Auffrischung: Verzeichnis der Verarbeitungstätigkeiten

By René Floitgraf

In unseren Beratungen stellen wir eine Sache immer wieder fest: Viele Unternehmen tun sich schwer damit das Verzeichnis der Verarbeitungstätigkeiten (VVT) aktuell zu halten. Das VVT wurde am Anfang erstellt und fristet seither ein unbeachtetes Dasein; dabei ist ein gutes VVT mehr als nur die Erfüllung einer Dokumentationspflicht!

Worum geht es?

Änderungen an Verarbeitungen, z.B. auch der Austausch einer Software, sind wichtige Beratungsanlässe, damit wir Sie beim sorgsamen Umgang mit den betroffenen und verarbeiteten Daten unterstützen können. Dabei können wir mit Ihnen zusammen prüfen, ob die Grundsätze des Datenschutzes in Bezug auf Datensparsamkeit und Zweckbindung eingehalten werden, ob die Kenntnis der Daten auf einen sinnvollen Teilnehmerkreis begrenzt ist, ob Informationspflichten anzupassen sind, oder ob ein neuer Dienstleister vorhanden ist und damit zusätzlich der Abschluss einer Vereinbarung zur Auftragsverarbeitung notwendig wird.

Ohne dieses Feedback aus Ihrem Unternehmen können wir unsere beratende Aufgabe als Datenschutzbeauftragter nur schwer wahrnehmen. Wir sind darauf angewiesen, dass Fachverantwortliche die Änderungen am VVT umgehend dokumentieren, damit wir bei offenen Fragen aktiv auf Sie zukommen können, bzw. unsere Hinweise geben können.

Warum ist fehlende Pflege ein Problem?

Die Dokumentation ist ein Kernelement der Nachweispflichten aus dem Datenschutz. Diese Dokumentation sollte zutreffend und aktuell sein, damit wir gemeinsam auf mögliche Rückfragen, sei es von der Aufsichtsbehörde, oder eines Betroffenen, reagieren können.

Die Führung und Pflege des VVT liegt in der Pflicht des Verantwortlichen – also des Unternehmens. Die Unternehmensleitung kann diese Aufgabe wiederum an andere Personen delegieren, hier bieten sich die Abteilungsleiter an, da diese häufig die detailliertesten Daten zu einer Verarbeitung liefern können.

Zusätzlich zur reinen DokumentationsPFLICHT hilft das VVT aber auch Ihr Unternehmen zu verstehen. Wo und warum verarbeiten Sie personenbezogene Daten? Welche Software setzen Sie dafür ein? Wer unterstützt Sie dabei? Usw…

Was ist JETZT zu tun?

Regeln Sie im Unternehmen, wer für die Aktualisierungen verantwortlich ist. Wenn Sie Verantwortliche benannt haben, erinnern Sie diese Personen daran, dass die Information ungefragt an uns kommuniziert werden sollte. Einerseits können dafür – genau wie für die Meldung von Betroffenenrechten und Datenschutzvorfällen – die Links genutzt werden, die wir über das Dokumentationsportal zur Verfügung stellen. Aber im Grunde reicht dafür eine kurze formlose E-Mail, um den Ball ins Rollen zu bringen!

Wie unterstützen wir dabei?

Einerseits stellen wir zusammen mit dem Datenschutzhandbuch eine Unternehmensrichtline bereit, worin die Fachverantwortlichen verpflichtet werden, die entsprechenden Meldungen abzugeben.

Wie zuvor erwähnt stellen wir zudem einfache Formulare bereit, wo der Fachverantwortliche mit wenigen Angaben (5 Eingabefelder) den Ball ins Rollen bringen kann.

Und allen Empfängern unserer Informationsnachrichten für Mandanten und deren Ansprechpartner fügen wir unsere Datenschutzzeitung zum Verzeichnis der Verarbeitungstätigkeiten nochmals bei.

Ausblick

Während Corona wurde einiges – auch in Bezug auf die Überprüfung des Verzeichnisses der Verarbeitungstätigkeiten – über den Haufen geworfen. Kontrollen fanden im Grunde genommen nur noch per Formular / online statt. Auch dieses Jahr wird es in Kürze noch einmal eine digitale Kontrolle geben. Informationen dazu folgen in den nächsten Tagen.

Jedoch möchten wir Sie enger betreuen. Vor der Pandemie hatten wir mit den meisten Mandanten vereinbart, dass man sich mindestens einmal im Jahr sieht. Wenn wir bei Ihnen vor Ort sind, fallen uns Dinge auf, die wir besprechen können, die online mitunter nie zur Sprache gekommen wären.

Wir können diese Kontrollen natürlich nur anbieten. Wenn Sie uns dann nicht mit der Durchführung der Kontrolle beauftragen, können wir Sie nicht dazu zwingen. Wir hoffen jedoch, dass auch Ihnen die Notwendigkeit bewusst ist, und würden uns freuen, wenn Sie erste Terminvorschläge für das kommende Jahr aktiv bei uns anfragen oder einreichen!

Fazit

Das VVT ist vordergründig nur ein „Papiertiger“, der im Rahmen der Nachweispflichten gefordert wird. Wird das VVT jedoch regelmäßig überarbeitet und gepflegt, können daraus viele Beratungssituationen ableitet und damit der Datenschutz vorangetrieben werden.

Wir sind auf Ihre aktive Mitarbeit angewiesen und freuen uns auf vielzählige Gespräche und vielleicht schon den einen oder anderen Terminwunsch für das kommende Jahr!

Beste Grüße
Ihre Datenschutzbeauftragten der CompliPro GmbH

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Start typing and press Enter to search

Pixabay@Pexels
Handreichung der Aufsichtsbehörden zu M365Datenschutz, Drittanbieter
pexels-sora-shimazaki-5669619
Auskunft nach 16 Tagen bereits verspätet?Betroffenenrechte, Datenschutz