Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten – aber bitte mit Qualität!

 

Die europäische Datenschutzgrundverordnung (#DSGVO) verlangt in Artikel 30 von Unternehmen, dass sie ein Verzeichnis von Verarbeitungstätigkeiten – kurz “VVT” – führen, die in ihrem Verantwortungsbereich liegen.

 

Das VVT ist, aus meiner persönlichen Sicht, das wichtigste Grundlagendokument im Datenschutz. Es gibt darüber Auskunft, welche personenbezogene Daten zu welchen Zwecken und über welche Kategorien betroffener Personen im Unternehmen verarbeitet werden. Des Weiteren erhält es wichtige Informationen darüber, wer die internen und externen Empfänger der personenbezogenen Daten sind, wann die Daten gelöscht werden und welche Maßnahmen zu ihrem Schutz ergriffen wurden (Stichwort: “technische und organisatorische Maßnahmen“).

 

Warum ist es wichtig?

Das VVT ist deshalb so wichtig, weil es sowohl der Unternehmensführung, aber auch Prüfern der Aufsichtsbehörde einen ersten Eindruck darüber verschafft, in welcher Form überhaupt personenbezogene Daten im Unternehmen verarbeitet werden und wie hoch das Risiko bei einem möglichen Datenschutzvorfall zu bewerten ist.

Das VVT ist aber nicht nur ein extrem wichtiges Übersichtsdokument, es enthält auch alle notwendigen Informationen für die ebenfalls im Rahmen der DSGVO zu erstellenden Informationspflichten (Art. 13 und 14 DSGVO). Ebenfalls gibt es Aufschluss darüber, ob die bereits im Unternehmen etablierten technischen- und organisatorischen Maßnahmen (Art. 32 DSGVO) ausreichend sind, um die Sicherheit der Verarbeitung zu gewährleisten. 

Aus meiner Beratungserfahrung ist die Qualität des VVT ausschlaggebend für die erfolgreiche Umsetzung der DSGVO-Vorgaben im Unternehmen. 

Das ist wie mit einem Fleischwolf: nur wenn gutes Fleisch oben reinkommt, dann kann auch nur gutes Hack unten rauskommen. In den Kontext des Datenschutzes übersetzt heißt das, dass die Qualität der im VVT erfassten Informationen sich auswirken auf die Qualität der nachgelagerten Dokumente, die sich aus diesen Informationen zusammensetzen.

 

Ein Beispiel für die Verwendung

Nehmen wir einmal an, es kommt ein Auskunftsersuchen nach Art. 15 DSGVO rein. Eigentlich etwas, was mit Hilfe eines gut geführten VVT leicht und ohne größeren Aufwand (zumindest, wenn die betroffene Person nicht zusätzlich eine Kopie ihrer personenbezogenen Daten einfordert) beantwortet werden kann. Es stellt sich dabei aber leider raus, dass die über die betroffene Person gespeicherten personenbezogenen Daten in Teilen nicht übereinstimmen mit denen im VVT hinterlegten Informationen. Dies hätte dann zur Folge, dass die für das Auskunftsersuchen benötigten Informationen über jeden einzelnen Fachbereich separat abgefragt werden müssen. Das Ergebnis: Zusätzlicher Aufwand und Stress bei den Mitarbeitern!

Ich kann deshalb jedem Unternehmen nur dazu raten, sich bei der Erstellung des VVT Zeit zu lassen und sicherzustellen, dass die Qualität der erfassten Informationen stimmt. Glaube mir, die Zeit, die Du hier investierst, benötigst Du dann später nicht dafür, die Kuh vom Eis zu holen.

 

Die Qualität eines VVT

Wenn wir beim VVT von Qualität sprechen, dann spiegelt sich diese nicht ausschließlich über die Qualität der erfassten Informationen wider, sondern auch über Menge der einzelnen erfassten Verarbeitungstätigkeiten. Merksatz: Das VVT sollte so kurz wie möglich, aber so lang wie nötig sein!

Natürlich hängt die Größe des VVT auch mit der Größe des Unternehmens zusammen, aber es hilft auch niemanden, wenn der Detaillierungsgrad der aufgenommenen Verarbeitungstätigkeiten so klein ist, dass das VVT am Ende aus über 300 einzelnen Verfahren besteht (kein Scherz, das habe ich schon gesehen). Das Extrem in die andere Richtung wäre ein VVT aus weniger als 5 Verfahren. Hier hat man dann vermutlich versucht, zu stark zu subsumieren. 

Der Detaillierungsgrad sollte stets so gewählt sein, dass das VVT noch übersichtlich ist, aber die Informationen auf der Detaillierungsebene bereitstehen, die für die Erstellung nachgelagerten Dokumente benötigt werden.

Erstelle mal Informationspflichten für Kunden aus einem VVT mit über 300 einzelnen Verfahren. Ich kann Dir sagen, das ist kein Spaß!

 

Zusätzliche Punkte für die VVT

Beim VVT bietet es sich an, zusätzlich zu den im Art. 30 DSGVO beschriebenen Pflichtfeldern, weitere Felder zu “Auftragsverarbeitern”, “eingesetzte Software” und “Notwendigkeit einer Datenschutzfolgenabschätzung” aufzunehmen, um diese Informationen für andere Anforderungen des Datenschutzes schon parat zu haben. Das spart erheblich Zeit!

Gerade der Punkt “eingesetzte Software” ist für die Löschanforderungen aus der DSGVO extrem hilfreich, denn hierüber bekommst Du einen Blick darüber, wo die personenbezogenen Daten überhaupt gespeichert werden, die Du löschen sollst.

 

Fazit

Datenschutz ohne ein Verzeichnis von Verarbeitungstätigkeiten ist nicht möglich. Die Qualität der dort erfassten Informationen ist ausschlaggebend für die erfolgreiche Umsetzung anderer Anforderungspunkte aus der DSGVO.

Nehme Dir deshalb Zeit für die Erstellung des VVT!

Stelle sicher, dass der Detaillierungsgrad des VVT zu Deinen persönlichen Bedürfnissen passt und ein falscher am Ende nicht als Bumerang als Mehraufwand zu Dir zurückkommt. 

 

Kontaktiere Uns