Drücke "Enter", um den Text zu überspringen.

Verzeichnis der Verarbeitungstätigkeiten mit Microsoft Lists erstellen

Du bist hier:
< zurück

Alle Unternehmen müssen ihre Verarbeitungstätigkeiten auflisten und aktuell halten. Diese Aufzeichnung wird nicht nur zur internen Kontrolle oder Risikobewertung genutzt, sondern muss im Zweifel auch bei Anfrage dem Landesdatenschutzbeauftragten übergeben werden.  In einem ersten Artikel schrieb ich schon zum Thema SharePoint Online als Datenschutzmanagement-System, nun folgt eine genauere Anleitung zum Verzeichnis der Verarbeitungstätigkeiten.

Das Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO

Verantwortliche und Auftragsverarbeiter sind nun  verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten gemäß Artikel 30 DS-GVO zu führen. Verantwortliche und Auftragsverarbeiter, die unter den Anwendungsbereich der Richtline (EU) 680/2016 (JI-Richtlinie) fallen, sind ebenso nach § 53 Datenschutzgesetz Nordrhein-Westfalen in Verbindung mit Artikel 30 DS-GVO verpflichtet, ein solches Verarbeitungsverzeichnis zu führen.

Artikel 30 Absatz 1 bis 4 der DS-GVO gilt entsprechend mit der Maßgabe, dass in dieses  Verzeichnis ergänzend Angaben über die Rechtsgrundlage der Verarbeitung, einschließlich der Übermittlungen, für die die personenbezogenen Daten bestimmt sind, sowie gegebenenfalls die Verwendung von Profiling aufzunehmen sind. Das Verzeichnis ist auf Anfrage der Datenschutzaufsichtsbehörde zur Verfügung zu stellen.”  Quelle: LDSB NRW

Hinweise: LDSB NRW

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verzeichnis-Verarbeitungstaetigkeiten/Inhalt/Verarbeitungstaetigkeiten/Verarbeitungstaetigkeiten.html

SharePoint Online – Lists

Der SharePoint Online und damit auch Microsoft Teams wurde Mitte 2020 mit Microsoft Lists ausgestattet. Dieses modernere Werkzeug zu den klassischen Lists ermöglicht es moderne Verzeichnisse zu führen. 

Mit diesem Werkzeug lässt sich das Verzeichnis erstellen und führen. 

List als Verzeichnis der Verarbeitungstätigkeiten

Als Basis dient eine einfache Communication Site ohne Microsoft 365 Group oder Microsoft Team. Diese kann neben dem Verarbeitungsverzeichnis auch andere Dokumentationen enthalten, wie das technische Wiki über SharePoint oder Confluent oder auch generell das Datenschutzmanagement- und Risksystem. Über die granularen Berechtigungen und Möglichkeiten dieses auch an ein Team zu hängen 

Berechtigungen

In diesem Abschnitt schauen wir uns an, wer und wie man Berechtigungen vergeben kann:

Vollzugriff
  • 2 Site Admins
  • Support Admin / nur mit Supportticket 
Bearbeiten und Sehen
  • Produktverantwortlicher Office 365
  • Verantwortlicher für die Verarbeitung
  • Datenschutzteam / DPO
  • Compliance Officer
  • Mitarbeiter, die PowerPlatform Apps bauen und Workflows (nur für ihren Eintrag)
Sehen
  • Datenschutzteam konzernweit
  • Betriebsrat
  • Externe Berater (ggf.)
  • ausgewählte MitarbeiterInnen

 

Spalten

Diese füllt ihr mit den Anforderungen des LDSB NRW aus. Damit habt ihr sortiert alle Einträge bekommen.

Workflows (Beispiele)

Sinnvoll ist es, wenn der Eintragende zunächst die Verarbeitung einträgt und dann diese bei einer neuen Eintragung oder Veränderung nochmals durch den Produktverantwortlichen geprüft und genehmigt werden. 

Sollte es bei einer Verarbeitung zu einer kritischen Verarbeitung mit hohem Risiko für die Betroffenen kommen, sollte das Datenschutzteam verpflichtend eingebunden werden und eine Schwellenwertanalyse starten. Dies lässt sich per Flow leicht abbilden. 

Für mich selber als Produktowner habe ich eine Benachrichtigung für jeden Eintrag angefordert, aber dies liegt bei euch. Es ist sinnvoll dies nicht zu beginn zu machen.

 

Wer soll es ausführen? Prozess

In der Regel müssen die das Verarbeitungsverzeichnis ausfüllen, die verantwortlich für die jeweilige Verarbeitung sind. Dazu kommt, dass das Datenschutzteam und der Compliance Officer die gesamte Verantwortung für das Verzeichnis haben sollten. Sie können die Verantwortlichen für die einzelnen Verarbeitungen beraten und unterstützen, dass Verzeichnis immer aktuell zu halten. Sinnvoll ist auch ein monatliches Meeting, um Fragen zu klären und das Veränderungen aufzunehmen.