Funktionsweise und allgemeine Hinweise
[Sie finden die folgenden Erläuterungen auch im Formular “Inhaltsübersicht, Anleitung und Glossar” unter Downloads.]
Das Tool besteht aus einem Set von PDF-Formularen. Jedes Formular deckt einen anderen Aspekt des Datenschutzrechts ab; es können, müssen aber nicht alle Formulare bearbeitet werden. Gewisse Formulare müssen mehrfach ausgefüllt werden (z.B. für jede Datenbearbeitung im Unternehmen eins). Es gibt zwei Formularsorten: Die eine Sorte dient lediglich der Dokumentation (A.1, A.2, B.1, B.2, B.3), während andere der datenschutzrechtlichen Beurteilung und Dokumentation dienen (z.B. E.1, C.1, D.1).
Der Blickwinkel der Formulare ist unterschiedlich:
- Solche, die sich auf das gesamte Unternehmen beziehen (A.1, A.2, B.1). Diese halten Basisinformationen fest, einschliesslich der Übersicht über alle Datenbearbeitungen.
- Solche, die für das gesamte Unternehmen oder auch nur für spezifische Unternehmensbereiche ausgefüllt werden können und dazu dienen, datenschutzrelevante Prozesse, Funktionen und Vorkehrungen zu beurteilen (z.B. D.1–5, F.1–3, C.1).
- Solche, die sich auf die einzelnen Datenbearbeitungen im Unternehmen beziehen (B.1–3, E.1–5, G.1, teilweise C.1). Diese bringen den grössten Aufwand mit sich, weil sie für jede Datenbearbeitung gesondert ausgefüllt werden müssen. Was eine “Datenbearbeitung” ist, wird später erläutert.
Auf der ersten Seite jedes Formulars kann jeweils angegeben werden, worauf sich das Formular bezieht (Unternehmenseinheit, Datenbearbeitung(en) mit Identifikationsnummer gemäss Formular B.1) sowie wann das Formular durch wen ausgefüllt wurde.
Jedes Formular ist so auszufüllen, dass es den status quo angibt, also den momentanen Zustand, und zwar auch dann, wenn der Zustand einer Datenbearbeitung oder die Situation im Unternehmen noch nicht datenschutzkonform ist und Massnahmen erst zu treffen sind. Sind diese getroffen, sollte das Formular erneut ausgefüllt werden. So kann der Fortschritt dokumentiert werden.
Alle Formulare sollten, sobald ausgefüllt, archiviert werden. Die Dokumentation der Selbstbeurteilung ist eine wichtige Funktion des Tools und eine Anforderung des Datenschutzrechts (Prinzip der Accountability): Unternehmen müssen zeigen können, dass sie den Datenschutz einhalten, d.h. dass sie sich mit den Anforderungen des Datenschutzrechts auseinandergesetzt, ihre eigenen Datenbearbeitungen (und flankierenden Massnahmen) auf ihre Konformität hin beurteilt haben und, wenn nötig, Massnahmen zur Verbesserung identifiziert und ergriffen haben. Datenschutzbehörden können sich diese Dokumentation zeigen lassen.
Auf gewissen Formularen ist nicht nur anzugeben, wer sie ausgefüllt hat, sondern auch, wer für die betreffende Datenbearbeitung verantwortlich ist. Diese Person ist sowohl für das korrekte und vollständige Ausfüllen der Selbstbeurteilung wie auch für die dabei getroffenen Entscheidungen betr. Konformität und etwaigen Massnahmen verantwortlich. Dies ist ein wichtiger Aspekt des Tools: Jede für eine Datenbearbeitung verantwortliche Person muss für ihre Datenbearbeitung und deren Beurteilung selbst die Verantwortung tragen. Wenn sie sich in einem Punkt nicht sicher ist, muss sie von sich aus einen Experten oder die anderen nötigen Stellen fragen. Dies funktioniert wie bei der Steuererklärung: Wer nicht weiss, wie sie ausgefüllt werden muss, muss Hilfe holen.
