Die Dokumentation von Datenflüssen im Datenschutz ist eine Tätigkeit, die vielmals in der Praxis erst zu einem späteren Zeitpunkt umgesetzt wird und viele Fragen bei den Verantwortlichen aufwirft. Dieser Artikel soll helfen, Ihnen bei der Umsetzung einige Tipps an die Hand zu geben und die Umsetzung der Datenflussbeschreibungen dabei zu erklären.
Im Austausch mit Verantwortlichen wird in Bezug auf die Dokumentation der Datenflüsse immer wieder darauf verwiesen, dass „schon so viel dokumentiert wird und man das Verzeichnis der Verarbeitungstätigkeiten inklusive der Risiko- und Schwellwertanalyse pflegt, die Auftragsverarbeitungen und die dazugehörigen Verträge erstellt, abschließt und dokumentiert und ebenfalls die technisch-organisatorischen Maßnahmen aufgenommen und entsprechend dem Schutzbedarf implementiert hat“.
Das alles ist richtig und ist Bestandteil eines funktionierenden Datenschutzmanagementsystems. Doch wie wurden diese Dokumente und mit welchen vorliegenden Informationen erstellt? Welche Gedanken und Erkenntnisse sowie Beobachtungen wurden dafür gesammelt und vorgenommen? Wo kommen diese her?
Betrachtet man rückblickend z. B. die Erstellung einer Verarbeitungstätigkeit erkennt man sehr schnell, dass zur Bestimmung der betroffenen Personen- und Datenkategorien eine Nachfrage in der entsprechenden Fachabteilung stattfand und diese den Ablauf bzw. Prozess erklärte und man sich Notizen dazu machte oder aber die entsprechende Information gleich in die Vorlage eingab. Manchmal ist es eine sehr umfangreiche Vorgehensweise und viele verschiedene Personen sind eingebunden. Dann wird es sinnvoll, die Notizen in einem Schaubild, einer Mindmap etc. festzuhalten.
Das ist der Zeitpunkt, an dem die Dokumentation eines Datenflusses bereits beginnt. Denn ein Datenfluss einer Verarbeitung ist genau das: eine Dokumentation der Erhebung der personenbezogenen Daten, der daran anschließenden Verarbeitung sowie der Aufbewahrung (nach gesetzlichen Anforderungen) und zum Schluss der Löschung bzw. der Vernichtung der personenbezogenen Daten.
Zudem ist die Erstellung von Datenflüssen noch aus anderen Gesichtspunkten wichtig:
- Überblick und Transparenz: Die Aufnahme von Datenflüssen hilft, einen Überblick über die Datenverarbeitungsprozesse zu behalten. Somit kann der Verantwortliche leichter alle Stellen identifizieren, an welchen personenbezogene Daten erhoben, gespeichert, verarbeitet oder auch an Dritte übermittelt werden.
- Erfüllung rechtlicher Anforderungen: Die Dokumentation von Datenflüssen ist ein großer Bestandteil der Erfüllung der Dokumentationspflichten. Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten wird durch die Datenflüsse und einer genauen Dokumentation des „Flusses“ bzw. „Weges“ oder „Lebenszyklus“ der Daten enorm erleichtert und unterstützt bei Rückfragen zu der Verarbeitungstätigkeit und dem Ablauf.
- Risikobewertung und Schutzmaßnahmen: Durch die Aufnahme von Datenflüssen können Risiken für die Rechte und Freiheiten der betroffenen Personen besser erkannt werden. Dies hilft dem Verantwortlichen, seine technischen und organisatorischen Maßnahmen (TOMs) so zu implementieren, damit Risiken minimiert werden.
- Betroffenenrechte und Auskunftspflichten: Eine genaue Dokumentation der Datenflüsse erleichtert es dem Verantwortlichen zum Beispiel auf Anfragen von betroffenen Personen schneller zu reagieren. Die weitere Bearbeitung kann damit oftmals präziser vorgenommen werden.
- Compliance-Nachweis: Die Dokumentation der Datenflüsse kann zudem als Nachweis für die Einhaltung der Datenschutzvorschriften dienen, da diese die Beschreibung der Verarbeitungstätigkeiten intensiver und reichhaltiger mit Informationen zu Abläufen ergänzt.
- Optimierung von Prozessen: Durch die Analyse der dokumentierten Datenflüsse durch den Verantwortlichen können ineffiziente oder riskante Prozesse genauer identifiziert und angepasst werden. Dies kann zu einer Verbesserung des Datenschutzniveaus führen und die Datensicherheit erhöhen.
- Unterstützung bei der Datenschutz-Folgenabschätzung: Für Verarbeitungen mit hohem Risiko ist eine Datenschutz-Folgenabschätzung erforderlich. Die Dokumentation von Datenflüssen unterstützt bei der Identifizierung potenzieller Risiken in den Verarbeitungen und hilft bei der Erkennung und Umsetzung von Möglichkeiten, um die Risiken zu minimieren.
Allgemein kann daher die Dokumentation von Datenflüssen als ein zentrales Element des Datenschutzmanagements angesehen werden. Die Datenflüsse ermöglichen dem Verantwortlichen, ein besseres und intensiveres Verständnis über seine Datenverarbeitungsprozesse zu bekommen und wie er diese kontrollieren und optimieren kann.
Gerne unterstützen wir Sie bei der Dokumentation von Datenflüssen. Sprechen Sie uns an!
Bildquelle: Foto von Chris Tyler auf Unsplash