf­tragten gemäss Art. 37 DSGVO ernen­nen müssen, weil das nationale Recht über die DSGVO hin­aus­ge­ht. Die Doku­men­ta­tion der Ernen­nung des Vertreters bzw. des Beauf­tragten erfol­gt über For­mu­lar A.1.
  6. In einem let­zten Schritt ist zu beurteilen, ob das Unternehmen bzw. die einzel­nen Unternehmens­bere­iche über die Prozesse ver­fü­gen, die gemäss dem rev­i­dierten DSG oder der DSGVO häu­fig erforder­lich sind (z.B. der Prozess zur Mel­dung von Daten­sicher­heitsver­let­zun­gen). Bes­timmte dieser Prozesse (wie z.B. der Prozess zur Beant­wor­tung des Auskun­ft­srechts) wer­den bere­its im Rah­men der Beurteilung der einzel­nen Daten­bear­beitun­gen abge­fragt, soweit sie sich darauf beziehen. Sie kön­nen jedoch dort aus­geklam­mert wer­den, wenn es effizien­ter erscheint, sie für mehrere Daten­bear­beitun­gen zusam­men zu beurteilen. Für die Beurteilung der Prozesse wer­den das For­mu­lar D.2 und das For­mu­lar D.3 benutzt, je nach­dem, ob das Unternehmen seine Rolle als Auf­trags­bear­beit­er oder als Ver­ant­wortlich­er beurteilt. Je nach Kon­stel­la­tion sind daher bei­de For­mu­la­re auszufüllen. Für das For­mu­lar D.2 wer­den sog. “Deep Dives” ange­boten, For­mu­la­re für ver­tiefende Abklärun­gen, so namentlich für die Auskun­ft­sprozesse (For­mu­lar D.3) und für den Prozess zur Mel­dung von Daten­sicher­heitsver­let­zun­gen (For­mu­lar D.4).

Sind alle diese elf Schritte durchge­führt, ist die Beurteilung der Daten­schutz-Kon­for­mität kom­plett.

Wir empfehlen, die aus­ge­füll­ten Frage­bo­gen an einem Ort zur Doku­men­ta­tion des Daten­schutzes im Unternehmen aufzube­wahren und die For­mu­la­re nach Datum bzw. Ver­sion­sstän­den abzule­gen, so dass immer klar ist, welch­es die neuste Fas­sung bzw. wie der Zus­tand früher war.

Die Beurteilung der Daten­schutz-Kon­for­mität ist kein ein­ma­liger Vor­gang, son­dern ist immer dann selek­tiv zu wieder­holen, wenn sich Änderun­gen im Betrieb ergeben, wenn neue Daten­bear­beitun­gen hinzukom­men oder sich Daten­bear­beitun­gen ändern. Wir empfehlen fern­er, dass die Ver­ant­wortlichen für eine Daten­bear­beitung, die ihre Daten­bear­beitung betr­e­f­fend­en For­mu­la­re und die darin enthal­te­nen Angaben bzw. Beurteilun­gen in peri­odis­chen Abstän­den auf ihre Richtigkeit und Voll­ständigkeit über­prüfen. Bei Daten­schutz-Fol­gen­ab­schätzun­gen wird erwartet, dass diese min­destens alle drei Jahre wieder­holt wer­den.

Da sich die For­mu­la­re des Tools ständig weit­er­en­twick­eln, ist darauf zu acht­en, dass jew­eils die neusten Fas­sun­gen einge­set­zt wer­den.

Übersicht