Am Ende des Formulars E.1 ist ferner eine Beurteilung durch die Business Owner der von einer Datenbearbeitung betroffenen Prozesse vorgesehen. In den meisten Unternehmen werden Datenbearbeitungen mit den Prozessen des Unternehmens nicht deckungsgleich sein. Da jedoch das Risiko-Management typischerweise an die Prozesse des Unternehmens anknüpft, wird mit dieser letzten Seite des Formulars E.1 die Brücke geschlagen und von den für die von einer Datenbearbeitung betroffenen Prozesse verantwortlichen Personen erfragt, ob sie damit verbundene Risiken zu tragen bereit sind oder aber welche Massnahmen umgesetzt werden müssen. Hierbei kann auch die Ansicht der Datenschutzstelle, sofern es eine solche gibt, festgehalten werden.
Das Formular E.1 und diverse weitere Formulare sehen vor, dass je nach Konformität des betreffenden Prozesses oder der betreffenden Datenbearbeitung bestimmte Massnahmen zu treffen sind. Diese sind als Vorschläge ausgestaltet, d.h. sie sind möglicherweise nicht alle sinnvoll oder nötig. Der Entscheid über diese Massnahmen und ggf. die Priorisierung und deckt das Tool nicht ab.
Sobald die Vorschläge für Massnahmen feststehen, empfehlen wir daher, die von den verantwortlichen Stellen vorgeschlagenen Massnahmen in ein separates Dokument (z.B. Excel) zu übernehmen, über die einzelnen Massnahmen zu entscheiden und sie zu priorisieren. In diesem separaten Dokument kann auch deren Umsetzung kontrolliert werden.
Sind die Massnahmen einer bestimmten Datenbearbeitung oder eines bestimmten Prozesses vorgenommen, kann das betreffende Formular, das dazu Anlass gab, erneut ausgefüllt werden, um den nun mehr datenschutzkonformen Zustand zu dokumentieren.
In den Beurteilungsformularen kann jeweils festgehalten werden, wenn die Situation unklar erscheint, d.h. der Beurteilungsvorgang nicht ohne zusätzliche Abklärungen oder Expertenunterstützung abgeschlossen werden kann. In diesen Fällen sind die betreffenden Abklärungen zu treffen bzw. Expertenmeinungen einzuholen.
Ebenfalls kann festgehalten werden, ob angesichts der Beurteilung Sofortmassnahmen erforderlich sind, bis hin zur vorübergehenden Einstellung einer Datenbearbeitung. Solche Sofortmassnahmen werden erfahrungsgemäss die absolute Ausnahme sein.
Der Ablauf
Der Ablauf der Selbstbeurteilung ist im nachfolgenden Flussdiagramm festgehalten. Die orangen Dokumente beurteilen einzelne Datenbearbeitungen, die blauen Dokumente übergreifende Prozesse, Funktionen oder Aspekte.
- Begonnen wird mit Formular A.1 und optional Formular A.2. Darin werden bestimmte Grundangaben zum Unternehmen festgehalten. Beurteilt wird noch nichts; die beiden Formulare dienen nur der Dokumentation. Es wird auch abgefragt, ob gewisse nach DSGVO teilweise erforderliche Stellen existieren. Ob es diese braucht, wird später mit Formular D.1 beurteilt.In einem Konzern ist für jede rechtliche Einheit (juristische Person) eine separate Beurteilung vorzunehmen. Die verschiedenen Gesellschaften eines Konzerns sind grundsätzlich wie Dritte zu behandeln, auch wenn sie z.B. bestimmte IT-Anwendungen (z.B. Personalverwaltung oder Buchhaltung) teilen. In diesen Fällen ist jede Unternehmenseinheit für ihren Teil der IT-Anwendung bzw. der darin verarbeiteten Daten verantwortlich.
