Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist die Basis des Datenschutzmanagements.
Hierin wird beschrieben, welche Verarbeitungen überhaupt anfallen und wie die Verarbeitung von personenbezogenen Daten erfolgt. Gesetzlich gefordert ist dies in Artikel 30 der Datenschutz-Grundverordnung (DSGVO); übrigens für jedes Unternehmen, jeden Verein – egal wie groß oder klein –, wenn besondere Daten wie beispielsweise in Personalakten verarbeitet werden.
Und es macht für jedes Unternehmen, jeden Verein Sinn, eine solche Übersicht zu erstellen und aktuell zu halten. Es empfiehlt sich, die Tätigkeiten zu Beginn über einen Fragebogen zu erfassen und die Informationen dann zu übernehmen, beispielsweise in eine entsprechende Software. Hier werden die Daten dann strukturiert und angereichert. Konkretisiert und erweitert um Informationen, die dem Unternehmen/Verein einen echten Mehrwert bieten und ein Wissensmanagement und/oder eine Notfallplanung ermöglichen.
Wie gehen wir vor?
1. Wir starten mit einer Liste aller Verfahren im Unternehmen. Das sind um die 40 Verarbeitungen in einem normalen mittelständischen Unternehmen. Dazu gehört so was wie Personalakten, Arbeitszeiterfassung, Kundenverwaltung, Benutzerverwaltung oder Videoüberwachung.
2. Schritt zwei ist, dass die Geschäftsführung festlegt, welche Person (nicht Team) für das jeweils spezifische Verfahren verantwortlich bezüglich der Dokumentation und Umsetzung ist.
3. Wenn wir von der Geschäftsführung diese Liste haben, schreiben wir alle Personen an, informieren sie und fragen die Daten über den oben genannten Meldebogen ab.
Im Zweifel ergänzen wir, fragen nach und geben Unterstützung.
4. Haben wir alle Daten, nehmen wir eine Risikobeurteilung vor mit Blick auf die von der Verarbeitung betroffenen Personen und geben eventuelle Empfehlungen, um das Risiko für die Betroffenen zu verringern.
Automatisch erhält das Unternehmen eine Übersicht der Speicherorte, Aufbewahrungsfristen, involvierte Dienstleister und Lücken in der Datensicherheit.
Diese Dokumentation wird laufend gepflegt und aktuell gehalten. So hat man bei einem Personalwechsel oder bei einem Vorstandswechsel im Verein direkt eine gute Dokumentation, was wie gemacht wurde und wo die Daten liegen. Mindestens einmal jährlich erfolgt eine komplette Überprüfung aller Verfahrensmeldungen.
Wichtig ist: Mut zur Lücke und zur Verbesserung.
Hierzu sind zusätzliche Informationen über den Speicherort (digital und analog), etwaige Dienstleister, die involviert sind, und auch die Aufbewahrungsfristen, die sich aus ganz verschiedenen Gründen ergeben können, entscheidend.
Teilen: