Das Verzeichnis für Verarbeitungstätigkeiten

Deine Sicherheit im Alltag!

Datenschutz / Data Protection Katrin Bock & Matthias Dörflein GbR Copyright Pixabay

Warum brauche ich ein Verzeichnis für Verarbeitungstätigkeiten (VVT) und was ist das überhaupt?


Ein kurzes Beispiel: 
Du stellst fest, dein E-Mail-Konto ist gehackt worden und nun greift jemand ungewollt auf alle deine E-Mails zu. Nicht auszudenken, was er damit alles anstellen könnte: Identitätsdiebstahl, Einkäufe auf deinen Namen, evtl. Bankzugriff usw.

Was ist passiert?
Du warst in einem Café mit einem öffentlichen WLAN und hast dort deine E-Mails abgerufen. Was du nicht wusstest, das WLAN war ungeschützt, nicht verschlüsselt und Zugriffskontrollen waren auch nicht eingerichtet.

Damit dir oder deinen Kunden das in deinem Unternehmen nicht passiert, ist ein VVT von größter Bedeutung. Du erkennst solche Risiken gezielter. Wenn du erstmal genau siehst, welche sensiblen Daten du in bestimmten Verarbeitungsprozessen offenlegst, kannst du geeignete Maßnahmen ergreifen, um diese zu schützen, z. B. durch Verschlüsselungen oder Zugriffskontrollen.

Andere Situation:
Bei der Nutzung deiner Fitness-App gibst du den Zugriff auf deine Standortdaten, Gesundheitsdaten und Kontaktdaten frei. Du könntest dadurch ungewollt zeigen, wo du dich jederzeit aufhältst. Der Anbieter deiner App gibt diese Daten an Drittanbieter weiter, der diese dann für Werbezwecke oder Analysen nutzt. Willst du das wirklich?

In deinem Unternehmen kann Ähnliches passieren. Mit einem VVT findest du aber schnell solche Schwachstellen, weil du sofort siehst, welche Daten du verarbeitest, woher sie kommen und wohin sie gehen. So kannst du gezielt Sicherheitsmaßnahmen ergreifen, um dein Unternehmen und auch deine Kunden zu schützen. Sie werden es dir danken.

Drittes Beispiel: Ein echter Worst Case:
Ein Mitarbeiter möchte nach Feierabend zuhause eine wichtige Aufgabe fertigstellen, speichert alles, was er dazu braucht, auf einem Stick und macht sich auf den Heimweg. Unterwegs verliert er den Stick. Besonders dramatisch: Es waren hochsensible Daten, Verträge, Kundenlisten, interne Dokumente auf diesem Stick. Und er war nicht verschlüsselt. Jeder, der diesen Stick nun findet, hat Zugriff auf diese hochsensiblen Daten.

Das ist der absolute Super-Gau, wenn man so darüber nachdenkt. Ein VVT zeigt solche Schwachstellen und Gefahren auf und hilft, sie zu vermeiden.

Aber was auch wichtig ist, wenn sowas oder sowas ähnliches passiert (und es kann immer etwas passieren), muss schnell gehandelt werden. Solche Datenschutzvorfälle müssen innerhalb 72 Stunden der Aufsichtsbehörde gemeldet werden. Deshalb muss man schnell Gegenmaßnahmen ergreifen, betroffene Daten und Systeme identifizieren und herausfinden, welche Personen betroffen sein könnten. Denn auch die müssen informiert werden. Mithilfe des VVT findet man diese Informationen sehr schnell und kann auch zügig eine Risikoanalyse machen und entsprechend reagieren. Man ist der Situation nicht mehr hilflos ausgeliefert.

Ein VVT ist also nicht nur vorgeschrieben im Art. 30 DSGVO, sondern kann eine wirkliche Bereicherung für den Datenschutz in deinem Unternehmen sein. Es unterstützt dabei, alle möglichen Datenschutzmaßnahmen zu organisieren und zu optimieren, Risiken zu minimieren und Schwachstellen zu finden.

Und je besser der Datenschutz in deinem Unternehmen organisiert ist, desto mehr Vertrauen haben deine Kunden in dich und deine Arbeit. Das führt langfristig zu einer guten Kundenbindung und neuen Kunden.

Wie muss dieses Verzeichnis nun aussehen, was muss alles drinstehen?

  • • Die verantwortliche Person:
    Das ist immer das Unternehmen selbst, der Geschäftsführer sollte genannt werden und wenn du einen hast, auch der Datenschutzbeauftragte (evtl. Link zum Text).

  • • Der Zweck der Verarbeitung:
    Warum verarbeitest du bei diesem Prozess personenbezogene Daten? Das können rechtliche Verpflichtungen sein oder für die Vertragserfüllung usw.

  • • Auch Empfänger der Daten müssen genannt werden, falls Dritte einbezogen sind, z. B. Dienstleister oder andere Partner usw.

  • • Geplante Löschfristen müssen genannt werden

  • • Technische und organisatorische Maßnahmen (TOM) als Aufstellung verschiedener Sicherheitsmaßnahmen

Gern unterstützen wir dich dabei, das Verzeichnis für Verarbeitungstätigkeiten für dein Unternehmen zu erstellen.

Jetzt Kontakt aufnehmen.