HomeMeinungen – Tipps – NewsVVT und TOM: Dokumentation und Sicherheit nach DSGVO
Verschlüsselte Daten: VVT und TOM

Datenschutz

VVT und TOM: Dokumentation und Sicherheit nach DSGVO

Datenschutz braucht Struktur und Dokumentation

Wer sich unter einer Schnittstelle noch etwas anderes als ein Schneidebrett vorstellen kann, gerät spätestens im stetig wachsenden Abkürzungs-Dschungel in Verzweiflung. Im Bereich des Datenschutzes hat die Abkürzungswut erstaunliche Dimensionen erreicht: DSFA (Datenschutz-Folgeabschätzung) und TDDDG (Telekommunikations-Digitale- Dienste-Datenschutz-Gesetz) seien nur als die einfacheren Beispiele ohne Durchsetzung mit Anglizismen genannt.

Kennen sollte man allerdings im Zusammenhang mit der Verarbeitung personenbezogener Daten das Verzeichnis von Verarbeitungstätigkeiten (VVT) und die technischen und organisatorischen Maßnahmen (TOM). Worum geht es hier?

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein Dokument, das zum Datenschutz in Unternehmen geführt werden muss, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) nachzuweisen. Es beschreibt, wie und zu welchem Zweck personenbezogene Daten verarbeitet werden. Das VVT dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen, gemäß Art. 5 Abs. 2 DSGVO nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden und damit auch die Rechenschaftspflicht zu erfüllen.

Das Verzeichnis betrifft sämtliche ganz oder teilweise automatisierten Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind.

Wer braucht ein VVT?

Rechtsanwalt Sendler:Jeder Verantwortliche und nun auch der Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die einzelnen Verarbeitungsvorgänge anhand dieses Verzeichnisses kontrolliert werden können.“

Zu den in Art. 30 DSGVO (Vorschriften über das Verarbeitungsverzeichnis) genannten Verantwortlichen gehören

  • Behörden,
  • Unternehmen,
  • Freiberufler,
  • Vereine etc.

sowie Auftragsverarbeiter, also diejenigen, die im Auftrag eines Verantwortlichen personenbezogene Daten verarbeiten (z.B. Versender von Mailings).

Anwalt Sendler:Ausnahmen gelten für Unternehmen mit weniger als 250 Beschäftigten, es sei denn, es werden besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet, also z.B. Religionsdaten, Gesundheitsdaten oder biometrische Daten. Daraus folgt, dass praktisch alle Unternehmen, die Lohndaten verarbeiten, ein VVT führen müssen und die Ausnahmeregelung kaum greift.“

Beratung gewünscht?

Welche Inhalte gehören in ein VVT?

Das Verarbeitungsverzeichnis enthält detaillierte Angaben über:

  • den Verantwortlichen, der für die Datenverarbeitung verantwortlich ist
  • Zwecke, zu denen die Daten verarbeitet werden
  • die Personengruppen, die von der Datenverarbeitung betroffen sind
  • die Kategorien, nämlich die Arten von Daten, die verarbeitet werden
  • die Empfänger, an die die Daten weitergegeben werden (z.B. Krankenkasse, Finanzamt usw.) und
  • welche technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten ergriffen werden.

Zu den Zwecken der zu dokumentierenden Verarbeitungstätigkeiten gehören beispielhaft:

  • Personalaktenführung/Stammdaten
  • Lohnabrechnung
  • Zeiterfassung
  • Urlaubsdatei
  • Bewerbungsverfahren
  • Telefonverzeichnis
  • Videoüberwachung
  • Datenlöschung/-vernichtung

Die Rolle der Aufsichtsbehörde: Vorlagepflicht und Format

Das VVT ist der Aufsichtsbehörde auf deren Anforderung vorzulegen. Das Ziel ist es, dass die Aufsichtsbehörde die Verarbeitungsvorgänge anhand dieses Verzeichnisses kontrollieren kann.

Rechtsanwalt Sendler: „Die Erfahrung zeigt, dass die beteiligten Aufsichtsbehörden in Fällen, in denen es zur Beanstandung von Verarbeitungen durch Dritte kommt, nicht nur die Vorlage des betroffenen Verarbeitungsverfahrens verlangen, sondern des kompletten VVT. Dieses sollte also vor diesem Hintergrund stets vollständig und aktuell geführt und zur Hand sein.“

Das Verzeichnis ist schriftlich zu führen, dies kann allerdings auch in einem elektronischen Format geschehen.

Anwalt Sendler: „Die Aufsichtsbehörde kann das Format der Vorlage bestimmen und daher auch bei einem elektronischen Verzeichnis einen Ausdruck verlangen nach den Regeln des Verwaltungsverfahrensgesetzes (§ 3a VwVfG).“

Was sind technische und organisatorische Maßnahmen (TOM)?

Bei den technischen und organisatorischen Maßnahmen (TOM) handelt es sich um diejenigen Maßnahmen, die im Datenschutz ergriffen werden müssen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Rechtsanwalt Sendler: „Die TOM sind in jedem VVT anzugeben und wesentlicher Bestandteil des VVT. Die Dokumentation der TOM ist Pflicht und dient als Nachweis für die Einhaltung der Datenschutzbestimmungen.“

Technische Maßnahmen im Überblick

Zu den technischen Maßnahmen gehören z.B.:

  • die Verschlüsselung von Daten,
  • die Verwendung von Firewalls,
  • die Zwei-Faktor-Authentifizierung usw..

