Eine der ersten Aufgaben, denen man sich als frischgebackener (interner oder externer) Datenschutzbeauftragter (DSB) zu stellen hat, ist das interne Verfahrensverzeichnis. Idealerweise liegt das Verfahrensverzeichnis schon vor und man muss es nur noch weiterpflegen. Die Realität sieht in der Regel allerdings anders aus. Häufig wird der DSB dieses interne Verfahrensverzeichnis komplett neu erstellen müssen. Natürlich sollte der DSB dazu gemäß §4 Abs. 2 von der verantwortlichen Stelle eine “Übersicht über die in §4e Satz 1 genannten Angaben sowie über zugriffsberechtigt Personen” zur Verfügung gestellt bekommen. Wenn der DSB allerdings DARAUF wartet, dann ist er grundsätzlich wohl eher der Typ “Optimist”…

Wenn man das Projekt “internes Verfahrensverzeichnis” angeht, dass sollte man das von Beginn an mit einem guten Plan angehen. Kennt man das Unternehmen so gut wie gar nicht, dann ist meiner Erfahrung nach der beste Ansatz, sich zuerst einmal das Organigramm geben zu lassen. Anhand des Organigramms baut man eine Interview-Liste mit den jeweiligen Abteilungs-Leitern/Verantwortlichen auf. Die Interviews haben zum Ziel, sowohl die wichtigen Geschäftsprozesse kennenzulernen, als auch gleich schonmal mögliche Datenschutz-Probleme zu erkennen (diese wandern dann auf die Task-Liste für das erste Dienst-Jahr).

In dieser Stelle sollte man prüfen, ob man”die üblichen Verdächtigen” auf seiner Liste hat. In nahezu jedem Unternehmen lassen sich die Verfahren in drei Bereiche teilen:

1. Human Resources
   Hier sollten sich klassische Personal-Verfahren finden, die den gesamten Mitarbeiter-Lifecycle umfassen: vom Recruiting über die Führung der Personalakte bis zur Personalentwicklung.
2. IT
   IT-Verfahren sind in der Regel Unterstützungsverfahren für die anderen Verfahren. Hier hat jeder DSB in der Regel seine eigenen Präferenzen, ob und wie er diese modellieren möchte. Auf jeden Fall sollte man aber einen Blick auf Backups und Archive werfen.
3. Geschäftsprozesse
   Bei dieser Kategorie kann man keine allgemein gültigen Aussagen treffen, da sich die Geschäftsprozesse einfach zu sehr unterscheiden. Prinzipiell startet man mit der Frage “Womit verdient dieses Unternehmen sein Geld?” und arbeitet sich dann systematisch durch die Schlüsselprozesse, in denen personenbezogene Daten beteiligt sind.

Als nächstes stellt sich die Frage, wie das Ganze zu dokumentieren ist. Neben den allgemeinen Angaben zum Inhalt aus §4e BDSG gibt es keine Vorgaben zur Form, man hat hier also eine große Gestaltungsfreiheit. Spätestens hier muss man sich entscheiden, ob man ein kommerzielles Produkt anschafft, oder eine eigene Dokumentationsform wählt. Für ein kommerzielles Produkt spricht:

• Die Produkte sind in der Regel so strukturiert, dass sie speziell Anfänger gut unterstützen
• Manche der Produkte werben damit, dass Aufsichtsbehörden an der Erstellung mitgewirkt haben. Hier besteht zumindest die Hoffnung, dass das Produkt bei einem “Besuch” der Aufsichtsbehörde gefallen findet.

Für eine selbsterstellte Dokumentationsform spricht:

• Im Gegensatz zu einem kommerziellen Produkt passt man hier die Dokumentation seinen eigenen Bedürfnissen an, und nicht umgekehrt

Eine kostenlose Vorlage für ein Verfahrensverzeichnis in Excel findet sich hier auf meiner Website.

Bei der Erstellung des Verfahrensverzeichnisses wird man sehr schnell feststellen, dass der Erfolg direkt proportional zum Reifegrad der Information Security im Unternehmen ist. Wenn man sich erst beim Verfahrensverzeichnis zum ersten Mal Gedanken über technische und organisatorische Maßnahmen (TOMs) für Verfahren macht, dann wird man sich sehr schwer tun, ein schlüssiges Sicherheitskonzept für ein Verfahren darzustellen.

Das Thema “Sicherheitskonzept” werde ich in einem Folge-Post im Detail betrachten.