Alles über VVTs

Antonia Pervanidis

23 Juli 2023

Ein Verzeichnis von Verarbeitungstätigkeiten ist ein Dokument, das Informationen über die Verarbeitungsaktivitäten von personenbezogenen Daten einer Organisation enthält

In Übereinstimmung mit der Allgemeinen Datenschutzverordnung (DSGVO) müssen Organisationen, die personenbezogene Daten verarbeiten, eine Reihe von neuen Verpflichtungen erfüllen, die die Datenschutzrechte von Einzelpersonen stärken sollen. Eine dieser Verpflichtungen besteht darin, ein Verzeichnis der Verarbeitungstätigkeiten (engl. Records of Processing Activities, RoPA) zu führen. 

Was ist ein VVT? 

Ein VVT ist ein Dokument, das Informationen über die Verarbeitung personenbezogener Daten durch eine Organisation enthält. Es muss von allen Organisationen geführt werden, die personenbezogene Daten verarbeiten, unabhängig von ihrer Größe oder Branche. Die RoPA sollte Einzelheiten über die Art der verarbeiteten personenbezogenen Daten, den Zweck der Verarbeitung, die Rechtsgrundlage für die Verarbeitung und die Kategorien der betroffenen Personen, deren Daten verarbeitet werden, enthalten. 

Warum sind VVTs wichtig? 

VVTs sind ein wesentlicher Bestandteil der DSGVO-Compliance. Sie bieten einen klaren Überblick über die Datenverarbeitungstätigkeiten einer Organisation und helfen dabei, die Einhaltung der Grundsätze der DSGVO wie Datenminimierung, Zweckbindung und Transparenz nachzuweisen. Durch die Dokumentation ihrer Datenverarbeitungsaktivitäten können Unternehmen potenzielle Risiken erkennen und Maßnahmen zu deren Minderung ergreifen. VVTs helfen Organisationen auch, auf Anfragen von Betroffenen, Aufsichtsbehörden und anderen Interessengruppen zu reagieren, indem sie eine klare und umfassende Darstellung ihrer Datenverarbeitungsaktivitäten liefern. 

VVTs helfen Organisationen auch dabei, ihren Rechenschaftspflichten gemäß der Datenschutz-Grundverordnung nachzukommen. Die DSGVO verlangt von Unternehmen, dass sie für ihre Datenverarbeitungsaktivitäten rechenschaftspflichtig sind, was bedeutet, dass sie in der Lage sein müssen, die Einhaltung der Grundsätze und Verpflichtungen der DSGVO nachzuweisen. RoPAs können als Nachweis für diese Rechenschaftspflicht verwendet werden, da sie eine klare und präzise Aufzeichnung der Datenverarbeitungstätigkeiten einer Organisation liefern. 

Organisationen müssen sicherstellen, dass ihre RoPA korrekt und aktuell ist und dass sie ihre aktuellen Datenverarbeitungsaktivitäten widerspiegelt. Ändern sich die Datenverarbeitungstätigkeiten einer Organisation, muss die VVT entsprechend aktualisiert werden. 

Wie erstellen Unternehmen derzeit VVTs? 

Schritt 1: Identifizierung aller Datenverarbeitungstätigkeiten 

Der erste Schritt bei der Erstellung einer VVT besteht darin, alle Datenverarbeitungstätigkeiten zu ermitteln. Dazu müssen alle Geschäftsprozesse und Systeme überprüft werden, bei denen personenbezogene Daten verarbeitet werden. Unternehmen müssen feststellen, welche Daten sie verarbeiten, warum sie sie verarbeiten und für wen sie sie verarbeiten. 

Schritt 2: Bestimmen der Rechtsgrundlage für die Verarbeitung 

Sobald Unternehmen alle Datenverarbeitungstätigkeiten ermittelt haben, müssen sie die Rechtsgrundlage für die Verarbeitung bestimmen. Die Datenschutz-Grundverordnung sieht sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor, darunter die Einwilligung, die vertragliche Notwendigkeit und das berechtigte Interesse. Die Unternehmen müssen sicherstellen, dass sie über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen, und dies in ihrer Datenschutzrichtlinie dokumentieren. 

