FlatPress My FlatPress blog FlatPress Admin 2020 2020-10-27T04:11:40+00:00 Admin ~/ Datenschutz - praktisch statt faktisch (1 - VVT) ~/?x=entry:entry200504-160804 2020-05-04T16:08:04+00:00 2020-05-04T16:08:04+00:00

Sehr geehrte Leserin, sehr geehrter Leser,
bald ist es zwei Jahre her, dass die Datenschutz-Grundverordnung rechtliche Bindung entfaltete. Seit dem ist einiges passiert - Behörden wie Unternehmen suchten die verschiedenen Anforderungen umzusetzen und hierfür häufig zunächst einmal zu verstehen und zu deuten.

Ein Klassiker in diesem Zusammenhang ist das VVT - das Verzeichnis der Verarbeitungstätigkeiten, wie es sperrig heißt. Liest man die Vorgaben des Art. 30 DS-GVO scheint zunächst alles (halbwegs) klar: Es geht um die Dokumentation von Verarbeitungstätigkeiten (also Prozessen) durch Verantwortliche und Auftragsverarbeiter. So weit, so gut.

Wozu das Ganze?

Der Zweck des Verzeichnisses bleibt jedoch zunächst verborgen. Da aber die gesetzliche Pflicht zum Führen besteht, wurde seit dem 25.5.2018 fleißig Papier befüllt. Ob inhaltlich alles seine Richtigkeit hatte, oder auf eine gewisse Vollständigkeit geachtet wurde, bleibt an dieser Stelle dahingestellt. Dankend wurden vorausgefüllte Vorlagen genommen, abgelegt und verstauben nun.

Mindmap des Datenschutzes

Am Institut für Datenschutz und Datensicherheit (IfDDS GmbH) entschieden wir uns, das VVT zum zentralen Instrument für die Einhaltung der datenschutzrechtlichen Vorgaben zu machen. Entsprechend wurden zusätzliche (heißt: gesetzlich nicht vorgesehene Angaben) ergänzt. Was im ersten Moment nach Mehrarbeit klingt, zahlt sich schnell aus: Sind Auftragsverarbeiter korrekt eingebunden? Ist meine Übermittlung in ein Drittland rechtlich sauber? Sollte ich mein Berechtigungskonzept noch einmal genauer prüfen?

All dies kann bei einer erstmaligen Inspektion durch den Datenschutzbeauftragten aus einer sinnvollen Dokumentation abgelesen werden. Nun werden Sie sich fragen: Ist dies nicht sehr umständlich? Wir haben so schon kaum Zeit für den Datenschutz und nun sollen wir noch mehr Informationen erfassen?
Der Einwand ist verständlich. Allerdings soll an dieser Stelle auf ein essentielles (und leider häufig vergessenes) Grundprinzip der DS-GVO verwiesen werden:

Der Risiko-Ansatz

Jeden Unternehmen und jeder Behörde sollte zunächst auffallen, bei welchen Verarbeitungen tatsächlich ein Risiko für Betroffene besteht: Ist es die Video-Überwachung? Wie steht es um die Arbeitszeiterfassung? Werden Daten von Privatpersonen in einer eigenen App im großen Stil verarbeitet? Weiß ich wirklich, welche Daten auf meiner Website an wen übermittelt werden?

Das Recht auf informationelle Selbstbestimmung verpflichtet datenverarbeitende Stellen, die rechtliche Zulässigkeit einer jeden Verarbeitung zu gewährleisten. Gleichwohl damit jedwede Verarbeitung gemeint ist, muss der Ansatz lauten:

Risikobehaftete Prozesse zuerst.

Der Praxistipp lautet also: Erfassen Sie die sensiblen Verarbeitungstätigkeiten zu Beginn, vollständig und korrekt.

Der Teufel steckt im Detail

Wer sich bereits mit dem Thema auseinandersetzen durfte oder musste, kennt das Problem: Wo endet eine Verarbeitungstätigkeit, wo beginnt die nächste?

Man stelle sich die Verarbeitung “Vertragsmanagement” vor. Art der Daten, betroffene Personengruppen - all dies mag sinnvoll zusammengefasst werden können. Vertreibt ein Unternehmen jedoch gleichzeitig im B2B als auch im B2C, lohnt sich ein genauerer Blick: Ist das Risiko tausender Privatkundendaten dem von hunderten Geschäftskontakten gleich?

Solange beispielsweise technische und organisatorische Maßnahmen an dem Pol der Verarbeitung mit dem höchsten Risiko ausgerichtet ist, spricht zunächst wenig gegen eine Zusammenfassung. Obacht ist hier aber beispielsweise bei den Rechtsgrundlagen geboten: Die Verarbeitung von Daten von Privatkunden stützt sich häufig auf eine andere Rechtsgrundlage, als die von Geschäftskontakten. Und dies hat Konsequenzen: Das Recht auf Datenübertragbarkeit beispielsweise könnte dem Geschäftskontakt nämlich gar nicht zustehen, während der Privatkunde sehr wohl davon gebrauch machen kann.

Die Abgrenzung der Verarbeitungen bleibt leider alles andere als trivial. Der Praxistipp lautet hier: Nimm zwei! Dröseln Sie bei Unsicherheit die Verarbeitungstätigkeit auf - das spart ‘hintenrum’ Zeit und ist weniger aufwändig als Sie zunächst denken (Sie beschäftigen sich in diesem Augenblick ja ohnehin gerade mit dem Prozess).

TOM

Als letzter Aspekt soll an dieser Stelle das Thema technische du organisatorische Maßnahmen im Lichte des VVT betrachtet werden. Nach Art. 30 Abs. 2 lit. b DS-GVO sollen (wenn möglich) die TOM (bezüglich der Verarbeitung) allgemein beschrieben werden.

Arbeiten Sie hier mit Verweisen: Es gelten die TOM für einen bestimmten Standort. Zusätzlich werden folgende Maßnahmen ergriffen: Alle Visitenkarten werden im Safe verwahrt (kleiner Scherz am Rande).

Fazit

Das VVT ist sicherlich eine der größten Herausforderungen im Datenschutz. Fertig ist man damit womöglich nie und sobald sich Vorgaben oder Umstände der Verarbeitung ändern, ist auch die Verarbeitungstätigkeit zu aktualisieren. Die kostet Zeit und Ressourcen - Priorisieren Sie daher unbedingt. Setzen Sie Ihren gesunden Menschenverstand ein.

Effektivität ist das Gebot der Stunde.

Schön, dass Sie sich die Zeit genommen haben, bleiben Sie gesund und dem Datenschutz verbunden. Wenn Sie Fragen oder Anregungen haben, oder anderer Auffassung sind: Schreiben Sie gerne eine Nachricht.

Konrad Biskupski