Ein VVT ist die Sammlung, in der alle abgrenzbaren Prozesse im Unternehmen beschrieben sind, welche mit der Verarbeitung von personenbezogenen Daten zu tun haben. Hier ein paar Beispiele für diese Prozesse:
Für jeden Prozess muss unter anderem dokumentiert werden, welche personenbezogenen Daten verarbeitet werden, von wem diese Daten verarbeitet werden, welche Dritte im Prozess involviert sind, usw. Was genau benötigt wird, ist im Artikel 30 in der DSGVO beschrieben.
Gleich vorab, in der der Theorie muss nicht jedes Unternehmen ein VVT führen, in der Praxis sind diese Ausnahmen jedoch sehr begrenzt und es wird geraten, schon durch die Vorteile des Verzeichnisses, ein VVT unabhängig möglicher Ausnahmen zu führen.
Was sind diese Vorteile?
Aus rechtlicher Sicht natürlich die Vermeidung von Strafen. Im Falle einer Kontrolle durch die Datenschutzbehörde musst du ein VVT vorweisen. Solltest du dazu nicht in der Lage sein, drohen die erwähnten empfindlichen Strafen.
Aus praktischer Sicht schaffst du mit einem VVT die Basis für alle anderen Datenschutzpflichten. Spätestens, wenn du zum Beispiel eine Auftragsverarbeitungs-Vereinbarung oder eine Datenschutzrichtlinie benötigst, findest du im VVT bereits alle notwendigen Daten dazu.
Die Erstellung eines VVTs funktioniert meist am besten, wenn man eine klare Struktur, wie sie Metasoul bietet, als Basis heranzieht, da man hier am besten den Überblick behält. In der folgenden Anleitung beziehen wir uns auch auf die Metasoul VVT Struktur, da sich diese in der Praxis gut bewährt hat. Um den Umfang dieses Blog-Posts nicht zu sprengen, wirst du zu jedem Thema einen Verweis auf einen „Detail-Blog“ finden, der dir helfen wird, die einzelnen Schritte, ohne Probleme zu meistern.
Schritt 1: Verarbeitungstätigkeiten definieren
Zum Start müssen die Prozesse, in denen personenbezogene Daten verarbeitet werden, zu definieren. In unserem Blogeintrag zur Definition von Verarbeitungstätigkeiten erklären wir dir, wie du hier am besten vorgehen und häufige Fehler vermeiden kannst.
Schritt 2: Definieren deiner Verantwortlichkeit
Gib jetzt an, ob du in dem Prozess der für die Verarbeitung Verantwortliche oder ein Auftragsverarbeiter bist. Wenn du dir hier nicht sicher bist, ließ dir unseren Blogbeitrag zur Definition von Verantwortlichkeiten durch.
Schritt 3: Erfassen involvierter externe Dienstleister, Kunden oder Mitverantwortlicher
Je nachdem, ob du Verantwortlicher oder Auftragsverarbeiter bist, dokumentierst du nun, von welchen Kunden du Daten erhältst und wer deine Sub-Verarbeiter sind (du bist Auftragsverarbeiter), oder an welche Dienstleister du Daten weitergibst (du bist Verantwortlicher). Falls du einer von mehreren Mitverantwortlichen bist, sind die anderen Mitverantwortlichen anzugeben. Das Thema „Mitverantwortlicher“ ist ebenfalls im Blogbeitrag zur Definition von Verantwortlichkeiten erklärt.
Schritt 4: Dokumentieren der Kategorien personenbezogener Daten
Jetzt geht es darum zu erfassen, welche Daten du von den betroffenen Personen verarbeitest. Üblicherweise reicht hier die Angabe der „Kategorie personenbezogener Daten“ zum Beispiel „Kontakt-Daten“ oder „Zahlungsdaten“. Da nicht immer klar ist, was eine Kategorie ist, kannst du in Metasoul einfach die Datentypen wie „Vorname“, „Nachname“, „Geburtsdatum“, usw. angeben und es werden dir Kategorien, aus denen du auswählen kannst, vorgeschlagen.
Schritt 5: Zweck der Verarbeitung, Rechtsgrundlage und betroffene Personen
Jetzt gibst du für jede in Schritt 4 definierte Datenkategorie an, für welche Zwecke du im Prozess Daten verarbeitest, welche Personengruppen von der Verarbeitung betroffen sind, und welche Auftragsverarbeiter oder Subverarbeiter involviert sind. Falls du der für die Verarbeitung Verantwortliche bist, wirst du auch noch nach einer Rechtsgrundlage gefragt. Solltest du mehrere Zwecke mit verschiedenen Rechtsgrundlagen für eine Datenkategorie haben, solltest du im vorhergehenden Schritt die erfassten Daten je Rechtsgrundlage einmal anlegen. Es klingt kompliziert, aber auch hier findest du eine detaillierte Anleitung in unserem Blog zur Festlegung des Zwecks, der Rechtsgrundlage und der betroffenen Personen.
