Datenschutz für Ihre Behörde in Vorpommern-Greifswald
Kontakt und weitere Infos
Ein fiktives Fallbeispiel aus Torgelow: Warum ein Verfahrensverzeichnis so wichtig ist
Notwendigkeit und Erstellung eines Verzeichnis von Verarbeitungstätigkeiten (VVT)
Im Kontext des Datenschutzes ist das Verzeichnis der Verarbeitungstätigkeiten ein unerlässliches Instrument. Es handelt sich dabei um ein Verzeichnis, in dem alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, dokumentiert sind. Dieses Verzeichnis muss laut Artikel 30 der Datenschutz-Grundverordnung (DSGVO) von jedem Unternehmen erstellt werden, das personenbezogene Daten verarbeitet.
Das Verzeichnis der Verarbeitungstätigkeiten hat mehrere Vorteile. Zunächst ermöglicht es eine umfassende Übersicht über die Datenverarbeitungsprozesse innerhalb des Unternehmens, was zur Identifizierung potenzieller Schwachstellen und Risiken beiträgt. Darüber hinaus ist es auch eine wesentliche Ressource bei Kontrollen durch Datenschutzbehörden und kann dazu beitragen, die Einhaltung der Datenschutzvorschriften zu demonstrieren.
Die Erstellung eines solchen Verzeichnis der Verarbeitungstätigkeiten kann in folgenden Schritten erfolgen:
- Identifizieren Sie die verschiedenen Datenverarbeitungsprozesse innerhalb des Unternehmens.
- Für jeden Prozess sollten Sie die Datenkategorien, die verarbeitet werden, die Kategorien der betroffenen Personen, den Zweck der Verarbeitung, die rechtliche Grundlage der Verarbeitung, die Löschfristen und die technischen und organisatorischen Maßnahmen zur Datensicherheit dokumentieren.
- Das somit erstellte Verzeichnis der Verarbeitungstätigkeiten sollte entsprechend geschützt werden und nur von autorisierten Personen eingesehen werden können.
Angenommenes Szenario: Gefährdung der Informations-sicherheit in Torgelow
In unserem fiktiven Szenario in der malerischen Stadt Torgelow, berühmt für die St. Martini Kirche und die Holländerwindmühle, erlebt das metallverarbeitende Unternehmen „Baltic Metal Crafters“ einen Fortschritt durch die Entwicklung eines neuen Oberflächenveredelungsverfahrens für Metalle. Sie stehen an der Schwelle zu einem neuen Marktsegment, das sie an die Spitze der Metallverarbeitungsindustrie bringen könnte.
Aber das Idyll wird gestört, als eine interne Auseinandersetzung dazu führt, dass ein langjähriger leitender Mitarbeiter das Unternehmen im Streit verlässt. Dieser Mitarbeiter hatte Zugang zu den patentierten Informationen des neuen Oberflächenveredelungsverfahrens und der Kundendatenbank. In falschen Händen könnten diese Informationen das Wachstum und den Erfolg von Baltic Metal Crafters gefährden.
Angesichts dieser Situation erkennen die Stakeholder schnell die Notwendigkeit, ihr Verzeichnis der Verarbeitungstätigkeiten zu überprüfen und sicherzustellen, dass die nötigen Sicherheitsmaßnahmen getroffen werden.
In dem charmanten Städtchen Torgelow, eingebettet zwischen Flussauen und historischen Anziehungspunkten, atmet man Geschichte und Zukunft zugleich. Am Rand dieses idyllischen Ortes liegt der Hauptsitz der „Baltic Metal Crafters“. Dort machen sie sich Sorgen um die Sicherheit ihrer sensiblen Daten und Patente nach dem Ausscheiden eines wichtigen Mitglieds ihres Teams.
Am nächsten Tag, nach dem intensiven Arbeitsessen, trifft sich das Team erneut, diesmal im Büro, um die Situation besser zu bewerten. Ihr erster Schritt: Eine gründliche Durchsicht und Überarbeitung ihres Verzeichnis der Verarbeitungstätigkeiten.
Das Team setzt sich zusammen und arbeitet die Liste der Prozesse durch, bei denen personenbezogene Daten verarbeitet werden. Sie starten am Anfang – mit dem Ankauf von Metallwaren. Hierzu werden die personenbezogenen Daten beschrieben: Adressen, Telefonnummern, E-Mail-Adressen, Kontoverbindungen, Ansprechpartner, Abteilungszugehörigkeit …
Sie realisierten, dass sie bei diesem Prozess Daten von Lieferanten und Händlern verarbeiten und speichern. Sie stellten auch fest, dass der ehemalige Mitarbeiter Zugang zu diesen Daten hatte, da er in der Beschaffung tätig war.
Das Team entscheidet sich dafür, diese Prozesse zu überarbeiten und die Zugriffsberechtigungen erneut zu überprüfen. Sie planen auch, neue Sicherheitsmaßnahmen einzuführen, um zu verhindern, dass solche Informationen in die falschen Hände gelangen.
Als sie weiter das Verzeichnis der Verarbeitungstätigkeiten durchgehen, stoßen sie auf weitere potenzielle Schwachstellen: die Datenbank der Kundenkontaktdaten und die Verwaltung von Patentinformationen. Sie beschließen, die Sicherheitsprotokolle für diese beiden sensiblen Bereiche neu zu definieren. Zugriff auf diese Bereiche wird ab sofort nur noch denjenigen gewährt, die unbedingt Zugang benötigen.
Die folgenden Tage sind von intensiver Arbeit geprägt, bei der das Team Datenschutz und Informationssicherheit als höchste Priorität behandelt. Sie beschließen, zusätzliche Schulungen und Sensibilisierungsmaßnahmen für ihre Mitarbeiter zu organisieren. Hierzu holen sie die sich zusätzliche Unterstützung von den zertifizierten Beratern der Datenschutz Nordost. Im Laufe dieses Prozesses gewinnen sie mehr als nur die Sicherheit ihrer Daten zurück. Sie lernen auch, wie wichtig es ist, solche Vorgänge im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und dabei stets auf dem Laufenden zu bleiben.
Während die Arbeit andauert, gerät der Blick auf die Wahrzeichen von Torgelow, die St. Martini Kirche und die Holländerwindmühle, nicht in Vergessenheit. Diese Symbole von Beständigkeit und Wandel, die den Stadtrand schmücken, erinnern das Team daran, dass in Zeiten von Veränderungen auch immer Chancen liegen. Diese Geschichte in Torgelow, obwohl fiktiv, veranschaulicht die Bedeutung eines gut dokumentierten Verzeichnis der Verarbeitungstätigkeiten. Was uns daran erinnert, dass Wachsamkeit, gute Planung und die Einhaltung von Datenschutzbestimmungen Unternehmen dabei helfen können, ihren Erfolg und ihre Zukunft zu sichern.