Schritt 3: Identifizieren Sie die Kategorien der verarbeiteten personenbezogenen Daten 

Die Unternehmen müssen die Kategorien der verarbeiteten personenbezogenen Daten ermitteln. Dazu gehören Daten wie Namen, Adressen, Geburtsdaten und finanzielle Informationen. Die Unternehmen müssen auch alle besonderen Kategorien personenbezogener Daten wie Gesundheitsdaten, Rasse oder ethnische Herkunft und politische Meinungen angeben. 

Schritt 4: Bestimmung der Zwecke der Verarbeitung 

Die Unternehmen müssen die Zwecke bestimmen, für die personenbezogene Daten verarbeitet werden. Dazu gehören Zwecke wie Marketing, Kundendienst und Lohnbuchhaltung. Die Unternehmen müssen sicherstellen, dass die Zwecke der Verarbeitung rechtmäßig, fair und transparent sind. 

Schritt 5: Identifizierung der Empfänger von personenbezogenen Daten 

Die Unternehmen müssen die Empfänger personenbezogener Daten identifizieren. Dazu gehören alle Personen, die personenbezogene Daten erhalten oder Zugang zu ihnen haben, wie z. B. Mitarbeiter, Auftragnehmer und Drittanbieter von Dienstleistungen. Die Unternehmen müssen sicherstellen, dass sie über geeignete Verträge und Sicherheitsvorkehrungen verfügen, um personenbezogene Daten zu schützen, wenn sie an Dritte weitergegeben werden. 

Schritt 6: Festlegen der Aufbewahrungsfristen für personenbezogene Daten 

Die Unternehmen müssen die Aufbewahrungsfristen für personenbezogene Daten festlegen. Dazu gehört, wie lange personenbezogene Daten gespeichert werden und wann sie gelöscht werden. Die Unternehmen müssen sicherstellen, dass sie personenbezogene Daten nur so lange wie nötig aufbewahren und dass sie über geeignete Richtlinien und Verfahren verfügen, um personenbezogene Daten sicher zu löschen. 

Schritt 7: Technische und organisatorische Sicherheitsmaßnahmen dokumentieren 

Unternehmen müssen die technischen und organisatorischen Sicherheitsmaßnahmen dokumentieren, die zum Schutz personenbezogener Daten eingesetzt werden. Dazu gehören Maßnahmen wie Zugangskontrollen, Verschlüsselung und Datensicherungen. Die Unternehmen müssen sicherstellen, dass sie über angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten verfügen und diese Maßnahmen regelmäßig überprüfen und aktualisieren. 

Schritt 8: Pflege einer aktuellen RoPA 

Schließlich müssen die Unternehmen sicherstellen, dass ihr VVT korrekt und aktuell sind. Dies bedeutet, dass die Unternehmen ihr VVT regelmäßig überprüfen und aktualisieren müssen, insbesondere wenn sich ihre Datenverarbeitungstätigkeiten ändern. Die Unternehmen müssen außerdem sicherstellen, dass ihr VVT leicht zugänglich ist und den Aufsichtsbehörden auf Anfrage vorgelegt werden kann. 

Schlussfolgerung 

VVTs sind ein wichtiger Bestandteil der Einhaltung der DSGVO, und Organisationen, die personenbezogene Daten verarbeiten, müssen sie pflegen. VVTs bieten einen klaren Überblick über die Datenverarbeitungstätigkeiten einer Organisation, was dazu beiträgt, die Einhaltung der DSGVO-Grundsätze und -Verpflichtungen nachzuweisen und die Rechenschaftspflicht zu unterstützen. Unternehmen sollten sicherstellen, dass ihre VVTs korrekt und aktuell sind und ihre aktuellen Datenverarbeitungstätigkeiten widerspiegeln. Auf diese Weise können Unternehmen sicherstellen, dass sie die DSGVO einhalten und die Datenschutzrechte des Einzelnen schützen. 

Bringen Sie Ihre Datenschutzaktivitäten auf die nächste Stufe 

Sind Sie bereit, Ihre Datenschutzprozesse durch Automatisierung zu verbessern, oder möchten Sie mehr über die Lösung von Kertos erfahren? Kontaktieren Sie unser Expertenteam über hello@kertos.io und wir richten Sie ein!