Behördlicher Datenschutz

Datenschutz für Ihre Behörde in Vorpommern-Greifswald

Als Behörden der Kommunal- oder Kreisverwaltung in Vorpommern-Greifswald sind fü Sie vor allem die Bestimmungen des Landesdatenschutzes Mecklenburg-Vorpommern (DSG-MV) maßgeblich. Doch auch die Europäische Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) können für Sie relevant sein, sofern Sie in Form einer Ausgründung (etwa mit einer GmbH) einen wirtschaftlichen Zweckbetrieb verfolgen.

Für Sie als Behörde in Greifswald, Anklam, Pasewalk, auf Usedom oder in der Uckermark nimmt neben den Themen Dokumentation, Prozessgestaltung und Bestellung eines Datenschutzbeauftragten vor allem auch das Thema IT-Sicherheit eine zentrale Stellung ein. Öffentliche Einrichtungen, für die die Verarbeitung einer großen Menge persönlicher Daten von Bürgerinnen und Bürgern zentraler Bestandteil ihres originären Zweckbetriebes ist, müssen in besonderer Weise die Datensicherheit in ihren IT-Systemen gewährleisten. Häufig bietet sich hier auch die Bestellung eines Informationssicherheitsbeauftragten an.

Wir vom Datenschutz Vorpommern stehen Ihnen mit unserer Kompetenz im Datenschutz öffentlicher Einrichtungen im Landkreis jederzeit zur Verfügung.

Kontakt und weitere Infos

Ein fiktives Fallbeispiel aus Torgelow: Warum ein Verfahrensverzeichnis so wichtig ist

Die Stadt Torgelow, bekannt für ihre Lage an der unteren Uecker und ihre eindrucksvollen Sehenswürdigkeiten wie die zahlreichen Bauwerke und historischen Gedenkstätten, ist Heimat eines aufstrebenden metallverarbeitenden Betriebs. Dieses Unternehmen, spezialisiert auf die Verarbeitung und Veredelung von Metallen und den Ankauf und Verkauf von Metallwaren, hat kürzlich ein neues Verfahren zur Oberflächenveredelung entwickelt. Diese Innovation lässt das Unternehmen sehr positiv in die Zukunft blicken.

Doch vor nicht allzu langer Zeit gab es Streitigkeiten zwischen der Geschäftsführung und einem leitenden Mitarbeiter der Verwaltung, der Zugang zu sensiblen Informationen hatte, einschließlich Patentinformationen und der Kundendatenbank. Dieser Mitarbeiter hat das Unternehmen verlassen, und es ereignete sich eine Situation, die das Unternehmen dazu veranlasste, eine Risikoanalyse durchzuführen, um potenzielle Bedrohungen abzuwenden.

In dieser Situation wird das Verzeichnis von Verarbeitungstätigkeiten – früher Verarbeitungsverzeichnis genannt zu einem unerlässlichen Instrument.

Notwendigkeit und Erstellung eines Verzeichnis von Verarbeitungstätigkeiten (VVT)

Im Kontext des Datenschutzes ist das Verzeichnis der Verarbeitungstätigkeiten ein unerlässliches Instrument. Es handelt sich dabei um ein Verzeichnis, in dem alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, dokumentiert sind. Dieses Verzeichnis muss laut Artikel 30 der Datenschutz-Grundverordnung (DSGVO) von jedem Unternehmen erstellt werden, das personenbezogene Daten verarbeitet.

Das Verzeichnis der Verarbeitungstätigkeiten hat mehrere Vorteile. Zunächst ermöglicht es eine umfassende Übersicht über die Datenverarbeitungsprozesse innerhalb des Unternehmens, was zur Identifizierung potenzieller Schwachstellen und Risiken beiträgt. Darüber hinaus ist es auch eine wesentliche Ressource bei Kontrollen durch Datenschutzbehörden und kann dazu beitragen, die Einhaltung der Datenschutzvorschriften zu demonstrieren.

Die Erstellung eines solchen Verzeichnis der Verarbeitungstätigkeiten kann in folgenden Schritten erfolgen:

Identifizieren Sie die verschiedenen Datenverarbeitungsprozesse innerhalb des Unternehmens.
Für jeden Prozess sollten Sie die Datenkategorien, die verarbeitet werden, die Kategorien der betroffenen Personen, den Zweck der Verarbeitung, die rechtliche Grundlage der Verarbeitung, die Löschfristen und die technischen und organisatorischen Maßnahmen zur Datensicherheit dokumentieren.
Das somit erstellte Verzeichnis der Verarbeitungstätigkeiten sollte entsprechend geschützt werden und nur von autorisierten Personen eingesehen werden können.

