Seiten

Donnerstag, 18. Juli 2019

Das Verzeichnis von Verarbeitungstätigkeiten (VvV)

„Verzeichnis“ – das hört sich nach Bürokratie und Arbeit an. Und was bitte bedeutet der seltsame Begriff „Verarbeitungstätigkeiten“? In jedem Fall sollten Sie wissen: Unternehmen droht Ärger, wenn sie kein solches Verzeichnis von Verarbeitungstätigkeiten (VvV) haben. Also helfen Sie mit, es zu erstellen, wenn man Sie darum bittet.


Neue Regeln seit 25. Mai 2018


Unternehmen müssen seit 25. Mai 2018 die Europäische Datenschutz-Grundverordnung (EU-DSGVO) beachten. Sie ist ein EU-Gesetz. Das hat sich herumgesprochen. Weniger bekannt ist den meisten, dass die EU-DSGVO neue Formalien mit sich bringt. Kernstück ist dabei das „Verzeichnis von Verarbeitungstätigkeiten“ - kurz VvV.

Ohne Stress zum Verzeichnis von Verarbeitungstätigkeiten - mit Unterstützung durch yourIT
Ohne Stress zum Verzeichnis von Verarbeitungstätigkeiten (VvV) - mit Unterstützung durch yourIT



Das Ziel: Überblick


Dieses Verzeichnis von Verarbeitungstätigkeiten (VvV) muss in jedem Unternehmen vorhanden sein. Es soll einen Überblick schaffen, mit welchen personenbezogenen Daten das Unternehmen umgeht und was es mit den Daten tut. Dabei wird es oft um Daten von Kunden gehen. Aber auch Daten von Arbeitnehmern sind erfasst. Ebenso Daten von Lieferanten, wenn dabei Namen von Personen auftauchen.

Muss Ihr Unternehmen ein VvV führen?


Ob Ihr Unternehmen verpflichtet ist, ein Verzeichnis von Verarbeitungstätigkeiten (VvV) zu führen, lesen Sie in unserem Blogbeitrag "Ist Ihr Unternehmen verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten nach EU-DSGVO zu führen?"

Pflicht zur Vorlage des Verzeichnisses


Die Datenschutzaufsicht kann jederzeit verlangen, dass ihr ein Unternehmen das Verzeichnis vorlegt. Ansonsten droht ein Bußgeld. Und wenn ein Betroffener Auskunft über seine Daten verlangt, hilft das Verzeichnis dabei, diese Daten zu finden. Es ist also sinnvoll, dieses Verzeichnis sorgfältig zu erstellen. Ab und zu muss es auch aktualisiert werden.

Formular mit oft banalen Antworten


Nehmen Sie es deshalb ernst, wenn Sie mithelfen sollen, für eine gute Qualität des Verzeichnisses zu sorgen! Normalerweise bedeutet das, dass Sie ein Formular ausfüllen müssen, sei es elektronisch oder auf Papier. Dort wird zum Beispiel gefragt,
  • welche personenbezogenen Daten Sie am Arbeitsplatz verarbeiten,
  • zu welchem Zweck Sie das tun und
  • wie lange die Daten aufbewahrt werden. 

Die Antworten darauf wirken manchmal recht banal. Beispielsweise ist jedem klar, dass eine Versandabteilung Kundendaten verwendet, um Bestellungen zu bearbeiten. Aber das muss eben festgehalten werden. Im Übrigen zeigt das Beispiel, dass das Formular oft schnell ausgefüllt ist. Der Aufwand hält sich also meistens in Grenzen.

Zögern Sie nicht lange!


Lassen Sie entsprechende Anfragen nicht lange liegen! Denn alle Meldungen aus dem Unternehmen zu einem Verzeichnis zusammenzuführen – das braucht durchaus etwas Zeit. Und bis 25. Mai 2018 muss das Verzeichnis fix und fertig vorliegen. Sonst kann es für das Unternehmen Ärger geben.

„Verarbeitungen auf Papier“


Eines wundert viele: In das Verzeichnis müssen auch „Verarbeitungen“ aufgenommen werden, bei denen keine EDV zum Einsatz kommt. Klar: Diese Fälle werden seltener. Aber da und dort gibt es immer noch Hängeregistraturen, die alphabetisch nach den Namen geordnet sind, um nur ein typisches Beispiel zu nennen. Auch das ist dann eine „Verarbeitung“, die in das Verzeichnis muss. Dasselbe würde natürlich für Karteikarten gelten, die nach Namen geordnet sind.

Überflüssige Datenträger entsorgen!


Eine solche Kartei steht zwar noch herum, wird aber gar nicht mehr benutzt? Das hilft nichts, sie muss trotzdem in das Verzeichnis. Vielleicht ein guter Anlass, die Kartei endlich einmal zu entsorgen. Doch fragen Sie bitte vorher genau nach, ob sie wirklich weg kann oder aus irgendwelchen Gründen doch noch aufgehoben werden muss. Das kann durchaus vorkommen, etwa weil die Steuergesetze das vorschreiben.

Kein Einsichtsrecht für Betroffene


Dürfen eigentlich Betroffene Einsicht in das Verzeichnis nehmen? Dürfte also beispielsweise ein Kunde verlangen, dass er hineinschauen darf? Nein. So etwas gab es früher einmal. Jetzt ist das nicht mehr vorgesehen. Das Verzeichnis ist eine rein interne Angelegenheit.

Aufbewahrung des VvV


Wo das Verzeichnis von Verarbeitungstätigkeiten geführt wird, kann das Unternehmen selbst festlegen. Oft liegt es beim Datenschutzbeauftragten. Eine Aufbewahrung durch eine andere Stelle ist aber auch möglich. Für den Datenschutzbeauftragten ist das Verzeichnis wichtig, weil er einen Überblick haben muss, wo personenbezogene Daten liegen.

Zulässige Sprachen: Deutsch und Englisch


Normalerweise ist das Verzeichnis in deutscher Sprache zu führen. Die Aufsichtsbehörden für den Datenschutz akzeptieren es aber auch, wenn Englisch verwendet wird. Hier hat das Unternehmen also die Wahl.

Manche Unternehmen legen dabei einen Katalog der englischen Begriffe fest, die verwendet werden dürfen. Das hat dann gute Gründe. Denn wenn eine Aufsichtsbehörde den Inhalt des Verzeichnisses sprachlich nicht versteht, kann sie eine Übersetzung fordern. Sprachliche Originalität ist deshalb hier fehl am Platz.

Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!


Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name


E-Mail (Pflichtangabe)


Nachricht (Pflichtangabe)



Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.




Verantwortlich für diesen Beitrag: yourIT GmbH, Balingen, Zollernalbkreis