Verzeichnis der Verarbeitungstätigkeiten
Die DSGVO verpflichtet Unternehmen ab 250 Mitarbeitern zum Führen eines „Verzeichnisses von Verarbeitungstätigkeiten“ (VVT), das den zuständigen Behörden auf Anfrage vorzulegen ist und natürlich auch für interne Prozesse herangezogen wird.
ToDo:
Auch wenn die Mitarbeiterzahl kleiner dem vorgenannten Wert von 250 ist: Dieses Verzeichnis sollte in jedem Fall erstellt werden. Es dient als perfekte Grundlage, z.B. für das Erstellen von Auftragsverarbeiter-Verträgen (AVV) und ist eine solide Grundlage für die zu praktizierenden Anpassungs- und Sorgfaltspflichten.
Ausgangspunkt sollte eine tabellarische Liste sein:
a) Zweck der Datenverarbeitung (z.B. Zahlungsverkehr)
b) Kontaktinformationen der Ansprechpartner
c) Datum Beginn der Verarbeitungstätigkeit
d) Betroffene Personengruppen (Kunden, Angestellte u.a.)
e) Beteiligte Drittparteien (z.B. Buchhaltungsdienstleister)
f) sofern vorhanden, beteiligte Drittländer, an die Daten übermittelt werden
g) Zeiträume der Datenarchivierung (Löschfristen beachten!)
h) Technische und organisatorische Maßnahmen zum Schutz der Daten (TOM).
Ausschlaggebend ist, dass die Verarbeitungstätigkeit der Realität und den tatsächlichen Abläufen entspricht. Die Landesämter der jeweiligen Bundesländer bieten zu Informationszwecken verschiedene Vorlagen für Unternehmen, Anwälte, Ärzte, Steuerberater etc.
