Ihr Weg zum regelkonformen Verzeichnis der Verarbeitungstätigkeiten (VVT)

Rechtlicher Hintergrund

Ein Verzeichnis der Verarbeitungstätigkeiten (VVT) ist eine gesetzliche Pflicht nach Artikel 30 DS-GVO. Es dient dazu, alle personenbezogenen Datenverarbeitungen transparent und nachvollziehbar zu dokumentieren. Das VVT ist ein zentrales Nachweisdokument im Rahmen der Rechenschaftspflicht nach Artikel 5 DSGVO und bildet die Grundlage für Prüfungen durch Aufsichtsbehörden sowie für weitere Datenschutzprozesse wie Risikobewertungen oder Datenschutz-Folgenabschätzungen.

Problemlösung mit dem audatis MANAGER

Datenverarbeitungen sind oft über verschiedene Bereiche verteilt und ändern sich laufend. Der audatis MANAGER bietet eine einheitliche Umgebung, um Verarbeitungstätigkeiten vollständig zu erfassen, fortzuschreiben und aktuell zu halten, sodass jederzeit ein belastbarer Überblick vorhanden ist. Wir erklären Ihnen, welche Schritte in welchen Modulen wie durchzuführen sind, damit Sie Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT) korrekt dokumentiert halten.

Anleitung für die Durchführung

Um eine Verarbeitungstätigkeit korrekt zu dokumentieren, müssen in einigen Modulen Datensätze erstellt werden, welche dann mit der Verarbeitungstätigkeit verknüpft werden können.

1. Als erster Schritt ist es wichtig zu überprüfen, ob für jedes der relevanten Module die korrekten Vorlagentextbausteine angelegt sind. Dazu besuchen Sie das Modul Textbausteine, um diese korrekt anzulegen für die Module Auftragsverarbeitung (AV), Daten- und IT-Inventarisierung, Maßnahmenbeschreibung (TOM), Schutzbedarfe und Verarbeitungen (VVT).
2. Als nächsten Schritt müssen die von Ihnen eingesetzten IT-Systeme und Anwendungen eingepflegt werden. Dazu besuchen Sie Daten- und IT-Inventarisierung, um die Daten entsprechend anzulegen und zu verknüpfen. Wichtig ist, dass Sie hier ebenfalls Ihre Speicherorte (s. Abschnitt Speicherorte im Artikel Daten- und IT-Inventarisierung) definieren, da diese für das spätere Löschkonzept einer Verarbeitungstätigkeit relevant werden.
3. Legen Sie die beteiligten Auftragsverarbeiter an.
4. Füllen Sie einen Katalog mit ihren Technischen und organisatorischen Maßnahmen (TOM) aus.
5. Um die Dokumentation von Verarbeitungstätigkeiten arbeitserleichternder zu gestalten, haben wir Vorlagenpakete erstellt mit Vorlagen für Verarbeitungstätigkeiten, welche bereits komplett ausgefüllt und einsatzbereit für Sie vorbereitet worden sind. Sie müssen hier noch individuelle Änderungen durchführen und die korrekten Datensätze aus anderen Modulen verknüpfen. Wenn Sie diese erwerben möchten, besuchen Sie den Abschnitt „Inhalte erweitern“ in den Rechnungs- und Lizenzdaten.
6. Nachdem Sie die Vorbereitungen getroffen haben, können Sie nun die Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten (VVT) entsprechend anlegen und alle erstellten Datensätze verknüpfen. Beim Erstellen einer Verarbeitungstätigkeit muss immer ein Fachverantwortlicher und eine Organisationseinheit hinterlegt werden. Diese Personen sind dann in der fortlaufenden Dokumentation und Bearbeitung der Verarbeitungstätigkeit verantwortlich.
7. Der vorletzte Schritt wird für Sie nur dann relevant, wenn Ihre Verarbeitungstätigkeit mit einem voraussichtlich hohen Risiko bewertet wird. In diesem Fall muss als erstes eine Schwellenwertanalyse durchgeführt werden. Nachdem Sie Punkt 8 durchgeführt haben, kann eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.
8. Sobald Sie alle Daten korrekt gepflegt haben, muss die Verarbeitungstätigkeit abschließend geprüft werden.