Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Siriwan Arunsiriwattana, Unsplash
Tipps zum VVT: Erfassung, Pflege und Anbindung
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) wird gerne als Herzstück des Datenschutzkonzeptes bezeichnet. Dies gilt jedoch nur, wenn das VVT nicht nur zur reinen Dokumentation aller Verarbeitungen genutzt wird. Denn richtig erstellt, vervollständigt und gepflegt hilft es, Betroffenenanfragen zu beantworten und die Rechtskonformität der Verarbeitungen nachzuweisen.
Das zentrale Stichwort hier: Pflege. Werden Verarbeitungen nicht vollständig erfasst, regelmäßig geprüft und aktualisiert, nützt auch das umfassendste VVT nicht viel. Nur wenn Verarbeitungen von Beginn an strukturiert erfasst, aktuell gehalten und mit der weiteren Dokumentation verknüpft werden, kann das VVT wirklich zum Herzstück Ihres Datenschutzkonzeptes werden.
Wie das gelingt, erfahren Sie in dieser Ausgabe unserer Reihe „Tipps zum VVT“ rund um Erfassung, Pflege und Anbindung.
Ziel
Ein gut gepflegtes VVT – vor allem im erweiterten Sinne – hilft bei der täglichen Arbeit rund um das Thema Datenschutz und sollte dabei folgende Punkte erfüllen:
- Jede Verarbeitung in der Organisation ist nachprüfbar.
- Jede Verarbeitung wird laufend optimiert.
- Die Folgen von Datenschutzverletzungen sind mithilfe des VVT schnell und gründlich abschätzbar.
- Die Datenschutzkonformität aller Verarbeitungen personenbezogener Daten ist nachweisbar.
Die Umsetzung dieser Anforderungen gelingt mit der richtigen Erfassung, Pflege und Anbindung.
Erfassung: Neue Verarbeitungen ins VVT aufnehmen
Bevor Sie Verarbeitungen erfassen, sollten Sie zunächst die Rollenverteilung und die Verantwortlichkeiten in Ihrer Organisation prüfen und entsprechende Prozesse sowie Kommunikationswege definieren. Wer ist beispielsweise für die Pflege zuständig? Und woher kommen die benötigten Informationen, die für das VVT benötigt werden?
Prinzipiell gilt eine informationelle Bringschuld für die einzelnen Abteilungen. Das heißt, Bereichsverantwortliche sind verpflichtet, das Datenschutz-Team von Anfang an bei der Planung neuer Verarbeitungen von personenbezogenen Daten einzubeziehen sowie alle Veränderungen in bestehenden Verarbeitungen mitzuteilen. Für möglichst reibungslose Prozesse, sollten Sie die Bereichsverantwortlichen bezüglich ihrer Bringschuld informieren und für deren Bedeutung sensibilisieren. Zeigen Sie außerdem auf, warum derart formalisierte Prozesse sinnhaft sind und welche Vorteile sie bringen, um die Akzeptanz bei den Verantwortlichen zu steigern.
Tipp: Erstellen Sie Vorlagen für die Meldung von neuen oder die Aktualisierung bestehender Verarbeitungen. So wissen die Bereichsverantwortlichen genau, welche Angaben für das VVT benötigt werden. Dazu gehören etwa Zweck, Angaben zum betroffenen Personenkreis, Datenkategorien, involvierte interne sowie externe Stellen, die eigensetzte Software etc.
Auf Basis der ausgefüllten Vorlagen können Sie im nächsten Schritt die Verarbeitungen in das VVT einpflegen. Dabei sollten Sie die Meldungen auf Vollständigkeit und Richtigkeit sowie die jeweiligen Verarbeitungen auf Zulässigkeit prüfen.
