Kontakt

Denken Sie Datenschutz auf Prozessebene – Verzeichnis von Verarbeitungstätigkeiten

Josephine Luther

Veröffentlicht am 10.06.2022 von Josephine Luther

Laut der Datenschutz-Grundverordnung (DSGVO) bestehen verschiedene Pflichten zur Gewährleistung und Dokumentation des Datenschutzes bei der Verarbeitung personenbezogener Daten. Dazu gehört auch das sogenannte Verzeichnis von Verarbeitungstätigkeiten (VVT), das dem bisherigen Verarbeitungsverzeichnis ähnlich ist.  

Was ist ein VVT? 

Das VVT ersetzt den ehemals erforderlichen Datenschutz-Verarbeitungskatalog und dient hauptsächlich zum Nachweis der Einhaltung der DSGVO und ist damit ein Instrument der Rechenschaftspflicht. Innerhalb des VVT werden alle Tätigkeiten beschrieben, bei denen personenbezogene Daten erfasst und verarbeitet werden. Das Verzeichnis ist auf Anfrage der Aufsichtsbehörde vorzulegen, damit Verarbeitungsvorgänge kontrolliert werden können. 

Wann muss ein VVT geführt werden? 

Grundsätzlich muss jeder, der regelmäßig personenbezogene Daten verarbeitet, ein VVT führen. Daher ist das VVT Teil des von der DSGVO geforderten Datenschutzmanagementsystems (DSMS). Nach Art. 30 Abs. 5 DSGVO ist die Pflicht zum Führen eines VVT auf Unternehmen mit mehr als 250 Beschäftigten beschränkt; treffen allerdings eine oder mehrere der folgenden Aussagen zu, fallen auch kleinere Unternehmen unter die Pflicht zur Führung eines VVT: 

  • Die Verarbeitung ist mit einem bestimmten Risiko verbunden 
  • Verarbeitung sensibler Daten (Artikel 9 und 10 DSGVO) 
  • Personenbezogene Daten werden nicht nur gelegentlich verarbeitet. 

Werden personenbezogene Daten regelmäßig verarbeitet, ist die Anzahl der Mitarbeiter unbedeutend! 

Was muss ein VVT beinhalten? 

Für jede Tätigkeit, bei der personenbezogene Daten verarbeitet werden, wird beim VVT eine Beschreibung erstellt. Dazu gehören neben der klassischen Datenverarbeitung von Kunden-, Interessenten- oder Mitarbeiterdaten auch die Daten von Lieferanten oder Dienstleistern, die personenbezogene Daten beinhalten. Zu diesen gehören beispielsweise:  

  • der Name und Kontaktdaten des Verantwortlichen,  
  • die Zwecke der Verarbeitung, 
  • die Kategorien personenbezogener Daten,  
  • die Empfänger, gegenüber denen die Daten offengelegt werden, sowie 
  • vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien. 

Konsequenzen bei fehlendem VVT

Ein Verzeichnis von Verarbeitungstätigkeiten kann von der zuständigen Aufsichtsbehörde beantragt werden. Dies geschieht normalerweise, wenn eine Datenschutzverletzung gemeldet oder überprüft wird oder wenn beispielsweise eine Betroffenenanfrage nicht angemessen behandelt wurde. Es ist aber auch eine unabhängige Abfrage möglich. Zuständig für die Prüfung ist die/der Landesbeauftragte für Datenschutz und Informationssicherheit eines jeweiligen Bundeslandes. 

Ohne VVT können hohe Bußgelder verhängt werden, die sich am Unternehmensumsatz orientieren. Daher sollte immer die entsprechende aktuelle Version angegeben werden.

