Das Verzeichnis der Verarbeitungstätigkeiten ist der Schlüssel

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist der Schlüssel zur rechtskonformen Umsetzung der DSGVO in Unternehmen und Organisationen. Zu den Plichtangaben gehören:

  • Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und ggf. des gemeinsam mit ihm
    Verantwortlichen, des Vertreters des Verantwortlichen sowie ggf. des Datenschutzbeauftragten,
  • der Zweck der Verarbeitung,
  • die Kategorien betroffener Personen und die Kategorien personenbezogener
    Daten,
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt
    worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder
    internationalen Organisationen,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine
    internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der
    betreffenden internationalen Organisation, sowie bei den in Art. 49 Absatz 1 Unterabsatz 2 DSGVO
    genannten Datenübermittlungen die Dokumentation geeigneter Garantien,
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
  • eine allgemeine Beschreibung der technischen und organisatorischen
    Maßnahmen gemäß Art. 32 Absatz 1 DSGVO.

Es ist in schriftlicher Form zu dokumentieren und auf Verlangen den Aufsichtsbehörden vorzulegen.

Musterverzeichnisse für Kleinunternehmen und Vereine bietet das Bayerisches Landesamt für Datenschutzaufsicht unter folgendem Link.

In der Regel stoßen jedoch die Unternehmen und Organisationen bei der Erstellung des VVT auf folgende Probleme:

  1. Was genau ist eine Verarbeitungstätigkeit?
  2. Wer ist der jeweils Verantwortliche?
  3. Wo im Unternehmen finden Verarbeitungstätigkeiten statt?
  4. Mit welchem Detaillierungsgrad sind die Verarbeitungstätigkeiten zu dokumentieren?
  5. Wie sind die einzelnen Tätigkeiten gegeneinander abzugrenzen?
  6. Ab wann ist eine Datenschutzfolgeabschätzung durchzuführen?

Die viception GmbH & Co. KG  unterstützt Unternehmen und Organisationen bei der Umsetzung der DSGVO. Externer Datenschutzbeauftragter in Langenau, Ulm, Neu-Ulm, Heidenheim, Aalen, Memmingen, Günzburg und darüber hinaus.

 

Dr. Walter Gillner
Datenschutzbeauftragter (DEKRA)

Viception GmbH & Co. KG
Bahnhofstraße 8/1
89129 Langenau
info@viception.com
Tel. 07345| 8028550

Aufklären, sensibilisieren, helfen

Unter diesem Motto prüft die Landesdatenschutzbeauftragte des Landes Niedersachsen, „wie gut sich die niedersächsischen Unternehmen bisher auf die seit dem 25. Mai geltende Datenschutzgrundverordnung (DS-GVO) eingestellt haben“.  Die Prüfung betrifft 20 große und 30 mittelgroße Unternehmen in Niedersachsen und soll auch Aufschluss darüber geben, wie die zukünftige Arbeit der Datenschutzbehörde gestaltet werden kann. Dieses teilte die Datenschutzbehörde in ihrer Pressemitteilung vom 29.06.2018 mit.

Der Fragenkatalog der Querschnittsprüfung betrifft folgende Punkte:

  • Vorbereitung auf die DS-GVO
  • Verzeichnis von Verarbeitungstätigkeiten
  • Zulässigkeit der Verarbeitung
  • Betroffenenrechte
  • Technischer Datenschutz
  • Datenschutz-Folgenabschätzung
  • Auftragsverarbeitung
  • Datenschutzbeauftragter
  • Meldepflichten
  • Dokumentation