Verzeichnis der Verarbeitungstätigkeiten (VVT)

Nutzen des Moduls

Mit dem Modul „Verzeichnis der Verarbeitungstätigkeiten (VVT)“ können Sie alle Verarbeitungstätigkeiten personenbezogener Daten in Ihrem Unternehmen zentral erfassen, dokumentieren und verwalten. Das Modul unterstützt Sie dabei, die Anforderungen der DSGVO, insbesondere Art. 30, einzuhalten und jederzeit transparente Nachweise über Ihre Datenverarbeitungen zu liefern. Das Modul ermöglicht es Ihnen, Datenverarbeitungen systematisch zu verwalten, Verantwortlichkeiten klar zuzuordnen und die Einhaltung datenschutzrechtlicher Vorgaben effizient nachzuweisen.

Vorbereitungen

In den Mandanteneinstellungen unter dem Reiter „Verarbeitung“ gibt es einige Vorbereitungen zu treffen. 

1. Erstellen Sie einen externen Link zur Meldung einer Verarbeitungstätigkeit indem Sie den Key generieren und die Einstellungen anschließend speichern, um den Link zu aktivieren
   → der Link oder QR-Code kann nun intern verteilt werden, sodass Personen auch extern eine Verarbeitungstätigkeit melden können
2. Durch Setzen des Hakens, kann der Reiter „Schutzbedarf“ aktiviert werden
3. Es können eigene Felder erstellt werden, welche den Umfang der Verarbeitungstätigkeiten noch erweitern können
   → ein eigenes Feld kann auch in die Übersicht des Verzeichnis der Verarbeitungstätigkeiten (VVT) übernommen werden („In Listenansicht anzeigen“
4. Über den Reiter „Sonstiges“ können Sie außerdem die Prozent-Status einer VT aktivieren

Erstellung und Bearbeitung eines Datensatzes

Erstellung eines Datensatzes

1. Durch Klicken auf „Neue Verarbeitungstätigkeit anlegen“ 
2. Durch den Massenimport über den Button „CSV importieren“
3. Import einer Vorlage über den Button „Vorlage importieren“ 
   → Wie Sie die Vorlagen erwerben können finden Sie unter „Inhalte erweitern“ hier
   → Welche Vorlagen Sie erwerben können finden Sie hier

Bearbeitung eines Datensatzes

1. Über das Stift-Symbol kann der Datensatz bearbeitet werden
2. Füllen Sie den Datensatz entsprechend aus, oder erweitern Sie ihn bei Bedarf, falls es sich um eine Vorlage handelt
3. Die Reiter „Drittland“ und „Interessenabwägung“ lassen sich durch setzen des Haken bei Punkt A.6.1 und Punkt A.7.1 aktivieren bzg. deaktivieren
4. Legen Sie unter dem Reiter „Löschvorgaben“ die Löschdetails für die entsprechenden Datenkategorien fest
5. In Reiter „Risiko“ kann eine Risikoanalyse durchgeführt werden
   → Wie die Kategorien und Risikodetails angepasst werden können, finden Sie hier

Löschkonzept

Um die Löschung korrekt zu dokumentieren bereiten Sie folgende Punkte vor:

1. A.5.1 Datenkategorien hinterlegen
2. Reiter „IT, TOM, Grundsätze“: T.2.1 Speicherort auswählen (Wie ein Speicherort angelegt wird finden Sie hier)
3. Reiter „Löschvorgaben“: Löschdetails für jede Datenkategorie festlegen

Klicken Sie nun in der Übersicht auf den Button „Löschkonzept“:

1. Führen Sie einen CSV-Export durch
2. Exportieren Sie ein Löschprotokoll als DOCX-Datei

Gruppenverfahren

Um eine Verarbeitungstätigkeit für ein Gruppenverfahren verfügbar zu machen, muss diese vollständig geprüft sein. 

1. Klicken Sie auf das Stift-Symbol und klicken auf den Reiter „Einstellungen“
2. Wählen Sie bei „Als Gruppenverfahren speichern“ Ja aus
3. Nun klicken Sie über Ihre Mandantenauswahl auf den Untermandanten, welchen Sie verknüpfen möchten
4. Dort klicken Sie auf „Verzeichnis der Verarbeitungstätigkeiten (VVT)“ und wählen den Button „Gruppenverfahren verknüpfen“
5. Hier kann die freigegebene Verarbeitungstätigkeit nun markiert und mit dem Verzeichnis verknüpft werden
   → die Verarbeitungstätigkeit kann lediglich eingesehen und exportiert werden, die Bearbeitung erfolgt nachwievor über den Hauptmandanten

Exporte der Verarbeitungstätigkeiten

1. Button „Verfahren exportieren“: hier kann eine CSV-Übersicht aller Verarbeitungstätigkeiten heruntergeladen werden
2. Buttons „Internes Verzeichnis“ und „Behördliches Verzeichnis“: hier können alle Verarbeitungstätigkeiten, die im Verzeichnis gelistet sind (Übersicht Verz. = Ja) als jeweilige Verzeichnis exportiert werden
   → Verarbeitungstätigkeit kann durch markieren und Massenaktion am Ende der Seite im Verzeichnis gelistet und daraus wieder entfernt werden
   → Internes Verzeichnis: alle Informationen aus der Verarbeitungstätigkeit werden mit ausgegeben
   → Behördliches Verzeichnis: nur die für die Behörde relevanten Informationen werden ausgegeben
3. Button „Informationspflichten“: ZIP-Datei mit allen Informationspflichten aus allen Verarbeitungstätigkeiten wird exportiert, damit dies nicht für jede Verarbeitungstätigkeit einzeln erledigt werden muss

Datensatz abschließen

Ein Datensatz muss nach der Berarbeitung zur Prüfung freigegeben werden und durch einen Benutzer mit Prüfrechten geprüft werden. Zum Abschluss kann eine Verarbeitungstätigkeit gelöscht oder archiviert werden. 

Verknüpfung zu anderen Modulen

1. In „Allgemeines“ können unter Punkt A.6.2 Auftragsverarbeiter des Typ AN verknüpft werden
2. In „Allgemeines“ können Sie unter Punkt A.6.5 sehen, welche „Gemeinsam Verantwortliche“ verknüpft sind
3. Unter dem Reiter „IT, TOM, Grundsätze“ können relevante Datensätze aus anderen Modulen verknüpft werden
   → Anwendungen und Speicherorte aus der „Daten- und IT-Inventarisierung“
   → „Technische u. organisatorische Maßnahmen (TOM)“
   → „Datenschutzgrundsätze“
4. Unter dem Reiter „Schwellenwert“ kann durch eine Schwellenwertbestimmung festgestellt werden, ob für die Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss
   → Dafür muss eine DSFA durchgeführt werden, sobald mindestens zwei der Fragen mit „Ja“ beantwortet wurden