Echt jetzt? Kann ein VVT in 30 Minuten erstellt werden?

Ja, das geht, wenn man eine entsprechend vorbereitete Vorlage hat, die ich Ihnen kostenlos zur Verfügung stelle. Und wenn Sie schon einigermaßen wissen, welche personenbezogenen Daten Sie in Ihrem Unternehmen verarbeiten.

Hier ein Auszug aus meinem Muster-VVT:

Kostenlose Vorlage für das Verzeichnis von Verarbeitungstätigkeiten (VVT)

So, nun können Sie entweder meine kostenlose Vorlage, die viele Beispiele enthält, runterladen und gleich mit der Befüllung loslegen oder Sie lesen sich erst einmal die untenstehenden Hinweise durch. Je nachdem, wie viele Vorkenntnisse (und Interesse an den datenschutzrechtlichen Hintergründen) Sie haben.

Im VVT MÜSSEN enthalten sein:

  • Namen und Kontaktdaten von Verantwortlichem und Datenschutzbeauftragtem
  • Verarbeitungszwecke
  • Beschreibung der Kategorien von betroffenen Personen und betroffenen Daten
  • Kategorien von Empfängern von Datenübermittlungen
  • Offenlegungen aller Datenübertragungen in Drittländer (außerhalb der EU) samt der ggf. hierfür erforderlichen Garantien
  • Die vorgesehenen Löschfristen für die Daten (in der DSGVO steht zwar „wenn möglich“, es wird aber erwartet, dass diese Informationen vorliegen)
  • Beschreibung der allgemeinen Technisch-organisatorischen Maßnahmen (auch hier ist das „wenn möglich“ als Muss zu verstehen).

Darüber hinaus empfehle ich noch einen erweiterten Teil des VVT mit:

  • Rechtsgrundlagen bzw. Nachweis der Rechtmäßigkeit der Verarbeitung inkl. Nachweis der Einwilligung
  • Verwendete Software bzw. Speicherort für die Verarbeitungstätigkeit
  • Rollen- und Rechtekonzept
  • Test- und Freigabekonzept
  • Maßnahmen zur Umsetzung des Betroffenenrechts

Dieses ist zwar gesetzlich nicht vorgeschrieben, aber sinnvoll, da somit alles zu einer Verarbeitungstätigkeit an einem Platz gespeichert ist und dies auch als Nachweis der Einhaltung datenschutzrechtlicher Vorschriften genutzt und im Falle einer Prüfung durch eine Aufsichtsbehörde diesen vorgelegt werden kann.

Hier geht es zur Vorlage des VVTs inkusive einer Gegenüberstellung der rechtlichen Grundlagen zu diversen Empfehlungen (auch von Aufsichtsbehörden) und meiner Vorlage.

Und hier nun auch die rechtlichen Grundlagen zum Verzeichnis von Verarbeitungstätigkeiten:

Art. 4 DSGVO – Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

  1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
  2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

(Quelle: www.dsgvo-gesetz.de)

Art. 4 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten

Zusammenfassung (für Unternehmen):

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Dies gilt nicht, wenn

  • die betroffene Person der Verarbeitung dieser Daten ausdrücklich eingewilligt hat (wenn vorher die Zwecke der Verarbeitung transparent und verständlich genannt wurden)
  • die Verarbeitung erforderlich ist, damit das Unternehmen den Pflichten aus dem Arbeitsrecht und weiteren Rechten nachkommen kann
  • die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist ihre Einwilligung zu geben
  • die Verarbeitung durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten erfolgt, unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
  • die Verarbeitung sich auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat
  • die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
  • die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist
  • die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist.

Diese Daten dürfen zu den oben genannten Zwecken aber nur verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls einer Geheimhaltungspflicht unterliegt.

(Quelle: dsgvo-gesetz.de)

Art. 10 DSGVO – Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Zusammenfassung (für Unternehmen):

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

(Quelle: dsgvo-gesetz.de)

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Die Inhalte des Art. 30 habe ich schon im Reiter „Inhalt des VVT“ zusammengefasst.

(Quelle: dsgvo-gesetz.de)

Und immer noch ratlos?

Sie wissen trotz der Vorlage und der Beispiele immer noch nicht, wie Sie das VVT für Ihr Unternehmen erstellen sollen? Oder Sie haben einfach im Tagesgeschäft keine Zeit dafür? Dann besuchen Sie doch mein Webinar zur Erstellung des Verzeichnis von Verarbeitungstätigkeiten. Das Webinar ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung, so dass Sie schon im Webinar mit der Erstellung IHRES VVTs starten können.

Meine praxisbezogenen Webinare

– Löschkonzept strukturiert und rechtssicher in der Praxis erstellen
– Verzeichnis von Verarbeitungstätigkeiten erstellen
– IT-Architektur: Aufbau und Zusammenspiel in großen Unternehmen

Mehr erfahren
0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert