Das Verzeichnis für Verarbeitungstätigkeiten (VVT) – warum es so wichtig ist und wie man am besten damit startet

Die wenigsten Unternehmen denken an das Verzeichnis für Verarbeitungstätigkeiten kurz VVT, wenn sie sich mit Datenschutz beschäftigen. Was die wenigsten wissen: Das VVT ist vermutlich die wichtigste Komponente im DSGVO Jungel. Warum das so ist und wie du einfach und verständlich damit starten kannst ein VVT selbst zu erstellen, erklären wir dir im folgenden Blog Beitrag.

Inhaltsverzeichnis

Was ist das Verzeichnis für Verarbeitungs-tätigkeiten und warum ist es so wichtig?

Ein VVT ist die Sammlung, in der alle abgrenzbaren Prozesse im Unternehmen beschrieben sind, welche mit der Verarbeitung von personenbezogenen Daten zu tun haben. Hier ein paar Beispiele für diese Prozesse:

  • Verwaltung von Mitarbeiterdaten
  • Lohnverrechnung
  • Rechnungslegung
  • Verwalten von Kundendaten
  • Betreiben eines Onlineshops
  • Führen eines Gäste-Verzeichnisses
  • Beratungstätigkeit für Geschäftskunden
  • Anbieten eines Cloud-Dienstes
  • usw.

Für jeden Prozess muss unter anderem dokumentiert werden, welche personenbezogenen Daten verarbeitet werden, von wem diese Daten verarbeitet werden, welche Dritte im Prozess involviert sind, usw. Was genau benötigt wird, ist im Artikel 30 in der DSGVO beschrieben.

Gleich vorab, in der der Theorie muss nicht jedes Unternehmen ein VVT führen, in der Praxis sind diese Ausnahmen jedoch sehr begrenzt und es wird geraten, schon durch die Vorteile des Verzeichnisses, ein VVT unabhängig möglicher Ausnahmen zu führen.

Was sind diese Vorteile?

Aus rechtlicher Sicht natürlich die Vermeidung von Strafen. Im Falle einer Kontrolle durch die Datenschutzbehörde musst du ein VVT vorweisen. Solltest du dazu nicht in der Lage sein, drohen die erwähnten empfindlichen Strafen.

Aus praktischer Sicht schaffst du mit einem VVT die Basis für alle anderen Datenschutzpflichten. Spätestens, wenn du zum Beispiel eine Auftragsverarbeitungs-Vereinbarung oder eine Datenschutzrichtlinie benötigst, findest du im VVT bereits alle notwendigen Daten dazu.

Wie erstelle ich ein VVT?

Die Erstellung eines VVTs funktioniert meist am besten, wenn man eine klare Struktur, wie sie Metasoul bietet, als Basis heranzieht, da man hier am besten den Überblick behält. In der folgenden Anleitung beziehen wir uns auch auf die Metasoul VVT Struktur, da sich diese in der Praxis gut bewährt hat. Um den Umfang dieses Blog-Posts nicht zu sprengen, wirst du zu jedem Thema einen Verweis auf einen „Detail-Blog“  finden, der dir helfen wird, die einzelnen Schritte, ohne Probleme zu meistern.

 

Schritt 1: Verarbeitungstätigkeiten definieren

Zum Start müssen die Prozesse, in denen personenbezogene Daten verarbeitet werden, zu definieren. In unserem Blogeintrag zur Definition von Verarbeitungstätigkeiten erklären wir dir, wie du hier am besten vorgehen und häufige Fehler vermeiden kannst.

 

Schritt 2: Definieren deiner Verantwortlichkeit

Gib jetzt an, ob du in dem Prozess der für die Verarbeitung Verantwortliche oder ein Auftragsverarbeiter bist. Wenn du dir hier nicht sicher bist, ließ dir unseren Blogbeitrag zur Definition von Verantwortlichkeiten durch.

 

Schritt 3: Erfassen involvierter externe Dienstleister, Kunden oder Mitverantwortlicher

Je nachdem, ob du Verantwortlicher oder Auftragsverarbeiter bist, dokumentierst du nun, von welchen Kunden du Daten erhältst und wer deine Sub-Verarbeiter sind (du bist Auftragsverarbeiter), oder an welche Dienstleister du Daten weitergibst (du bist Verantwortlicher). Falls du einer von mehreren Mitverantwortlichen bist, sind die anderen Mitverantwortlichen anzugeben. Das Thema „Mitverantwortlicher“ ist ebenfalls im Blogbeitrag zur Definition von Verantwortlichkeiten erklärt.

 

Schritt 4: Dokumentieren der Kategorien personenbezogener Daten

Jetzt geht es darum zu erfassen, welche Daten du von den betroffenen Personen verarbeitest. Üblicherweise reicht hier die Angabe der „Kategorie personenbezogener Daten“ zum Beispiel „Kontakt-Daten“ oder „Zahlungsdaten“. Da nicht immer klar ist, was eine Kategorie ist, kannst du in Metasoul einfach die Datentypen wie „Vorname“, „Nachname“, „Geburtsdatum“, usw. angeben und es werden dir Kategorien, aus denen du auswählen kannst, vorgeschlagen.