- In einem zweiten Schritt müssen die Datenbearbeitungen des Unternehmens ermittelt und in Formular B.1 erfasst werden. Gemeint sind die verschiedenen Aktivitäten, in deren Rahmen Personendaten bearbeitet werden, also Information, die sich auf bestimmte oder bestimmbare natürliche Personen (d.h. Menschen) beziehen. Bestimmbar ist eine Person dann, wenn genügend Angaben vorliegen, anhand welcher die betroffene Person unter Zuhilfenahme anderer Datenquellen identifiziert werden kann, auch wenn dafür ein vertretbarer Zusatzaufwand betrieben werden muss (z.B. eine AHV‑, Handy- oder eine Bankkonto-Nummer einer Person). Für den vorliegenden Kontext wird empfohlen, IP-Adressen und dauerhafte Cookies ebenfalls als Personendaten zu betrachten, auch wenn sie dies korrekterweise in manchen Fällen nicht sind (in der EU besteht jedoch eine starke Tendenz, sie als solche zu betrachten). Eine Bearbeitung ist jeder Umgang mit Personendaten, also solche erheben, nutzen, weitergeben oder auch nur aufbewahren.Es gibt keine bestimmte Regel, nach welchen Kriterien die Vielzahl an Datenbearbeitungen in einem Unternehmen aufzutrennen sind (nach IT-Anwendung, nach Geschäftsprozess, nach betroffenen Personen, nach verantwortlicher Person). Wesentlich ist, dass jene Aktivitäten zu einer Datenbearbeitung zusammengefasst und unter einem Titel und mit einer Nummer in Formular B.1 eingetragen werden, die eine logische Einheit bilden und für welche die Fragen insbesondere gemäss Formular E.1 bzw. Formular E.2 einheitlich beantwortet werden können. Die Zwecke von Q4 von Formular B.2 geben einen Hinweis auf typische Datenbearbeitungen, die alle Unternehmen haben (z.B. Personaladministration, Rekrutierung, Finanzen und Buchhaltung).
- Zu viele Datenbearbeitungen zu definieren, schafft unnötigen Aufwand. Ähnliche Datenbearbeitungsaktivitäten können und sollten daher zu einer Datenbearbeitung zusammengefasst werden, insbesondere, wenn dieselbe Person für sie verantwortlich ist und sie eine gewisse inhaltliche Einheit aufweisen (gleiche oder vergleichbare Zwecke, gleiches Risikoprofil, gleiche Art von Daten). In einem einfachen Unternehmen gibt es typischerweise ein- bis zwei Dutzend Datenbearbeitungen. Zwei Datenbearbeitungsaktivitäten sind dann in zwei verschiedene Datenbearbeitungen aufzutrennen und gesondert zu behandeln, wenn sich bei der datenschutzrechtlichen Beurteilung (d.h. Formular E.1 bzw. Formular E.2) zeigt, dass sie zu sehr unterschiedlichen Antworten führen und keine sinnvolle Beurteilung mehr möglich ist. Dafür gibt es keine scharfe Regel.
- Die Aufteilung der Datenbearbeitungsaktivitäten in die einzelnen Datenbearbeitungen kann durchaus auch mit Bauchgefühl und ohne einheitliche Systematik vorgenommen werden. Entscheidend ist einzig, dass am Schluss alle wesentlichen Datenbearbeitungsaktivitäten beurteilt wurden und es nicht zu viele verschiedene Datenbearbeitungen gibt. Die Liste kann im Laufe der Zeit auch erweitert werden.
- Im Formular B.1 ist für jede Datenbearbeitung auch festzuhalten, ob das Unternehmen als Verantwortlicher oder als Auftragsbearbeiter auftritt. Dort, wo das Unternehmen Daten für ein anderes Unternehmen (Kunde, andere Konzerngesellschaft) bearbeitet (z.B. für ein Outsourcing), ist das Unternehmen Auftragsbearbeiter. Dort, wo das Unternehmen selbst Herr der Daten ist und daher selbst bestimmt bzw. verantwortlich dafür ist, welche Daten wozu und wie bearbeitet werden, ist es Verantwortlicher.
