Wer personenbezogene Daten verarbeitet, muss gemäß Artikel 30 der DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen. Das gilt in der Praxis für jedes Unternehmen. Auf Anfrage ist es der Aufsichtsbehörde zudem vollständig zur Verfügung zu stellen. Daraus ergibt sich automatisch, dass es regelmäßig überprüft und aktualisiert werden muss – Sie wissen ja nie ob bzw. wann die Aufsichtsbehörde anfragt. Erinnern Sie sich, wann Sie das VVT zuletzt angesehen haben?
Was ist das VVT und wann muss es angepasst werden?
Im VVT müssen alle wesentlichen Angaben zur Datenverarbeitung im Unternehmen aufgeführt werden. Dazu gehören neben vielen weiteren Informationen:
- die Kategorien personenbezogener Daten, die verarbeitet werden,
- der Kreis der betroffenen Personen,
- der Zweck der Datenverarbeitung,
- die Empfänger der Daten.
Ein Unternehmen, das heute genauso aufgestellt ist wie vor einigen Jahren, ist wohl eher die Ausnahme. Sobald neue Softwarelösungen eingeführt werden, ein Social-Media-Kanal ins Leben gerufen wird oder externe Dienstleister hinzugezogen werden – um nur einige Beispiele zu nennen – hat das potenziell Auswirkungen auf das VVT. Es muss also ziemlich regelmäßig aktualisiert werden.
Wer die Aufgabe vernachlässigt, geht ein unnötiges Risiko ein
Unternehmen, die kein VVT führen oder ein unvollständiges Verzeichnis bei der Behörde vorlegen, drohen DSGVO-Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Hinzu kommt, dass Aufsichtsbehörden das VVT in der Regel nicht isoliert betrachten, sondern als Spiegel des gesamten Datenschutzmanagements. Ein unvollständiges Verzeichnis von Verarbeitungstätigkeiten kann also als Indiz für weitere Verstöße gesehen werden, was weitere Überprüfungen nach sich ziehen kann.
Das HUBIT Datenschutzaudit mit Fokus auf das VVT
Wir bieten unseren Mandanten gezielte Audits zu einzelnen Themenbereichen an. Dadurch halten wir den Aufwand möglichst gering und stellen gleichzeitig sicher, dass dieser Bereich bis ins Detail durchdacht wird. Im VVT-Audit gehen wir das Verzeichnis systematisch durch und gleichen es mit dem ab, was in Ihrem Unternehmen tatsächlich passiert. Dabei prüfen wir unter anderem:
- Sind alle Verarbeitungstätigkeiten vollständig und korrekt erfasst?
- Stimmen Zwecke, Rechtsgrundlagen und Löschfristen noch?
- Sind neue Tools, Dienstleister oder Prozesse berücksichtigt?
Das Ergebnis ist eine konkrete Übersicht, die Ihnen zeigt, was fehlt und was angepasst werden muss.
Fazit
Ein gut gepflegtes VVT schützt Sie einerseits vor Bußgeldern und ist andererseits die Grundlage dafür, dass Ihr Datenschutz insgesamt funktioniert. Es gibt kein gesetzlich vorgeschriebenes Intervall zur Überprüfung, denn das VVT muss jederzeit aktuell sein. Da wir wissen, dass es in der Regel niemanden im Unternehmen gibt, der alle Veränderungen auf dem Schirm hat, empfehlen wir eine jährliche Überprüfung. Vereinbaren Sie einen Termin für Ihr HUBIT Datenschutzaudit mit Fokus auf das VVT.