Bearbeitungsverzeichnis nach neuem DSG erstellen
Ziel und Zweck eines Bearbeitungsverzeichnisses
Das Bearbeitungsverzeichnis dient im Rahmen des Datenschutzes als Übersicht über die Bearbeitung von Personendaten im Unternehmen. Der Begriff der Bearbeitung von Personendaten ist weit auszulegen und umfasst unter anderem das Beschaffen, Speichern und Aufbewahren von Daten sowie auch das Verwenden, Verändern und Löschen von Daten. Im Bearbeitungsverzeichnis im Sinne des revidierten Datenschutzgesetzes (revDSG) sollen sodann alle Datenbearbeitungsvorgänge abgebildet werden, damit für das Unternehmen im Zusammenhang mit der Beurteilung der eigenen Datensicherheit ersichtlich ist, welche Daten von welcher Dienststelle oder Person im Unternehmen auf welche Weise bearbeitet wird. Durch die dadurch erreichte Transparenz, kann des Weiteren auch der Nachweis erbracht werden, dass der Datenschutz und die Datensicherheit innerhalb des Unternehmens im Sinne des revidierten Datenschutzgesetzes (revDSG) gewährleistet ist.
Inhalt des Bearbeitungsverzeichnisses
Das Bearbeitungsverzeichnis dient im Rahmen des Datenschutzes als Übersicht über die Bearbeitung von Personendaten im Unternehmen. Der Begriff der Bearbeitung von Personendaten ist weit auszulegen und umfasst unter anderem das Beschaffen, Speichern und Aufbewahren von Daten sowie auch das Verwenden, Verändern und Löschen von Daten. Im Bearbeitungsverzeichnis im Sinne des revidierten Datenschutzgesetzes (revDSG) sollen sodann alle Datenbearbeitungsvorgänge abgebildet werden, damit für das Unternehmen im Zusammenhang mit der Beurteilung der eigenen Datensicherheit ersichtlich ist, welche Daten von welcher Dienststelle oder Person im Unternehmen auf welche Weise bearbeitet wird. Durch die dadurch erreichte Transparenz, kann des Weiteren auch der Nachweis erbracht werden, dass der Datenschutz und die Datensicherheit innerhalb des Unternehmens im Sinne des revidierten Datenschutzgesetzes (revDSG) gewährleistet ist.
Häufige Fragen zum Bearbeitungsverzeichnis
Wer muss ein Bearbeitungsverzeichnis zu führen?
Grundsätzlich ist vom Auftragsbearbeiter selbst sowie auch vom Verantwortlichen je ein Bearbeitungsverzeichnis zu führen. Das revidierte Datenschutzgesetz (revDSG) sieht allerdings für Unternehmen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, eine Ausnahme vor. Im Umkehrschluss ist ein Bearbeitungsverzeichnis auch von kleineren Unternehmen zu führen, sobald die Bearbeitung der Daten ein hohes Risiko mit sich bringt. Ein hohes Risiko birgt unter anderem die Bearbeitung von besonders schützenswerten Personendaten, wie z.B. Gesundheitsdaten.
Was ist ein Bearbeitungsverzeichnis?
Das Bearbeitungsverzeichnis bildet alle Datenbearbeitungsvorgänge ab, damit für das Unternehmen ersichtlich ist, welche Daten von welcher Dienststelle oder Person im Unternehmen auf welche Weise bearbeitet wird und dient der generellen Erfassung der Datenbearbeitungsvorgänge in einem Unternehmen, wodurch Transparenz und Rechtssicherheit im Bereich des Datenschutzes erreicht wird.
Welche Strafen drohen bei fehlendem Bearbeitungsverzeichnis?
Das Bearbeitungsverzeichnis ist ein internes Dokument, welches jedoch vom eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingesehen werden kann. Dieser kann keine unmittelbaren Sanktionen verhängen. Allerdings steht ihm die Möglichkeit offen, die Einhaltung von Pflichten nach dem revidierten Datenschutzgesetz (revDSG) unter Strafandrohung zu verfügen. Wird einer solchen Verfügung vorsätzlich nicht nachgekommen, kann eine Busse von bis zu CHF 250'000 ausgesprochen werden.