Die Unterscheidung ist wichtig, weil das Unternehmen je nach Rolle unterschiedliche datenschutzrechtliche Pflichten hat. Bei diversen Formularen wird deshalb nach diesen beiden Rollen unterschieden. Die Rolle ist in Formular B.1 ebenfalls einzutragen, wobei im Falle einer Auftragsbearbeitung, alle vergleichbaren, für einen oder mehrere Kunden bzw. Konzerngesellschaften betriebenen Datenbearbeitungen zusammengefasst werden können (z.B. Server- und Anwendungsbetrieb für Konzerngesellschaften).
- Im dritten Schritt wird ermittelt, inwieweit das revidierte DSG und die DSGVO auf die einzelnen Datenbearbeitungen Anwendung finden. Dazu dienen die beiden Fragen im Formular C.1. Bei einem Unternehmen in der Schweiz wird das DSG grundsätzlich immer Anwendung finden; trotzdem werden in Q1 die Voraussetzungen abgefragt, da das Formular auch für Unternehmen im Ausland eingesetzt werden kann, wo das revidierte DSG möglicherweise nicht zur Anwendung gelangt. In Q2 wird wiederum geprüft, ob und inwieweit die DSGVO zur Anwendung kommt. Hat das Unternehmen keine Niederlassung in der EU, so findet die DSGVO höchstens auf bestimmte Datenbearbeitungen Anwendung. Daher kann in Q1 und Q2 jeweils angegeben werden, für welche Datenbearbeitungen (von Formular B.1) welche Voraussetzungen erfüllt sind und daher das revidierte DSG bzw. die DSGVO gilt. Das Ergebnis sollte für jede Datenbearbeitung in Formular B.1 nachgetragen werden.In allen anderen Formularen wird nach Anwendbarkeit des revidierten DSG und der DSGVO unterschieden. Die Anforderungen, die unter dem revidierten DSG zu beachten sind, sind mit einem grünen Balken markiert, jene, die im Rahmen der DSGVO zu beachten sind, mit einem blauen. Viele Anforderungen gelten für beide Gesetze. In Beurteilungsformularen wie Formular E.1 ist auf der Titelseite jeweils anzugeben, nach welchem Gesetz die betreffende Datenbearbeitung beurteilt wird.
- Im vierten Schritt wird das gemäss DSGVO und revidiertem DSG erforderliche Verzeichnis der Datenbearbeitungen erstellt. Hierzu wird für jede Datenbearbeitung entweder das Formular B.2 (wo das Unternehmen Verantwortlicher ist) und Formular B.3 (wo das Unternehmen Auftragsbearbeiter ist) ausgefüllt. Es geht lediglich um eine Dokumentation der Datenbearbeitung; beurteilt werden sie dabei nicht. Die Formulare beschränken sich daher im Hinblick auf die Angaben auf das gesetzliche Minimum. Es sind bereits zahlreiche Musterantworten enthalten. Diese beiden Formulare sind durch jene Stellen auszufüllen, die für die betreffenden Datenbearbeitungen verantwortlich sind. Dies sollte meist ohne fachliche Hilfe möglich sein.
