DSGVO Compliance: Was am Ende dabei herauskommt, gehört an den Anfang!

Sie haben sich vorgenommen, die DSGVO Compliance in Ihrem Unternehmen umzusetzen? Das ist eine hervorragende Idee. Nur leider ist häufig nicht klar, wo am besten begonnen wird. Sollen erst alle Auftragsverarbeitungsverträge (AVV) gesichtet und katalogisiert werden? Oder die Einwilligungen? Wo und wann benötigen wir eigentlich AVV und Einwilligungen? Fragen über Fragen und schon knallt der Kopf auf die Tischkante und der Frust ist groß.

Am besten starten Sie die DSGVO Compliance mit dem, was am Ende dabei herauskommt (oder herauskommen muss) – dem VVT. Dem was?

Was ist das VVT und weshalb ist das unser Startpunkt?

Das VVT ist praktisch das zentrale Dokument des Datenschutzmanagements. Es ist in Artikel 30 DSGVO geregelt. Es gibt zwei Varianten: Eine für den Verantwortlichen und eine für die Auftragsverarbeiter. Uns soll an dieser Stelle nur dasjenige für den Verantwortlichen interessieren; es ist in Artikel 30 Absatz 1 DSGVO geregelt:

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Und weshalb sollten Sie ausgerechnet damit anfangen? Nun, das VVT werden Sie in jedem Fall für Ihr Unternehmen benötigen. Es gibt zwar bestimmte Ausnahmen, doch auf die möchte ich gar nicht eingehen, denn ich rate dringend dazu, ein solches VVT anzufertigen.

DSGVO Compliance: Das VVT ist unverzichtbar, auch für Unternehmen, die nicht gezwungen sind, eins zu führen.

Gedacht ist das VVT eigentlich für den Fall, dass sich eine Aufsichtsbehörde bei Ihnen meldet und Ihnen ggf. ein Fehlverhalten, vielleicht eine Datenpanne vorwirft. Dann verlangt die Behörde in der Regel dieses VVT und daher sollte jedes verantwortungsbewusstes Unternehmen ein solches jederzeit zur Hand haben. Aber, das meine ich gar nicht.

Ein gut geführtes VVT ist das Herzstück Ihres Datenschutzmanagements und gibt Ihnen jederzeit einen guten Überblick über alle Verarbeitungen, die zugrundeliegenden Zwecke und die insoweit verarbeiteten personenbezogenen Daten. Im Idealfall ergeben sich daraus die Rechtsgrundlagen der Verarbeitung und ein gut geführtes VVT ist die ideale Grundlage für ein erfolgreiches Löschkonzept.

Aber, weshalb sollten Sie nun mit dem VVT beginnen? Etliche Informationen haben Sie vielleicht noch gar nicht?

Nun, am Anfang einer erfolgreichen DSGVO Compliance steht immer die Erfassung des Ist-Zustandes. Das gilt unabhängig davon, ob Sie bei Null anfangen oder die Arbeit eines Kollegen oder einer Kollegin fortsetzen. Selbst wenn es schon Datenschutz-Dokumente wie AVV und Einwilligungen gibt, müssen Sie sich immer zuerst einen Überblick über die Verarbeitungsvorgänge in Ihrem Unternehmen verschaffen. Vorher können Sie gar nicht beurteilen, ob und wo Sie einen AVV oder Einwilligen benötigen.

Sie müssen ganz einfach mit offenen Augen durch Ihr Unternehmen gehen und erfassen, an welchen Stellen, welche personenbezogenen Daten verarbeitet werden. Wie ist z.B. der Auftragseingang gestaltet? Welche Daten werden dort an welchen Stellen erhoben, gespeichert und genutzt? Ihre Erkenntnisse schreiben Sie in eine Tabelle. Das kann eine Tabelle in einer Textverarbeitung oder in einer Tabellenkalkulation sein (oder auf Papier). Wichtig ist nur, dass Sie sie einfach erweitern können, also neue Spalten und Zeilen hinzufügen usw.

Wenn Sie keinen Überblick haben, welche personenbezogenen Daten an welcher Stelle mit welchen Mitteln verarbeitet werden, dann können Sie die einzelnen Schritte hin zur DDSGVO-Compliance auch nicht sinnvoll gehen. Daher ist es unerlässlich, sich von Anfang an einen derartigen Überblick zu verschaffen. Im Idealfall erkennen Sie auf diese Weise schon erste Schwachstellen, auf jeden Fall legen Sie so frühzeitig das VVT an und müssen es später nur noch um die weiteren Parameter aus Artikel 30 DSGVO ergänzen.

Für die meisten steht das VVT als Ergebnis der Datenschutzkonformität am Ende der Erfassung des Ist-Zustands. Das ist aber falsch. Richtigerweise steht es am Anfang der Erfassung. Es ist wie mit der Steuererklärung: Sie können einfach wahllos alle Belege über das Jahr verteilt sammeln und in eine Kiste werfen, dann haben Sie vor dem Abgabetermin das Vergnügen, sich durch das Chaos zu arbeiten und alles in die richtige Ordnung zu bringen. Besser ist es doch, gleich von Anfang an die später erforderliche Form zu wählen und bei Bedarf zu ergänzen.

Wie ein VVT genau aussieht und was alles in welcher Form hineingehört, werden wir uns noch anschauen.

Passender Beitrag: DSGVO: Verarbeitungsverzeichnis (Begriff)

Gerne lade ich Sie zu einem meiner kostenlosen* Webinare ein:

Kostenlose Webinare der datenrecht.ACADEMY

*Das Bereitstellen Ihrer Daten zum Zwecke der Werbung erfolgt als Gegenleistung für die Teilnahme am jeweiligen Webinar. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter abmelden.

Newsletter

Regelmäßige Informationen zum gesamten Datenrecht sowie über neue Kurse und Webinare.

Beliebteste Beiträge

Artikel 6 DSGVO (MVK)

Artikel 6 DSGVO (MVK)

Rechtliche Verpflichtung

Rechtliche Verpflichtung