Datenschutz Dokumente
Zu den wohl wichtigsten und vielleicht auch bekanntesten Dokumenten, die jedes Unternehmen und auch jeder Selbstständige benötigt, sind das Verarbeitungsverzeichnis (VVT) und die technisch organisatorischen Maßnahmen (TOM).
Eine Übersicht aller notwendigen Dokumente, die nach DSGVO zu führen sind, findest du hier.
Verarbeitungsverzeichnis (VVT)
Ein Verarbeitungsverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein Dokument, das Unternehmen als auch Selbstständige zur Erfüllung der DSGVO-Dokumentationspflichten erstellen müssen. Im VVT sind alle Verarbeitungstätigkeiten personenbezogener Daten, die verarbeitet werden, dokumentiert.
Die Datenschutzgrundverordnung (DSGVO) verpflichtet alle Unternehmen als auch Selbstständige, Freelancer, Einzelunternehmer, ihren Umgang mit personenbezogenen Daten zu dokumentieren und die DSGVO Einhaltung nachzuweisen. Zu diesen sogenannten Dokumentations- und Rechenschaftspflichten gehört unter anderem die Pflicht nach Art. 30 DSGVO, ein „Verzeichnis von Verarbeitungstätigkeiten“ (Verarbeitungsverzeichnis bzw. VVT) zu führen.
Feste Vorgaben für die Form gibt es hierbei nicht. Dennoch gibt die DSGVO klar vor, welche Informationen und Elemente auf keinen Fall fehlen dürfen. Und damit kann die Ausarbeitung komplex werden, wobei ein Datenschutzbeauftragter sehr gut unterstützen kann.
Technisch organisatorische Maßnahmen (TOM)
Eine technisch organisatorische Maßnahme (TOM) ist ein Dokument, das Verantwortliche führen müssen, um nachweisen zu können, wie es um die Sicherheit der Verarbeitung der Daten steht.
Technische und organisatorische Maßnahmen (kurz TOM genannt) sind durch die DSGVO vorgeschriebene Maßnahmen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen. TOM umfassen ein Bündel bestimmter Instrumente, mit denen Unternehmen den Datenschutz gewährleisten müssen. Eine professionelle Datenschutz-Dokumentation ist dabei für den Verantwortlichen verpflichtend. Der Kern dieser Verpflichtung findet sich in Art. 25 Datenschutzgrundverordnung (DSGVO).
All diese Maßnahmen sollen sicherstellen, dass personenbezogene Daten dem neusten Stand der Technik nach ausreichend geschützt sind. TOM sind nach einer Risikoanalyse aufzustellen, damit alle im Unternehmen gespeicherten und verarbeiteten personenbezogenen Daten auch hinsichtlich bestehender Risiken ausreichend geschützt werden.
Konkret bedeutet das an einem Beispiel: Die Daten müssen nach einem technischen Zwischenfall wiederherstellbar sein. Geht also eine Festplatte kaputt und ist nicht reparierbar, muss sichergestellt werden, dass es von allen Daten auf der Festplatte ein Backup gibt. Diese Risikoanalyse ist also unumgehbar.
Wer ist zur Führung eines VVT oder TOM verpflichtet?
Art. 30 DSGVO bestimmt die grundsätzliche Pflicht jedes Verantwortlichen und jedes Auftragsverarbeiters, ein VVT zu erstellen und zu führen.
Im Art. 25 DSGVO ist aufgeführt, dass Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) sicherzustellen haben.
Es gibt zwar auch Ausnahmen, aber die beziehen sich auf die gelegentliche Verarbeitung von personenbezogenen Daten. Und damit ist nicht die monatliche Rechnungsstellung an Kunden gemeint. Das ist bereits ein Grund, ein VVT und ein TOM führen zu müssen.
Was passiert, wenn ich kein VVT oder TOM habe oder es unvollständig ist?
Übersicht der wichtigsten Dokumente
Eine interne Auflistung aller automatisierten Verarbeitungstätigkeiten personenbezogener Daten, die sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter zu führen ist (Art. 30 DSGVO). Das Verzeichnis ist zentraler Bestandteil einer strukturierten Datenschutzdokumentation und besonders für Datenschutz-Kontrollen ein wichtiges Instrument. Es ist auf Verlangen der Aufsichtsbehörde vorzulegen.
Verantwortung der Dokumentenerstellung und Pflege
Angesichts der unterschiedlichen Dokumente muss die Verantwortlichkeit nicht immer nur bei einer Person liegen. Schlussendlich kommt es darauf an, welche Regelung im Unternehmen getroffen wird. Die Erstellung obliegt auch nicht ausschließlich dem Datenschutzbeauftragten – er hat lediglich sicherzustellen, dass alle erforderlichen Dokumente existieren. Dementsprechend ist es möglich, dass er die Erstellung der Datenschutz Dokumentation koordiniert und zugleich Verantwortliche innerhalb der Organisation bestimmt.
In der Praxis ist der externe Datenschutzbeauftragte (DSB) bei der Erstellung von datenschutzrechtlichen Dokumenten zumeist sehr stark mit eingebunden. Die meisten Dokumente erstellt der DSB selbst oder arbeitet eng mit den Mitarbeitern der Fachabteilungen zusammen. Letztere haben dann dafür Sorge zu tragen, dass die Mitglieder ihrer Abteilungen die erforderlichen Dokumente zur Hand haben oder gar unterzeichnen. Zudem wird die Geschäftsführung immer mit eingebunden, um evtl. Auswirkungen des Datenschutzes auf geschäftliche Prozesse frühzeitig zu erkennen.
Ihnen ist das zu viel Arbeit oder Sie haben keine Ahnung davon?
Ich unterstütze Sie gerne bei Erstellung und Pflege der notwendigen Datenschutzdokumente.
Ob Verzeichnis von Verarbeitungstätigkeiten, Datenschutzkonzept oder Vereinbarungen zur Auftragsverarbeitung, einige Dokumente sind einfach unverzichtbar. Diese müssen griffbereit vorliegen, um die datenschutzrechtlichen Vorgaben der DSGVO zu erfüllen.
Es spielt keine Rolle, ob Sie beim Datenschutz ganz am Anfang stehen und eine vollständige Dokumentation erarbeiten möchten oder ob Fachfragen zu konkreten