- Im fünften Schritt wird für jede Datenbearbeitung beurteilt, ob diese die Anforderungen des anwendbaren Datenschutzrechts (revidiertes DSG, DSGVO oder beide) erfüllen. Hierzu wird für jede Datenbearbeitung entweder das Formular E.1 (wo das Unternehmen Verantwortlicher ist) und Formular E.2 (wo das Unternehmen Auftragsbearbeiter ist) ausgefüllt. Dies ist der mit Abstand aufwändigste Schritt im Rahmen der Selbstbeurteilung. Auch hier sollten die Formulare durch jene Stellen ausgefüllt werden, die für die betreffenden Datenbearbeitungen verantwortlich sind. So wird der Aufwand im Unternehmen verteilt. Es ist ohne Weiteres möglich, dass ein Unternehmen sowohl Datenbearbeitungen in der Rolle als Verantwortlicher wie auch Datenbearbeitungen als Auftragsbearbeiter hat. In diesen Fällen muss das Unternehmen beide Formulare ausfüllen, jeweils für die entsprechenden Datenbearbeitungen.Die Formulare weisen mehrere Besonderheiten auf:
- Jede Anforderung (beim Formular E.1 sind es 27) ist mit ein bis drei Kurzantworten versehen, welche die häufigsten Fälle zusammenfassen. Wenn eine solche Antwort genau passt, kann die Anforderung mit einem einzigen Kreuz beurteilt werden. Passen diese Kurzantworten nicht, oder ist die ausfüllende Person nicht sicher, so kann sie in die Detailantworten einsteigen.
- Bei jeder Anforderung ist es das Ziel, in der mittleren Spalte (die den momentanen Zustand angibt) alle erforderlichen, grün markierten “OKs” zu holen. Führt eine (angekreuzte) Aussage zu einem einzelnen OK (“→ hier alles OK”), so bedeutet dies, dass die Anforderung grundsätzlich erfüllt ist. Führt eine Aussage zu einem mit einer Zahl versehenen OK (z.B. “→ 1. OK”), so ist damit nur eines von mehreren erforderlichen OKs geholt (im Beispiel ist dann noch ein zweites OK, ev. ein drittes OK, usw. zu holen). Wie viele OKs erforderlich sind, damit eine Anforderung grundsätzlich erfüllt ist, ergibt sich aus dem Fragebogen. Führt eine Aussage zu einem roten “Bömbchen” (“M”) ist die Anforderung vermutlich nicht bzw. nicht vollständig erfüllt. Mit diesen beiden Codierungen kann derjenige, der das Formular ausfüllt, selbst beurteilen, ob seine Datenbearbeitung je nach der von ihm getroffenen Aussage die jeweilige Anforderung erfüllt.
- Das Formular dokumentiert nur die Aussagen desjenigen, der das Formular ausfüllt. Es liefert für diese Aussagen keine Belege oder nähere Erläuterungen, auch wenn solche in den Freitext-Feldern vermerkt werden können (und sich gewisse Angaben aus dem Inventar, d.h. dem Formular B.2 und Formular B.3, ergeben). Die nötige Dokumentation und die nötigen Abklärungen, um das Formular ausfüllen zu können, sind Sache der Person, die es ausfüllt. Immerhin macht es Sinn, in einem der passenden Freitext-Felder festzuhalten, warum eine bestimmte Aussage getroffen wurde, wenn dies für einen Leser unklar wäre.
- In der rechten Spalte kann nach dem Ausfüllen der mittleren Spalte angegeben werden, ob die betreffende Anforderung erfüllt ist oder nicht. Das ist ein Risikoentscheid; es ist möglich, die Anforderung als erfüllt zu erklären, auch wenn sie es in gewissen Konstellationen nicht sein mag, diese Ausnahmen im Gesamtkontext aber von untergeordneter Bedeutung sind. In der rechten Spalte kann aber auch aus einer Reihe von vordefinierten Massnahmen zur Behebung etwaiger Nonkonformitäten oder anderer datenschutzrechtlicher Probleme, die sich aus der Beurteilung in der mittleren Spalte ergeben, ausgewählt werden. Findet sich keine passende Massnahme, kann sie auch frei formuliert werden. Es sind dies alles Vorschläge für Massnahmen, d.h. was genau umgesetzt wird und mit welcher Priorität ist damit noch nicht entschieden. Es liegt somit an der für eine Datenbearbeitung verantwortlichen Person, wie genau sie mit der Einhaltung des Datenschutzes nehmen will; sie wird dafür letztlich auch verantwortlich gemacht werden können.
