Oft lauern Verarbeitungen personenbezogener Daten in Alltagshandlungen, manchmal muss ein Prozess auch erst in seinen Einzelteilen analysiert werden, um die Verarbeitungstätigkeit zu erkennen. Die analoge Schlüsselverwaltung ist ein gutes Beispiel dafür wie sich in einem einzigen Prozess personenbezogene und nichtpersonenbezogene Tätigkeiten mischen. Datenschutzbeauftragte sehen sich hier in der Pflicht, ihrer Überwachungs- und Beratungsaufgabe nachzukommen.
“Schließlich sollten die Prozessschritte, die mit der Verarbeitung personenbezogener Daten zusammenhängen, in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden bzw. sollten vorhandene Prozesse auf deren Aktualität geprüft werden.” – Eileen Binder
In der Praxis erleben wir oft Überraschungen, wenn wir bei der Zusammenarbeit mit unseren Mandanten wieder einmal besonders kleinteilig vorgehen müssen und dadurch selbst in den am wenigsten im Personenbezug stehenden internen Prozessen doch noch eine Verarbeitung personenbezogener Daten finden. Dabei lohnt sich genaues hinsehen, denn diese Fälle sind häufiger als sich vermutlich lässt. Ein schönes Beispiel stellt die analoge Schlüsselverwaltung dar. Vermeintlich liegt der größte Personenbezug darin, dass der Schlüssel von Mensch zu Mensch übergeben wird. Oder?
Am einfachsten lässt sich der Personenbezug erkennen, wenn der gesamte Prozess gedanklich durchgespielt wird. Dafür holen sich Datenschutzbeauftragte am besten den Rollenverantwortlichen an die Seite.
Ist noch gar kein Schlüsselmanagement im Unternehmen implementiert, sollte man – wie immer – mit der Bestandsaufnahme beginnen. Wie viele Schlüssel gibt es? Sind alle Schlüssel ausgegeben? Welcher Mitarbeiter hat einen Schlüssel? Habe alle Mitarbeiter dieselbe Zugriffsberechtigung?
Hat man sich einen Überblick verschafft, kann der Prozess für die zukünftige Schlüsselverwaltung ausgearbeitet werden. Es sind Zutrittsberechtigungen zu erteilen, der Schlüssel ist auszugeben und die Mitarbeitenden zu belehren, die Ausgabe ist zu dokumentieren. Es sollte auch regelmäßig geprüft werden, ob die ausgegebenen Schlüssel beim Mitarbeiter noch vorhanden sind. Dazu lässt man sich den Schlüssel am besten zeigen und notiert das Prüfdatum in die Schlüsseldokumentation. Wichtig ist auch ein Notfallkonzept darüber, was zu tun ist, wenn ein Schlüssel verloren gegangen ist. Welche verantwortlichen Stellen müssen informiert werden? Die Notfallnummern sollten immer griffbereit sein.
Verlässt ein Mitarbeiter das Unternehmen, ist der bis hierhin erarbeitete Prozess in weiten Teilen rückwärts abzulaufen. Zutrittsberechtigungen müssen entzogen werden, der Schlüssel muss eingezogen werden, die Abgabe wird dokumentiert.
Übrigens sollte auch dokumentiert werden, wenn ein Mitarbeiter, z.B. aufgrund längerer Abwesenheit, den Schlüssel vorübergehend abgibt oder er einen neuen Schlüssel erhält.
Bis sich die Mitarbeiter eigenverantwortlich Zutritt zu ihrem Arbeitsplatz verschaffen können, sind einige Daten mit Personenbezug verarbeitet worden. Datenschutzbeauftragte sollten schließlich darauf achten, dass diese Prozessschritte in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden bzw. sollten vorhandene Prozesse auf deren Aktualität prüfen .
Der ganze Prozess kann nun visuell im Flussdiagramm dargestellt oder schriftlich festgehalten werden. Dadurch ergibt sich ein neues Dokument für das Datenschutzkonzept oder die interne Organisation (z.B. QM). Der gesamte Prozess lässt sich meist auch übersichtlich in eine Checkliste fassen:
Fazit
Die analoge Schlüsselverwaltung spielt auch im Datenschutz eine Rolle und sollte vom Datenschutzbeauftragen überwacht werden. Prüfen Sie, ob Ihr Unternehmen einen Prozess zur Schlüsselverwaltung hat. Sollte kein Prozess vorhanden sein, führen Sie gemeinsam mit dem Rollenverantwortlichen einen Prozess ein. Ist ein Prozess vorhanden, prüfen Sie, ob die datenschutzrechtlichen Rahmenbedingungen eingehalten werden. Gibt es einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten? Da ein Schlüsselverlust meist zu einer Meldepflicht wegen einer Verletzung des Schutzes personenbezogener Daten führt und unter Umständen für den Verantwortlichen z.B. beim Austausch von ganzen Schlüsselsystemen sehr teuer werden kann, ist eine gute Organisation hier der zentrale Punkt. Im Ernstfall lässt sich damit schnell reagieren, um drohende Schäden zu verhindern oder weitere Schäden vermeiden.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]