Die Erstellung eines VVTs funktioniert meist am besten, wenn man eine klare Struktur, wie sie Metasoul bietet, als Basis heranzieht, da man hier am besten den Überblick behält. In der folgenden Anleitung beziehen wir uns auch auf die Metasoul VVT Struktur, da sich diese in der Praxis gut bewährt hat. Um den Umfang dieses Blog-Posts nicht zu sprengen, wirst du zu jedem Thema einen Verweis auf einen „Detail-Blog“ finden, der dir helfen wird, die einzelnen Schritte, ohne Probleme zu meistern.
Schritt 1: Verarbeitungstätigkeiten definieren
Zum Start müssen die Prozesse, in denen personenbezogene Daten verarbeitet werden, zu definieren. In unserem Blogeintrag zur Definition von Verarbeitungstätigkeiten erklären wir dir, wie du hier am besten vorgehen und häufige Fehler vermeiden kannst.
Schritt 2: Definieren deiner Verantwortlichkeit
Gib jetzt an, ob du in dem Prozess der für die Verarbeitung Verantwortliche oder ein Auftragsverarbeiter bist. Wenn du dir hier nicht sicher bist, ließ dir unseren Blogbeitrag zur Definition von Verantwortlichkeiten durch.
Schritt 3: Erfassen involvierter externe Dienstleister, Kunden oder Mitverantwortlicher
Je nachdem, ob du Verantwortlicher oder Auftragsverarbeiter bist, dokumentierst du nun, von welchen Kunden du Daten erhältst und wer deine Sub-Verarbeiter sind (du bist Auftragsverarbeiter), oder an welche Dienstleister du Daten weitergibst (du bist Verantwortlicher). Falls du einer von mehreren Mitverantwortlichen bist, sind die anderen Mitverantwortlichen anzugeben. Das Thema „Mitverantwortlicher“ ist ebenfalls im Blogbeitrag zur Definition von Verantwortlichkeiten erklärt.
Schritt 4: Dokumentieren der Kategorien personenbezogener Daten
Jetzt geht es darum zu erfassen, welche Daten du von den betroffenen Personen verarbeitest. Üblicherweise reicht hier die Angabe der „Kategorie personenbezogener Daten“ zum Beispiel „Kontakt-Daten“ oder „Zahlungsdaten“. Da nicht immer klar ist, was eine Kategorie ist, kannst du in Metasoul einfach die Datentypen wie „Vorname“, „Nachname“, „Geburtsdatum“, usw. angeben und es werden dir Kategorien, aus denen du auswählen kannst, vorgeschlagen.
Schritt 5: Zweck der Verarbeitung, Rechtsgrundlage und betroffene Personen
Jetzt gibst du für jede in Schritt 4 definierte Datenkategorie an, für welche Zwecke du im Prozess Daten verarbeitest, welche Personengruppen von der Verarbeitung betroffen sind, und welche Auftragsverarbeiter oder Subverarbeiter involviert sind. Falls du der für die Verarbeitung Verantwortliche bist, wirst du auch noch nach einer Rechtsgrundlage gefragt. Solltest du mehrere Zwecke mit verschiedenen Rechtsgrundlagen für eine Datenkategorie haben, solltest du im vorhergehenden Schritt die erfassten Daten je Rechtsgrundlage einmal anlegen. Es klingt kompliziert, aber auch hier findest du eine detaillierte Anleitung in unserem Blog zur Festlegung des Zwecks, der Rechtsgrundlage und der betroffenen Personen.
Schritt 6: Datenübertragung in Drittländer und internationalen Organisationen
Aus DSGVO Sicht existieren für personenbezogene Daten sichere, und unsichere Länder. Besonders wenn man mit Clouddiensten arbeitet, passiert es schnell, dass Daten das eigene Land verlassen. In diesem Schritt wird festgehalten, in welche Länder Daten transferiert werden und welche Rechtsgrundlage es für diesen Transfer gibt. Metasoul bietet hier einen geführten Prozess, um durch diesen Schritt durchzulotsen. Zusätzlich behandeln wir diesen Schritt in unserem Blogbeitrag zur Übertragung von Daten in Drittländern.
Schritt 7: Speicherort der Daten
In diesem Schritt wird für jede in Schritt 5 definierte Datenkategorie erfasst, wo du diese Daten speicherst und in welchem Land sich dieser Speicherort befindet. Dieser Schritt ist zwar nicht explizit für das VVT erforderlich, aus Sicht des Löschkonzeptes, macht es jedoch Sinn, diese Informationen gleich mitzuerfassen.
Schritt 8: Löschfristen
Die DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie diese aus geschäftlicher oder rechtlicher Sicht benötigt werden. Diese einfache Vorgabe fällt meist komplizierter aus, als sie sich anhört. Um ein Konzept zum Löschen zu erstellen, müssen einige Fragen beantwortet werden: Welche Datenkategorien werden wie lange benötigt (Löschfrist)? Ab wann beginnt die Löschfrist zu laufen? Was ist die Begründung für die gewählte Löschfrist? Die Löschfristen musst du nur ausfüllen, falls du der für die Verarbeitung Verantwortliche bist. In unsrem Blog zur Erstellung eines Löschkonzeptes findest du eine detaillierte Anleitung, wie du diese Fragen am besten beantwortest.
Schritt 9: Technische und Organisatorische Maßnahmen
Zum Abschluss sollte noch festgelegt werden, wie personenbezogene Daten um Unternehmen geschützt werden. Dies wird in „Technische und Organisatorische Maßnahmen“ kurz TOMs, abgebildet. Metasoul erfasst die TOMs außerhalb des VVT. Was TOMs sind und wie du die richtigen TOMs identifizierst und implementierst, findest du in unserem Blogbeitrag zu TOMs.