- In Unternehmen mit komplexeren Verhältnissen greifen verschiedene Datenbearbeitungen regelmässig in sich. So landen z.B. die Daten aus der Bestellabwicklung im Data Warehouse oder die Firma, die für das Management aller IT-Anwendungen zuständig ist, hat auch auf alle deren Daten Zugriff und müsste ggf. bei jeder Datenbearbeitung als Auftragsbearbeiter aufgeführt und behandelt werden. Das würde allerdings zu Doppelspurigkeiten führen. Aus diesem Grund ist es möglich, bestimmte Datenbearbeitungen ganz oder teilweise aus der Betrachtung beim Ausfüllen von Formular E.1 auszuklammern. Wird zum Beispiel die “Marktforschung” als eigene Datenbearbeitung beurteilt und greift diese auf die Daten vieler anderer Datenbearbeitungen im Unternehmen zu, so können die Verantwortlichen dieser Datenbearbeitungen die Marktforschung auf der Seite mit den “Abgrenzungen” ins erste Feld eingetragen werden. Sie brauchen sich dann bei der Beantwortung der Fragen nicht mehr um diese Zweitnutzung ihrer Daten zu kümmern (z.B. ob ihre Daten für die Marktforschung auch wirklich genutzt werden dürfen). Diese Fragen werden in diesem Falle nur noch bei der Beurteilung der Marktforschung geprüft. So verhält es sich im Prinzip auch bei den beiden weiteren Abgrenzungsmöglichkeiten. Im zweiten Feld könnte z.B. die “Stammdatenverwaltung” aufgeführt werden; greift dann der “Online-Shop” auf diese Datenbearbeitung zu, so braucht im Formular für den Online-Shop nicht geprüft werden, ob die Stammdatenverwaltung datenschutzkonform erfolgt. Es wird nur der Zugriff durch den Online-Shop geprüft.
- Im Formular E.1 wird an verschiedenen Stellen für bestimmte Fragestellungen auf Nebenformulare verwiesen. Diese sind dann beizuziehen und für die betreffende Datenbearbeitung parallel auszufüllen und das Ergebnis von dort in das Formular E.1 zu übernehmen. Will sich die verantwortliche Person für eine Datenbearbeitung zum Beispiel im Zusammenhang mit Anforderung nach Formular E.1 auf eine Einwilligung der betroffenen Person abstützen, so muss diese Einwilligung mit Q1 des Fragebogens von Formular E.3 (DSGVO) bzw. Formular E.4 (DSG) auf ihre Gültigkeit unter dem anwendbaren Datenschutzrecht geprüft werden (nebst anderen Rechtsgrundlagen bzw. Rechtfertigungsgründen). Diese Beurteilung kann im betreffenden Nebenformular dokumentiert werden. Wird dieselbe Einwilligung auch für eine andere Datenbearbeitung benötigt, kann auf dasselbe Nebenformular verwiesen werden. Für den Umgang mit Lösch- und Sperrrechten (unter der DSGVO) wird auf das Formular E.5 Diese Nebenformulare haben keine eigenständige Bedeutung. Sie sind nur auszufüllen, wenn dies für die Beurteilung einer Datenbearbeitung gestützt auf Formular E.1 bzw. Formular E.2 nötig ist.
- Am Ende des Formulars E.1 können der oder die Eigner der von der Datenbearbeitung betroffenen Geschäftsprozesse für die Zwecke des Risikomanagements eine Beurteilung abgeben, ob die Datenbearbeitung grundsätzlich datenschutzkonform ist, welche Risiken identifiziert und Massnahmen vorgeschlagen wurden und ob diese Risiken ins Risikoinventar des Unternehmens aufgenommen werden sollen. Dies beurteilt auch die Datenschutzstelle. Deren Beurteilung kann vom Prozesseigner wiederum kommentiert werden. Dieser Teil des Formulars ist optional.