Angenommenes Szenario: Gefährdung der Informations-sicherheit in Torgelow

In unserem fiktiven Szenario in der malerischen Stadt Torgelow, berühmt für die St. Martini Kirche und die Holländerwindmühle, erlebt das metallverarbeitende Unternehmen „Baltic Metal Crafters“ einen Fortschritt durch die Entwicklung eines neuen Oberflächenveredelungsverfahrens für Metalle. Sie stehen an der Schwelle zu einem neuen Marktsegment, das sie an die Spitze der Metallverarbeitungsindustrie bringen könnte.

Aber das Idyll wird gestört, als eine interne Auseinandersetzung dazu führt, dass ein langjähriger leitender Mitarbeiter das Unternehmen im Streit verlässt. Dieser Mitarbeiter hatte Zugang zu den patentierten Informationen des neuen Oberflächenveredelungsverfahrens und der Kundendatenbank. In falschen Händen könnten diese Informationen das Wachstum und den Erfolg von Baltic Metal Crafters gefährden.

Angesichts dieser Situation erkennen die Stakeholder schnell die Notwendigkeit, ihr Verzeichnis der Verarbeitungstätigkeiten zu überprüfen und sicherzustellen, dass die nötigen Sicherheitsmaßnahmen getroffen werden.

In dem charmanten Städtchen Torgelow, eingebettet zwischen Flussauen und historischen Anziehungspunkten, atmet man Geschichte und Zukunft zugleich. Am Rand dieses idyllischen Ortes liegt der Hauptsitz der „Baltic Metal Crafters“. Dort machen sie sich Sorgen um die Sicherheit ihrer sensiblen Daten und Patente nach dem Ausscheiden eines wichtigen Mitglieds ihres Teams.

Am nächsten Tag, nach dem intensiven Arbeitsessen, trifft sich das Team erneut, diesmal im Büro, um die Situation besser zu bewerten. Ihr erster Schritt: Eine gründliche Durchsicht und Überarbeitung ihres Verzeichnis der Verarbeitungstätigkeiten.

Das Team setzt sich zusammen und arbeitet die Liste der Prozesse durch, bei denen personenbezogene Daten verarbeitet werden. Sie starten am Anfang – mit dem Ankauf von Metallwaren. Hierzu werden die personenbezogenen Daten beschrieben: Adressen, Telefonnummern, E-Mail-Adressen, Kontoverbindungen, Ansprechpartner, Abteilungszugehörigkeit …

Sie realisierten, dass sie bei diesem Prozess Daten von Lieferanten und Händlern verarbeiten und speichern. Sie stellten auch fest, dass der ehemalige Mitarbeiter Zugang zu diesen Daten hatte, da er in der Beschaffung tätig war.

Das Team entscheidet sich dafür, diese Prozesse zu überarbeiten und die Zugriffsberechtigungen erneut zu überprüfen. Sie planen auch, neue Sicherheitsmaßnahmen einzuführen, um zu verhindern, dass solche Informationen in die falschen Hände gelangen.

Als sie weiter das Verzeichnis der Verarbeitungstätigkeiten durchgehen, stoßen sie auf weitere potenzielle Schwachstellen: die Datenbank der Kundenkontaktdaten und die Verwaltung von Patentinformationen. Sie beschließen, die Sicherheitsprotokolle für diese beiden sensiblen Bereiche neu zu definieren. Zugriff auf diese Bereiche wird ab sofort nur noch denjenigen gewährt, die unbedingt Zugang benötigen.

Die folgenden Tage sind von intensiver Arbeit geprägt, bei der das Team Datenschutz und Informationssicherheit als höchste Priorität behandelt. Sie beschließen, zusätzliche Schulungen und Sensibilisierungsmaßnahmen für ihre Mitarbeiter zu organisieren. Hierzu holen sie die sich zusätzliche Unterstützung von den zertifizierten Beratern der Datenschutz Nordost. Im Laufe dieses Prozesses gewinnen sie mehr als nur die Sicherheit ihrer Daten zurück. Sie lernen auch, wie wichtig es ist, solche Vorgänge im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und dabei stets auf dem Laufenden zu bleiben.

Während die Arbeit andauert, gerät der Blick auf die Wahrzeichen von Torgelow, die St. Martini Kirche und die Holländerwindmühle, nicht in Vergessenheit. Diese Symbole von Beständigkeit und Wandel, die den Stadtrand schmücken, erinnern das Team daran, dass in Zeiten von Veränderungen auch immer Chancen liegen. Diese Geschichte in Torgelow, obwohl fiktiv, veranschaulicht die Bedeutung eines gut dokumentierten Verzeichnis der Verarbeitungstätigkeiten. Was uns daran erinnert, dass Wachsamkeit, gute Planung und die Einhaltung von Datenschutzbestimmungen Unternehmen dabei helfen können, ihren Erfolg und ihre Zukunft zu sichern.