Schritt 5: Zweck der Verarbeitung, Rechtsgrundlage und betroffene Personen

Jetzt gibst du für jede in Schritt 4 definierte Datenkategorie an, für welche Zwecke du im Prozess Daten verarbeitest, welche Personengruppen von der Verarbeitung betroffen sind, und welche Auftragsverarbeiter oder Subverarbeiter involviert sind. Falls du der für die Verarbeitung Verantwortliche bist, wirst du auch noch nach einer Rechtsgrundlage gefragt.  Solltest du mehrere Zwecke mit verschiedenen Rechtsgrundlagen für eine Datenkategorie haben, solltest du im vorhergehenden Schritt die erfassten Daten je Rechtsgrundlage einmal anlegen. Es klingt kompliziert, aber auch hier findest du eine detaillierte Anleitung in unserem Blog zur Festlegung des Zwecks, der Rechtsgrundlage und der betroffenen Personen.

 

Schritt 6: Datenübertragung in Drittländer und internationalen Organisationen

Aus DSGVO Sicht existieren für personenbezogene Daten sichere, und unsichere Länder.  Besonders wenn man mit Clouddiensten arbeitet, passiert es schnell, dass Daten das eigene Land verlassen. In diesem Schritt wird festgehalten, in welche Länder Daten transferiert werden und welche Rechtsgrundlage es für diesen Transfer gibt. Metasoul bietet hier einen geführten Prozess, um durch diesen Schritt durchzulotsen. Zusätzlich behandeln wir diesen Schritt in unserem Blogbeitrag zur Übertragung von Daten in Drittländern.

 

Schritt 7: Speicherort der Daten

In diesem Schritt wird für jede in Schritt 5 definierte Datenkategorie erfasst, wo du diese Daten speicherst und in welchem Land sich dieser Speicherort befindet. Dieser Schritt ist zwar nicht explizit für das VVT erforderlich, aus Sicht des Löschkonzeptes, macht es jedoch Sinn, diese Informationen gleich mitzuerfassen.

 

Schritt 8: Löschfristen

Die DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie diese aus geschäftlicher oder rechtlicher Sicht benötigt werden. Diese einfache Vorgabe fällt meist komplizierter aus, als sie sich anhört. Um ein Konzept zum Löschen zu erstellen, müssen einige Fragen beantwortet werden: Welche Datenkategorien werden wie lange benötigt (Löschfrist)? Ab wann beginnt die Löschfrist zu laufen? Was ist die Begründung für die gewählte Löschfrist? Die Löschfristen musst du nur ausfüllen, falls du der für die Verarbeitung Verantwortliche bist. In unsrem Blog zur Erstellung eines Löschkonzeptes findest du eine detaillierte Anleitung, wie du diese Fragen am besten beantwortest.

Schritt 9: Technische und Organisatorische Maßnahmen

Zum Abschluss sollte noch festgelegt werden, wie personenbezogene Daten um Unternehmen geschützt werden. Dies wird in „Technische und Organisatorische Maßnahmen“ kurz TOMs, abgebildet. Metasoul erfasst die TOMs außerhalb des VVT. Was TOMs sind und wie du die richtigen TOMs identifizierst und implementierst, findest du in unserem Blogbeitrag zu TOMs.

Wie geht es weiter?

Wenn du das Verzeichnis für Verarbeitungstätigkeiten erledigt hast, bist du schon weiter gekommen als viele andere vor dir – Gratuliere! Du wirst jetzt vielleicht die Frage stellen, was dir diese Dokumentation bringt – immerhin hast du hier viel Arbeit hineingesteckt und siehst keinen praktischen Nutzen für die tägliche Arbeit. Hier können wir beruhigen: Die Erstellung von guten Datenschutzrichtlinien und Auftragsverarbeitungs-Vereinbarungen werden ein Klacks sein.  Dies schafft Vertrauen bei Kunden und vermittelt Professionalität. Gleichzeitig hast du die Basis dafür gelegt, bei Themen wie DSGVO-Strafen oder persönlicher Haftung ruhig schlafen zu können.

Fazit

Das Verzeichnis für Verarbeitungstätigkeiten beansprucht einiges an Zeit und Energie für die Erstellung. Dafür bietet es einen detaillierten Einblick in die Verarbeitungstätigkeiten im Unternehmen, bringt einem der Sorgfaltspflicht, und damit der Vermeidung von Strafen, ein Stück näher, und liefert die Basis für qualitativ hochwertige Datenschutzrichtlinien und Auftragsverarbeitungsvereinbarungen. Außerdem ist die Erstellung eines VVT mit Metasoul schnell erledigt.

Weitere Beiträge

How-To

Zweck und Rechtsgrundlage einer Datenverarbeitung definieren

Wenn du personenbezogene Daten erhebst und verarbeitest, solltest es einen Zweck und eine Rechtsgrundlage dazu geben. Besonders das Bestimmen der Rechtsgrundlage ist für die meisten kein einfaches Unterfangen. In diesem Beitrag erklären wir dir, wie du im Zuge des Verzeichnisses für Verarbeitungstätigkeiten den richtigen Zweck und die richtige Rechtsgrundlage definierst.

Weiterlesen »
How-To

Definieren von Verarbeitungstätigkeiten im VVT einfach erklärt

Wenn man beginnt das Verzeichnis für Verarbeitungstätigkeiten (VVT) zu erstellen, stellt sich für die meisten bereits bei der ersten Aufgabe, der Definition von Verarbeitungstätigkeiten, die Frage des „Wie“. In diesem Beitrag erklären wir dir einfach verständlich, was eine Verarbeitungstätigkeit ist und wie du herausfindest, welche Verarbeitungstätigkeiten in deinem Unternehmen existieren.

Weiterlesen »