Ist Formular E.1 oder Formular E.2 fertig ausgefüllt und sind die offenen Fragen geklärt, so können die Ergebnisse aus der rechten Spalte weiterverarbeitet werden. Wir empfehlen, diese in ein separates Dokument (z.B. eine Excel-Datei) zu übernehmen und dort weiterzuverarbeiten. Es muss entschieden werden, welche Massnahmen tatsächlich umgesetzt werden sollen und in welcher Priorität. Die diesbezüglichen Risikoentscheide bzw. deren Dokumentation sind derzeit nicht Teil des Tools, ebenso nicht die Überwachung der Umsetzung der Massnahmen.
Ist die Datenschutz-Konformität einer Datenbearbeitung beurteilt, kann dies im Formular B.1 vermerkt werden.
- Soweit das Unternehmen eine Datenbearbeitung als Verantwortlicher bearbeitet, genügt die Beurteilung der Datenschutz-Konformität nach Formular E.1 unter Umständen nicht. Je nach Fallkonstellation wird zusätzlich zur herkömmlichen Konformitätsbeurteilung sowohl nach dem revidierten DSG als auch der DSGVO eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein. Hierfür wird das Formular G.1 verwendet. In einem ersten Schritt wird damit beurteilt, ob eine DSFA überhaupt erforderlich ist. Dies geschieht durch das Ausfüllen des ersten Teils des Formulars. Ist eine DSFA nötig, kann diese mit demselben Formular durchgeführt werden. Auch dies ist Sache der für die Datenbearbeitung verantwortliche Person. Eine DSFA setzt ein fertig ausgefülltes Formular E.1 voraus. Ist die DSFA durchgeführt, kann dies im Formular B.1 vermerkt werden. Ist keine DSFA nötig, kann der Negativbefund zur Dokumentation ebenfalls abgelegt werden.
- Im nächsten Schritt wird, soweit dies noch erforderlich ist, beurteilt, ob die vom Unternehmen in Anspruch genommenen Auftragsbearbeitungen den gesetzlichen Vorgaben entsprechen. Hierzu dient das Formular F.1, wobei für jede Auftragsbearbeitung (d.h. in der Regel jeden Auftragsbearbeiter und jeden Vertrag) ein separates Formular ausgefüllt werden muss (aus der Warte des Verantwortlichen; für Auftragsbearbeiter ist Formular E.2 vorgesehen). Auf Formular F.1 wird auch von Formular E.1 verwiesen. Da für die Auftragsbearbeitungen in den meisten Unternehmen andere Personen verantwortlich sind als jene, die für die Datenbearbeitungen verantwortlich zeichnen, und dieselbe Auftragsbearbeitung mehrere Datenbearbeitungen betreffen kann, ist für die Erfassung und Beurteilung der Auftragsbearbeitungen ein separates Formular vorgesehen.
- Im selben Sinne separat beurteilt werden die Massnahmen zur Datensicherheit. Hierzu dient Formular F.2. Dies erfolgt in einem separaten Formular, weil die Verantwortung für die Datensicherheit in den meisten Unternehmen einer anderen Stelle zugeteilt ist als den Inhalt der Datenbearbeitung. Sie ist häufig auch übergreifend geregelt und implementiert. So genügt es in aller Regel, für mehrere oder alle Datenbearbeitungen das Formular einmal auszufüllen (und in Formular E.1 jeweils darauf zu verweisen).
- Schliesslich wird mit Formular F.3 das Weisungswesen im Unternehmen beurteilt. Es wird ermittelt, ob die erforderlichen Weisungen und Schulungen gegenüber den Mitarbeitern des Unternehmens bestehen. Überprüft wird auch die Auditierung der Datenschutz-Prozesse, sofern ein Audit-Prozess überhaupt besteht. Es wird dabei zwischen einer allgemeinen Datenschutzweisung und sachspezifischen Weisungen (z.B. zur Weisungen zur Bearbeitung von Personaldaten) unterschieden. Bei Letzteren wird geprüft, ob diese die typischen Inhalte aufweisen.
