Lesezeit: 3 Min
Checkliste für die Umsetzung der DS-GVO mit dem externen Datenschutzbeauftragten
Um den Datenschutz im Unternehmen im ausreichenden Maße umzusetzen, müssen die in der Datenschutzgrundverordnung (DS-GVO), festgelegten Maßnahmen eingehalten werden. Dazu gehört auch das Führen eines sogenannten Verzeichnisses von Verarbeitungstätigkeiten.
Wer muss ein VVT im Datenschutz führen?
Jeder Verantwortliche, der personenbezogene Daten verarbeitet, bei deren Verarbeitung Risiken für die Rechte und Freiheiten des sogenannten Betroffenen entstehen können muss ein VVT nach den Vorgaben des Datenschutzes führen.
Gibt es eine Befreiung vom VVT im Datenschutz?
Da bei der Verarbeitung von personenbezogenen Daten ein Risiko für den Betroffenen im Grunde nie ganz ausgeschlossen werden kann, gibt es nur einige wenige Ausnahmen, bei der kein Verzeichnis von Verarbeitungstätigkeiten notwendig wäre.
In jedem Fall sollte ein Fachmann wie der (externe) Datenschutzbeauftragte (DSB) bei einer solchen Einschätzung mit hinzugezogen werden. Wenn fälschlicherweise kein VVT geführt wird, dann kann dies zu empfindlichen Geldbußen führen.
Gibt es eine Vorgabe zur äußeren Form des VVT?
Das VVT ist ein wichtiger Bestandteil des Datenschutzes und eines Datenschutzmanagementsystems (DMS).
Eine äußere Form ist durch die DS-GVO nicht festgelegt, jedoch deren Inhalt. Sie muss in schriftlicher Form (auch elektronisch) erfolgen und auf dem aktuellen Stand sein. Eine einfache Tabelle zur Übersicht der Verarbeitungstätigkeiten ist gut für eine Orientierung und zur Übersicht über alle Prozesse, reicht jedoch im Umfang in der Regel nicht aus. Zusätzlich dazu sollte für jeden Verarbeitungsprozess ein entsprechendes Dokument mit den folgenden Inhalten erstellt werden.
Was muss ein VVT nach DS-GVO beinhalten?
Ein VVT sollte mindestens folgende Angaben enthalten:
- Namen und Kontaktdaten des/der Verantwortlichen, ggf. des Vertreters und des DSB
- Zweck der Verarbeitung
- Beschreibung der Kategorien der betroffenen Personen
- Beschreibung der Kategorien der personenbezogenen Daten
- Kategorie von Empfängern
- Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation
- Löschfristen
- Angaben zu technischen und organisatorischen Maßnahmen (TOM)
BLOG-TIPP: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM) FÜR UNTERNEHMEN IN NRW
Checkliste für die Erstellung eines VVT im Datenschutz
Um ein Verzeichnis von Verarbeitungstätigkeiten im ausreichenden Maße umsetzen zu können, sollte der Verantwortliche unterschiedliche Schritte einhalten:
- Benennen Sie einen Verantwortlichen für die verschiedenen Prozessbereiche
- Identifizieren Sie alle Prozesse, bei dem personenbezogene Daten verarbeitet werden
- Erstellen Sie eine Liste der Prozesse für jeden Bereich
- Legen Sie ein Datum fest, bis wann alle Angaben für das VVT vorliegen müssen
- der (externe) Datenschutzbeauftragte sollte die Daten auf Vollständigkeit und Aktualität prüfen
- Erfassen Sie jeden Prozess entsprechend im VVT bzw. ergänzen/aktualisieren Sie Angaben
VVT – auch das Qualitätsmanagement profitiert
Wenn alle Prozesse durchleuchtet werden, um die Verarbeitung von personenbezogenen Daten zu dokumentieren, kann das auch für das Qualitätsmanagement oder andere Bereiche im Unternehmen nützlich werden.
Der Datenschutz kann also auch ein Mehrwert für andere Bereiche darstellen.
VVT Aktualität und Vollständigkeit regelmäßig prüfen
Bei dem Verzeichnis von Verarbeitungstätigkeiten, sollte regelmäßig die Aktualität und die Vollständigkeit überprüft werden. Jeder neue Prozess in dem personenbezogene Daten verarbeitet werden muss erfasst werden. Auch die technischen und organisatorischen Maßnahmen müssen immer angepasst und entsprechend erfasst werden.
Externer Datenschutzbeauftragter
Um das Verzeichnis von Verarbeitungstätigkeiten (VVT) ausreichen zu gestalten und eine entsprechende Einhaltung des Datenschutzes zu gewährleisten, sollte immer ein Datenschutzbeauftragter hinzugezogen werden.
Dies kann durch einen externen Datenschutzbeauftragten besonders gut erfolgen, da dieser neutral und mit dem entsprechenden Fachwissen auf die verschiedenen Abläufe beurteilen kann, ob der Datenschutz umgesetzt wird.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.