EDIRA Update – Verarbeitungsverzeichnis einfach erstellen & DS-GVO-Forderung nachkommen
ETES Spotlight von Chantal Nußbaum
Das Verarbeitungsverzeichnis ist ein zentrales Element des Datenschutzmanagements.
Die Datenschutz-Grundverordnung verpflichtet nach Art. 30 EU-DSGVO sowie nach § 70 BDSG dazu, eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentliche Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist die Dokumentation der Aufsichtsbehörde ohne Zögern vollständig zur Verfügung zu stellen.
Warum ist das Verarbeitungsverzeichnis (VVT) so wichtig?
- Rechtliche Verpflichtung: Die DS-GVO schreibt die Erstellung und Pflege eines Verarbeitungsverzeichnisses für alle Unternehmen in Deutschland vor. Bei Verstößen drohen erhebliche Bußgelder. Das VVT muss unabhängig von der Unternehmensgröße von allen Unternehmen in Deutschland angefertigt werden (§ 70 BDSG)
- Transparenz: Mit dem VVT werden die Datenverarbeitungsprozesse innerhalb des Unternehmens ersichtlich. Dies unterstützt die Einhaltung der Datenschutzvorschriften.
- Beantwortung von Auskunftsersuchen: Wenn betroffene Personen ein Auskunftsersuchen nach Art. 15 DS-GVO an Unternehmen richten, herrscht oftmals Ratlosigkeit. Das VVT kann bei der Beantwortung von Auskunftsersuchen eine wesentliche Rolle spielen, wenn dieses gut gepflegt wurde. Aus dem VVT geht hervor, bei welchen Prozessen die Daten der betroffenen Person verarbeitet wurden. Der Aufwand kann durch das VVT reduziert werden. Zudem unterstützt das VVT bei der vollständigen Beantwortung.
- Identifikation von kritischen Verarbeitungstätigkeiten: Datenschutz-Folgenabschätzungen sind immer dann durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das VVT kann ein erster Anhaltspunkt für die Identifikation kritischer Verarbeitungstätigkeiten sein.
- Nachweis gegenüber der Aufsichtsbehörde: Im Falle einer Datenschutzprüfung durch die Aufsichtsbehörden dient das Verarbeitungsverzeichnis als Nachweis der Konformität mit den Vorgaben der DS-GVO.
Weniger gut: Erstellungsaufwand meist sehr hoch
Bedauerlicherweise ist die Erstellung des VVTs oft mit erheblichem zeitlichem und personellem Aufwand verbunden. Die Erst-Erstellung ist tatsächlich mit einem höheren Aufwand verbunden, da die Prozesse intensiv betrachtet werden.
Dieser intensiven Betrachtung kann jedoch auch etwas Positives abgewonnen werden: Prozesse können gerade gezogen werden, datenschutzkonformes Arbeiten geprüft und Schwachstellen erkannt werden.
Unterstützung bei der Erstellung: EDIRA einsetzen
Der Erstellungs- und Überprüfungsprozess kann durch EDIRA maßgeblich vereinfacht werden und somit der zeitliche und personelle Aufwand reduziert werden.