Im Sinne von Art. 35 DSGVO müssen Sie zudem vor Aufnahme einer Verarbeitungstätigkeit das damit verbundene Risiko bewerten: Welche Datenkategorien werden verarbeitet (z. B. sensible Daten)? Um welche Betroffenengruppen handelt es sich (z. B. Kinder)? Werden die Daten an Dritte oder ins Ausland weitergeleitet?
Besteht potenziell ein großes Risiko und ist die Verarbeitung ohne weitere Sicherheitsmaßnahmen nicht zulässig, müssen Sie eine Datenschutzfolgenabschätzung vornehmen. Bei einem geringen Risiko reicht eine Schwellwertanalyse und die Verarbeitung kann aufgenommen werden. Dieses Vorgehen sollten Sie dokumentieren sowie in einem Prozess mit Vorlagedokument und Bewertungskriterien festhalten.
Pflege: Verarbeitungen aktualisieren und VVT prüfen
Das VVT ist ein lebendiges Dokument und will gepflegt werden. Nicht zuletzt, weil sich die Prozesse in Organisationen regelmäßig ändern: Es werden neue Programme eingeführt, Aktualisierungen vorgenommen (z. B. enthalten Updates neue Funktionalitäten) und Maßnahmen geplant. All das führt dazu, dass sich auch die Verarbeitungen personenbezogener Daten ändern.
Daher sollten die bestehenden Verarbeitungen regelmäßig geprüft und aktualisiert werden. Dafür sollten Sie die notwendigen Prüfprozesse aufbauen, schriftlich festhalten und natürlich auch durchführen.
Tipp: Beziehen Sie bei der Pflege und bei den Prüfroutinen die Fachabteilungen mit ein. Von ihnen kommt der Input. Deshalb sollten Sie die Verantwortlichen regelmäßig sensibilisieren, damit Sie über sich ändernde oder neue Verarbeitungen stets informiert werden. Außerdem sollten die Fachverantwortlichen die vorhandenen Verfahrensmeldungen auf Aktualität und Vollständigkeit prüfen, sodass Sie lediglich die Revision kontrollieren müssen.
Anbindung: Verknüpfung mit anderen Dokumenten
Das VVT steht nicht verlassen in der Wüste, sondern hängt mit anderen Dokumenten und Nachweisen Ihrer Organisation zusammen. Damit Sie derartige Dokumente nicht doppelt pflegen müssen, bietet es sich an, im VVT lediglich auf den Ablageort innerhalb Ihres Managementsystems zu verweisen. So müssen Sie die Dokumente nur an einer Stelle pflegen, Ihre Dokumentation ist stets aktuell und Ihr VVT bleibt übersichtlich.
Gerade im Rahmen eines erweiterten VVT ist es sinnvoll, auf die IT-Dokumentation, Löschkonzepte, Risikoprüfungen und die Dokumentation Ihrer technischen und organisatorischen Maßnahmen zu verweisen. Auch Auftragsverarbeitungen sowie Verträge können Sie so referenzieren.
Dadurch haben Sie alle nötigen Informationen zum Nachweis Ihrer Rechenschaftspflicht und die Pflichtangaben an einer Stelle gesammelt und strukturiert liegen und können ein kohärentes Datenschutz-Management etablieren. Auch Betroffenenanfragen können Sie so wesentlich schneller beantworten.
Fazit
Das VVT wird zwar zentral geführt, aber dezentral erstellt und gepflegt. Nur in Zusammenarbeit mit den Fachbereichen können die Verarbeitungen im VVT vollständig und aktuell gehalten werden. Dafür sind die Definition und Kommunikation der Melde-, Pflege- und Prüfprozesse sowie regelmäßige Sensibilisierungen unerlässlich.
Wird es sorgfältig erstellt, stets gepflegt und regelmäßig geprüft, ist das VVT – gerade im erweiterten Sinne – ein zentrales Werkzeug, um die Rechtskonformität Ihrer Verarbeitungen nachweisen und Betroffenenanfragen bearbeiten zu können.
Zuvor in unserer Themenreihe „Tipps zum VVT“