Checkliste VVT 

Haben Sie an alles gedacht? Folgende Fragen sollten Sie sich bei der Erstellung und Prüfung Ihres VVTs stellen: 

  • Bin ich Verantwortlicher oder Auftragsverarbeiter? 
  • Brauche ich ein VVT oder falle ich unter die Ausnahme? 
  • Nenne ich die Namen und Kontaktdaten aller erforderlichen Person? 
  • Habe ich alle Verarbeitungstätigkeiten meines Unternehmens im VVT aufgeführt? 
  • Übermittle ich Daten ins Nicht-EU-Ausland, etwa indem ich US-Dienstleister nutze, und führe das im VVT aus? 
  • Werden TOMs Beschrieben oder auf ein Sicherheitskonzept verwiesen? 
  • Ist das VVT auch auf Deutsch verfügbar und kann im Zweifel ausgedruckt werden? 
  • Aktualisiere und prüfe ich das VVT regelmäßig? 

DATATREE DSMS Paket

Denken Sie Datenschutz auf Prozessebene, denn die Basis Ihres Datenschutzmanagementsystems bilden Ihre Verarbeitungstätigkeiten. Ist Ihr VVT noch auf dem aktuellen Stand? Falls nicht, unterstützen wir Sie gerne bei der Erstellung des VVT, selbstverständlich auf Basis geltender Datenschutzgesetze, um Ihre DSGVO-Konformität nachzuweisen. Wir erstellen Ihr maßgeschneidertes VVT nach einer detaillierten Analyse Ihrer Geschäftsprozesse. Des Weiteren führen wir auch gerne eine Datenschutz-Folgeabschätzung von IT-Anwendungen nach einer vorherigen Risikoabschätzung für Verarbeitungsvorgänge durch. 

Diese Aufgaben übernehmen wir für Sie: 

  • Erarbeitung individueller Unterlagen, Regelungen und Konzepte in Bezug auf den Datenschutz (z.B. AV-Verträge, Joint-Controller-Verträge, Berechtigungskonzepte, etc.)  
  • Unter Berücksichtigung der für Sie aktuell geltenden Datenschutz-Gesetze wie DSGVO und BDSG-neu  
  • Überarbeitung Ihrer Datenschutzerklärung  
  • Durchführung einer technisch-organisatorischen Konformitätsprüfung  
  • Erarbeitung und Überarbeitung Ihrer Einwilligungserklärungen  
  • Erarbeitung und Überarbeitung Ihrer Informationspflichten  
  • Datenschutzrechtliche Bewertung Ihrer Projektvorhaben  
  • Ausarbeitung eines Rechtsgutachtens in Bezug auf datenschutzrechtliche Aspekte mit Handlungsoptionen  
  • Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)   
  • Ermittlung sämtlicher Verarbeitungstätigkeiten mit einer Geschäftsprozess-Analyse, Mitarbeiterinterviews und Auswertung 
  • vorhandener Unterlagen  
  • Durchführung einer Datenschutz-Folgenabschätzung von IT-Anwendungen mit vorheriger Schwellenwertanalyse  
  • Individuelle Maßnahmenvorschläge  
  • Umfangreiche Dokumentation und Zusammenfassung in einem Managementbericht 

Mit unserer innovativen Software GAIMS behalten Sie außerdem mit wenig Aufwand den Überblick über den Stand der Informationssicherheit und des Datenschutzes in Ihrem Unternehmen. GAIMS bietet Ihnen viele Vorteile von der Dokumentation bis hin zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), das auf dem BSI IT-Grundschutz, der ISO27001 oder Ihrer internen Compliance begründet ist. Dabei können Sie in dieser Software ebenfalls ein Datenschutzmanagementsystem (DSMS), welches auf aktuellen für Sie geltenden Datenschutzgesetzen, wie der DSGVO, beruht, einpflegen. Das DSMS wurde eigens von der DATATREE AG für Sie entwickelt und kann individuell mit der Datenschutzkultur Ihres Unternehmens verknüpft werden. Sie brauchen somit nur eine einzige Softwarelösung, um sowohl ISMS als auch DSMS umfangreich abzudecken. Eine Menge Funktionen sind in die Software eingearbeitet, die individuell an die Bedürfnisse Ihres Unternehmens angepasst werden können.  

Unser Angebot einer Datenschutzdokumentation kann mit vielen weiteren Angeboten kombiniert werden. Wir freuen uns auf Ihren Anruf oder eine Nachricht über unser Kontaktformular. 

Quelle:
https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Gegenueberstellung_VVT_und_VVZ.pdf