Unter dem Titel “Frühjahrsputz im Verarbeitungsverzeichnis” hat der Der Bayerische Landesbeauftragte für den Datenschutz (kurz BayLfD) eine “Aktuelle Kurzinformation” mit der Nummer 47 in der Reihe seiner Kurzinformationen veröffentlicht. Auch wenn man mit den inhaltlichen Anforderungen an ein VVT seitens des BayLfD nicht unbedingt einverstanden sein muss (siehe auch unseren Beitrag unter https://bdsg-externer-datenschutzbeauftragter.de/datenschutz/verzeichnis-von-verarbeitungstaetigkeiten-vvt-sinnvoll-und-praktisch-erstellen-und-einsetzen/, was man in diesem Punkt besser machen kann), so ist die Idee dennoch mehr als gut, Prozesse zur Pflege und die Aktualität des Verzeichnisses von Verarbeitungstätigkeiten einer Frühjahrskur zu unterziehen.
Die Abschnitte der Kurzinformation gliedern sich wie folgt:
- Organisation: Prüfen und bei Bedarf Festzurren von Verantwortlichkeiten und Prozessen zum Erstellen des VVT, Pflegen bzw. aktuell halten des VVT, Melden von Änderungen an bestehenden Verarbeitungen aber auch von nicht mehr vorhandenen Verarbeitungen: Hierbei sollte jedoch nicht nur auf die schriftliche Regelung hierzu geachtet werden. Diese muss zwar auch aktuell sein, womit der BayLfD vollkommen richtig liegt. Aber noch viel wichtiger ist, dass diese Regelungen dann auch nicht nur auf dem Papier existieren, sondern mit Leben erfüllt werden. Frage daher also: “Werden die dokumentierten Prozesse auch tatsächlich angestoßen und durchlaufen?”
- Die Verzeichniseinträge an sich prüfen: Sind diese aktuell? Sind alle neuen Verarbeitungen enthalten? Wurden bisherige Veränderungen gemeldet und eingepflegt? Wurden beendete Verarbeitungen gemeldet und entfernt? Im Zweifel ist seit der erstmaligen Erstellung im Rahmen der DSGVO etwas Zeit vergangen und die Einträge sind etwas angestaubt. Prüfen ist besser als darauf vertrauen, dass Veränderungen schon irgendwie an den DSB gemeldet wurden.
- Synergien heben: Schade, dass der BayLfD hier die Synergien z.B. zur Informationssicherheit nicht damit gemeint bzw. diese nicht inkludiert hat. Aber auch so ist der Punkt sehr wichtig, denn zahlreiche weitere Aufgaben im Datenschutz für die verantwortliche Stellen sind nur mit einem aktuellen VVT zu bewältigen. Das beginnt mit der richtigen und vollständigen Bearbeitung von Betroffenenrechten, geht über eine Liste aktueller Auftragsverarbeiter weiter und hört mit den Angaben zu den Informationspflichten aus Art. 13, 14 DSGVO noch lange nicht auf.
Ironischerweise gibt es noch einen vierten Abschnitt “Folgen fehlender Aktualität”. Bekanntermaßen sind öffentliche Stellen im Rahmen der Landesdatenschutzgesetze von spürbaren, sprich schmerzhaften Konsequenzen bei Mißachtung der Datenschutzrechtsvorschriften ausgenommen. Aber vielleicht hilft ja auch der Hinweis auf den erhobenen Zeigefinger aus München “Du, Du, Du! Du sollst Dich doch an die DSGVO und das BayDSG halten” 🙂
Aber ganz ungeachtet dessen, ob es sich bei der eigenen Organisation um eine öffentliche oder nicht-öffentliche Stelle handelt: Wie aktuell ist ihr VVT?
No responses yet