Anwalt Sendler: „Hierzu zählen aber auch so schlichte Dinge wie ordnungsgemäßer Verschluss der Betriebsräume, des Server-Raums oder schriftlicher Dokumente, also sowohl Zutritts- als auch Zugriffskontrolle. Wichtig sind auch sämtliche Maßnahmen zur Gewährleistung der Verfügbarkeit oder der Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugangs zu ihnen auch nach einem physischen oder technischen Zwischenfall, die Rede ist also von einem sorgfältigen Umgang mit Backups und deren Sicherung. Hacker versuchen häufig, auch das Backup-System zu besetzen, um das Drohpotenzial zu steigern.“

Organisatorische Maßnahmen im Überblick

Zu den organisatorischen Maßnahmen zählen beispielsweise:

  • die Schulung der Mitarbeitenden im Datenschutz,
  • die Erstellung von Datenschutzrichtlinien oder
  • Regelungen zur Datenlöschung.

Fazit: VVT und TOM sind Pflicht und brauchen Expertise

Für die Erstellung datenschutzkonformer technischer und organisatorischer Maßnahmen (TOM) empfiehlt sich die Hinzuziehung fachkundiger IT-Beratung.

Rechtsanwalt Sendler: „Auf die Fertigung eines DSGVO-konformen Verarbeitungsverzeichnisses (VVT) ist größte Sorgfalt zu verwenden und die Hinzuziehung datenschutzrechtlich fachkundiger Beratung ist dringend zu empfehlen angesichts der Bedeutung, die die Aufsichtsbehörden dem VVT beimessen. Nicht vergessen werden darf hierbei die auch Erstellung eines Löschkonzeptes und dessen Benennung im VVT.“

Ich bin zertifizierter externer Datenschutzbeauftragter sowie Datenschutzauditor. Als erfahrener Berater unterstützte ich Unternehmen und Organisationen dabei, ein belastbares und dokumentationssicheres Datenschutzmanagement aufzubauen, inklusive VVT, TOM und Löschkonzept.

Wenn Sie Unterstützung bei der Erstellung oder Prüfung Ihres Verarbeitungsverzeichnisses oder Ihrer TOM benötigen, nehmen Sie Kontakt zu mir auf.

Beratung anfragen

Fragen zu VVT und TOM nach DSGVO

Das VVT ist eine nach Art. 30 DSGVO vorgeschriebene Dokumentation aller Verarbeitungsvorgänge personenbezogener Daten. Es zeigt, welche Daten zu welchen Zwecken wie verarbeitet werden, wer betroffen ist und welche Schutzmaßnahmen ergriffen werden.

Grundsätzlich alle Verantwortlichen und Auftragsverarbeiter, also Behörden, Unternehmen, Vereine, Freiberufler und Dienstleister. Ausnahmen gelten nur für Unternehmen mit weniger als 250 Beschäftigten, sofern keine besonderen Kategorien personenbezogener Daten verarbeitet werden.

Ein vollständiges VVT enthält u. a.:

  • Angaben zum Verantwortlichen und ggf. Auftragsverarbeiter
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und Datenarten
  • Empfänger von Daten
  • Angaben zu technischen und organisatorischen Maßnahmen (TOM)
  • Löschkonzepte und Aufbewahrungsfristen

Es muss der Aufsichtsbehörde auf deren Verlangen hin vorgelegt werden, was in der Regel nur im Zusammenhang mit angezeigten Datenschutzverletzungen der Fall ist. Es sollte daher stets aktuell und vollständig vorhanden sein.

Das VVT kann schriftlich oder elektronisch erstellt werden. Die Behörde kann jedoch nach Verwaltungsrecht auch einen Ausdruck verlangen, selbst wenn ein elektronisches Verzeichnis vorliegt.

TOM sind Schutzmaßnahmen, die gewährleisten sollen, dass personenbezogene Daten sicher verarbeitet werden. Sie sind verpflichtender Bestandteil jedes VVT und dienen als Nachweis der Datensicherheit.

Typische Beispiele sind:

  • Verschlüsselung von Daten
  • Firewalls und Zwei-Faktor-Authentifizierung
  • Zugangskontrollen für Serverräume oder Büros
  • Backup-Strategien und Wiederherstellungsverfahren

Beispiele für organisatorische TOM sind:

  • Mitarbeiterschulungen zum Datenschutz
  • Datenschutzrichtlinien im Unternehmen
  • klare Löschkonzepte und interne Prozesse zur Datenvernichtung

Sie bilden das Rückgrat einer datenschutzkonformen Organisation und bilden das sogenannte „Datenschutzmanagement-Sytem“ (DSM). Ohne VVT und TOM können Unternehmen ihre Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht erfüllen und riskieren Beanstandungen oder Bußgelder durch die Aufsichtsbehörden.

Fachliche Unterstützung ist dringend zu empfehlen. Fehler oder Lücken in der Dokumentation können gravierende Folgen haben. Fachanwälte für Datenschutz oder zertifizierte Datenschutzbeauftragte helfen beim Aufbau eines belastbaren Datenschutzmanagements.

Ralph Sendler, Rechtsanwalt, Fachanwalt für Arbeitsrecht, Datenschutzbeauftragter Hamburg

Ralph Sendler

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Zertifizierter Datenschutzbeauftragter
Zertifizierter Datenschutzauditor

T +49 (40) 226 390 10
F +49 (40) 226 390 190
mail@anwalt-sendler.de

vcard | LinkedIn

Kontakt

T +49 (40) 226 390 10
F +49 (40) 226 390 190
mail@anwalt-sendler.de

Adresse

Ralph Sendler Rechtsanwalt
Drehbahn 7
20354 Hamburg

Navigation