Schritt 6: Datenübertragung in Drittländer und internationalen Organisationen
Aus DSGVO Sicht existieren für personenbezogene Daten sichere, und unsichere Länder. Besonders wenn man mit Clouddiensten arbeitet, passiert es schnell, dass Daten das eigene Land verlassen. In diesem Schritt wird festgehalten, in welche Länder Daten transferiert werden und welche Rechtsgrundlage es für diesen Transfer gibt. Metasoul bietet hier einen geführten Prozess, um durch diesen Schritt durchzulotsen. Zusätzlich behandeln wir diesen Schritt in unserem Blogbeitrag zur Übertragung von Daten in Drittländern.
Schritt 7: Speicherort der Daten
In diesem Schritt wird für jede in Schritt 5 definierte Datenkategorie erfasst, wo du diese Daten speicherst und in welchem Land sich dieser Speicherort befindet. Dieser Schritt ist zwar nicht explizit für das VVT erforderlich, aus Sicht des Löschkonzeptes, macht es jedoch Sinn, diese Informationen gleich mitzuerfassen.
Schritt 8: Löschfristen
Die DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie diese aus geschäftlicher oder rechtlicher Sicht benötigt werden. Diese einfache Vorgabe fällt meist komplizierter aus, als sie sich anhört. Um ein Konzept zum Löschen zu erstellen, müssen einige Fragen beantwortet werden: Welche Datenkategorien werden wie lange benötigt (Löschfrist)? Ab wann beginnt die Löschfrist zu laufen? Was ist die Begründung für die gewählte Löschfrist? Die Löschfristen musst du nur ausfüllen, falls du der für die Verarbeitung Verantwortliche bist. In unsrem Blog zur Erstellung eines Löschkonzeptes findest du eine detaillierte Anleitung, wie du diese Fragen am besten beantwortest.
Schritt 9: Technische und Organisatorische Maßnahmen
Zum Abschluss sollte noch festgelegt werden, wie personenbezogene Daten um Unternehmen geschützt werden. Dies wird in „Technische und Organisatorische Maßnahmen“ kurz TOMs, abgebildet. Metasoul erfasst die TOMs außerhalb des VVT. Was TOMs sind und wie du die richtigen TOMs identifizierst und implementierst, findest du in unserem Blogbeitrag zu TOMs.
Wenn du das Verzeichnis für Verarbeitungstätigkeiten erledigt hast, bist du schon weiter gekommen als viele andere vor dir – Gratuliere! Du wirst jetzt vielleicht die Frage stellen, was dir diese Dokumentation bringt – immerhin hast du hier viel Arbeit hineingesteckt und siehst keinen praktischen Nutzen für die tägliche Arbeit. Hier können wir beruhigen: Die Erstellung von guten Datenschutzrichtlinien und Auftragsverarbeitungs-Vereinbarungen werden ein Klacks sein. Dies schafft Vertrauen bei Kunden und vermittelt Professionalität. Gleichzeitig hast du die Basis dafür gelegt, bei Themen wie DSGVO-Strafen oder persönlicher Haftung ruhig schlafen zu können.
Das Verzeichnis für Verarbeitungstätigkeiten beansprucht einiges an Zeit und Energie für die Erstellung. Dafür bietet es einen detaillierten Einblick in die Verarbeitungstätigkeiten im Unternehmen, bringt einem der Sorgfaltspflicht, und damit der Vermeidung von Strafen, ein Stück näher, und liefert die Basis für qualitativ hochwertige Datenschutzrichtlinien und Auftragsverarbeitungsvereinbarungen. Außerdem ist die Erstellung eines VVT mit Metasoul schnell erledigt.
Weitere Beiträge
Verantwortlicher oder Auftragsverarbeiter? Der Unterschied ganz einfach erklärt!
Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter, zwei Begriffe, die bei vielen ein Fragezeichen aufwerfen. Im folgenden Blog-Beitrag erklären wir kurz, was der Unterschied ist und erklären dir, wie du selbst einfach bestimmen kannst, welche der beiden Rollen du in welcher Situation einnimmst.
Definieren von Verarbeitungstätigkeiten im VVT einfach erklärt
Wenn man beginnt das Verzeichnis für Verarbeitungstätigkeiten (VVT) zu erstellen, stellt sich für die meisten bereits bei der ersten Aufgabe, der Definition von Verarbeitungstätigkeiten, die Frage des „Wie“. In diesem Beitrag erklären wir dir einfach verständlich, was eine Verarbeitungstätigkeit ist und wie du herausfindest, welche Verarbeitungstätigkeiten in deinem Unternehmen existieren.
Unser Demovideo zeigt dir, wie einfach du dein Unternehmen DSGVO-konform machen kannst.
Metasoul
Branchen
Hilfe & Support
Rechtliches