- Soweit das Unternehmen mit einer oder mehreren Datenbearbeitungen in den Anwendungsbereich der DSGVO fällt, ist mittels Formular D.1 zu prüfen, ob das Unternehmen einen Vertreter nach Art. 27 DSGVO, einen Datenschutzbeauftragten nach Art. 37 DSGVO oder beides bestellen muss. Hierbei werden nur die Vorgaben gemäss DSGVO geprüft, nicht etwaige strengere Vorgaben gemäss nationalem Recht der EU-Mitgliedstaaten. Diese sind in den Fällen zu berücksichtigen, in denen sich die Unternehmenseinheit mit einer Niederlassung in der EU (bzw. dem EWR) befindet und mit einem lokalen Experten zu klären. In Deutschland werden beispielsweise die meisten Unternehmen einen betrieblichen Datenschutzbeauftragten gemäss Art. 37 DSGVO ernennen müssen, weil das nationale Recht über die DSGVO hinausgeht. Die Dokumentation der Ernennung des Vertreters bzw. des Beauftragten erfolgt über Formular A.1.
- In einem letzten Schritt ist zu beurteilen, ob das Unternehmen bzw. die einzelnen Unternehmensbereiche über die Prozesse verfügen, die gemäss dem revidierten DSG oder der DSGVO häufig erforderlich sind (z.B. der Prozess zur Meldung von Datensicherheitsverletzungen). Bestimmte dieser Prozesse (wie z.B. der Prozess zur Beantwortung des Auskunftsrechts) werden bereits im Rahmen der Beurteilung der einzelnen Datenbearbeitungen abgefragt, soweit sie sich darauf beziehen. Sie können jedoch dort ausgeklammert werden, wenn es effizienter erscheint, sie für mehrere Datenbearbeitungen zusammen zu beurteilen. Für die Beurteilung der Prozesse werden das Formular D.2 und das Formular D.3 benutzt, je nachdem, ob das Unternehmen seine Rolle als Auftragsbearbeiter oder als Verantwortlicher beurteilt. Je nach Konstellation sind daher beide Formulare auszufüllen. Für das Formular D.2 werden sog. “Deep Dives” angeboten, Formulare für vertiefende Abklärungen, so namentlich für die Auskunftsprozesse (Formular D.3) und für den Prozess zur Meldung von Datensicherheitsverletzungen (Formular D.4).
Sind alle diese elf Schritte durchgeführt, ist die Beurteilung der Datenschutz-Konformität komplett.
Wir empfehlen, die ausgefüllten Fragebogen an einem Ort zur Dokumentation des Datenschutzes im Unternehmen aufzubewahren und die Formulare nach Datum bzw. Versionsständen abzulegen, so dass immer klar ist, welches die neuste Fassung bzw. wie der Zustand früher war.
Die Beurteilung der Datenschutz-Konformität ist kein einmaliger Vorgang, sondern ist immer dann selektiv zu wiederholen, wenn sich Änderungen im Betrieb ergeben, wenn neue Datenbearbeitungen hinzukommen oder sich Datenbearbeitungen ändern. Wir empfehlen ferner, dass die Verantwortlichen für eine Datenbearbeitung, die ihre Datenbearbeitung betreffenden Formulare und die darin enthaltenen Angaben bzw. Beurteilungen in periodischen Abständen auf ihre Richtigkeit und Vollständigkeit überprüfen. Bei Datenschutz-Folgenabschätzungen wird erwartet, dass diese mindestens alle drei Jahre wiederholt werden.
Da sich die Formulare des Tools ständig weiterentwickeln, ist darauf zu achten, dass jeweils die neusten Fassungen eingesetzt werden.