THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte (1/2)

THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte

Wie sich moderner Datenschutz erfolgreich bei der QM bedient

THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte

Die Mitglieder unseres Datenschutz-Teams  sind schon relativ lange im Bereich Datenschutz tätig. Unsere Wurzeln reichen zurück bis ins Jahr 2006. Und schon damals war das Verfahrensverzeichnis, wie das heutige Verzeichnis von Verarbeitungstätigkeiten (VvV) damals hieß, nicht gerade beliebt bei den Unternehmen und auch bei den Datenschutzbeauftragten...

 

Für viele war das nur Zeitverschwendung. Denn Zeit mussten die Datenschutzbeauftragten zuhauf investieren, um etwas, das den Namen Verzeichnis von Verarbeitungstätigkeiten tragen soll, tatsächlich aufzubauen.

Das Hauptproblem ist und war häufig: Der Datenschutzbeauftragte wurde damit beauftragt, die Verarbeitungen zu dokumentieren. Nur hat der Datenschutzbeauftragte von den zu beschreibenden Verarbeitungen meist zu wenig Ahnung. Zudem ist meist auch noch alleine, was die Sache nicht einfacher macht.

Außerdem reichen die üblichen Dokumentationsmöglichkeiten nicht aus, um die Verarbeitungen so ordentlich zu beschreiben, damit der Datenschutzbeauftragte nachher wichtige Schlüsse daraus ziehen könnte.

Also doch Zeitverschwendung, oder? 

Inhalte einer Verarbeitungstätigkeit

Eine althergebracht dokumentierte Verarbeitungstätigkeit beschreibt insbesondere:

• welche Daten
• zu welchem Zweck
• auf welcher Rechtsgrundlage
• wie verarbeitet werden;
• welche speziellen technischen und organisatorischen Maßnahmen (TOMs) eingesetzt werden, damit die Verarbeitung sicher ablaufen kann;
• wer an der Verarbeitung intern und extern beteiligt ist und
• wann die Daten wieder gelöscht werden.

So weit, so gut. Aber ein wichtiger Punkt fehlt, um dem ganzen Sinn zu verleihen. Und das ist die eigentliche Beschreibung der Verarbeitung - oder anders ausgedrückt die Prozessbeschreibung: Was soll konkret geschehen?

Und hier kam uns unsere Nähe zur ISO 27001 (nach der unsere yourIT seit 2016 zertifiziert ist) und zur ISO 9001 zu Gute. Denn beide Disziplinen beschäftigen sich seit vielen Jahren mit Prozessbeschreibungen. Weshalb sollte man sich da nicht zumindest mal umschauen?

Prozessbeschreibung in der Turtle-Methode

So kamen wir also mit der sogenannten "Turtle-Methode" in Berührung. Diese beschreibt und analysiert Prozesse anhand von W-Fragen: 

1. Prozess: Was soll in der (geplanten) Verarbeitung konkret (mit personenbezogenen Daten) geschehen? 
2. Wer kennt sich mit der (geplanten) Verarbeitung am Besten aus? Wer ist für sie verantwortlich? Wer ist Beteiligter, wer Betroffener?
3. Wofür verarbeiten wir die Daten? (Zweck)
4. Wie setzen wir den Prozess zuverlässig um? Wie leiten wir die beteiligten Mitarbeiter an? (Methoden, Verfahren, Anweisungen)
5. Womit setzen wir den Prozess um? Welche Ressourcen benötigen wir? 
6. Woher: Auslöser oder Quelle des Prozess-Inputs?
7. Wohin: Weitergabe oder Nachfolger für den Prozess-Output?

 Experten erkennen schnell: Das sind die typischen Fragen aus einer typischen Prozessbeschreibung.

Was sind die Besonderheiten der Turtle-Methode?

Das Besondere an der Turtle-Methode ist, dass die Darstellung und Benennung der Prozessmerkmale

1. auf einer Seite und
2. eben in Form einer Schildkröte

erfolgen. Das schafft Überblick und Transparenz. Die besonderen / die kritischen Merkmale eines Prozesses können so hervorgehoben werden.

Hauptvorteil der Turtle-Methode

Einen wichtigen Vorteil der Turtle-Methode erkennt man sofort: Diese Art der Prozessdokumentation ist simpel. Eine Prozessbeschreibung ist damit auch Non-Prozess-Profis möglich. Damit ist nicht mehr der Datenschutzbeauftragte derjenige, der die Verarbeitungstätigkeiten alleine zu dokumentieren versucht. Er bekommt wichtige Unterstützung. Und die Verarbeitungstätigkeiten werden besser beschrieben - im Ernstfall ein unschätzbarer Vorteil.

Das yourIT-Datenschutz-Team als Vorreiter 

Noch  gibt es nur wenige Datenschutzbeauftragte, die sich mit der Idee des Einsatzes der Turtle-Methode zur Optimierung des Verzeichnisses von Verarbeitungstätigkeiten (VvV) beschäftigen. Es ist nicht das erste Mal, dass sich unser yourIT-Datenschutz-Team in die Vorreiter-Rolle begibt. Wir freuen uns auf die Arbeit und die tollen Ergebnisse gemeinsam mit Ihnen.

Sie möchten mehr dazu erfahren? Sehr gerne!

  Jetzt Kontakt aufnehmen

Das könnte Sie auch interessieren:

• 24.03.2022: Ohne Passwort, sicherer als mit ? Schützen Sie sich jetzt gegen Phishing und werden Sie gleichzeitig ihr Passwort los

Special THÄNX @ THE Ä-TEAM  für die Gestaltung des "THE TÖRTLE"-Logos in THE LÄND Edition! Wir freuen uns über die Nutzungserlaubnis.