Tipps zur Umsetzung
Falls in Ihrem Unternehmen noch kein Verzeichnis von Verarbeitungstätigkeiten (VVT) vorliegt, empfiehlt es sich zunächst, eine Bestandsaufnahme aller Anwendungen und Programme durchzuführen, die personenbezogene Daten verarbeiten. Anschließend sollten alle relevanten Informationen gesammelt und das Verzeichnis erstellt werden. Es kann hilfreich sein, Vorlagen von Aufsichtsbehörden zu nutzen, die kostenfreie Muster für verschiedene Branchen wie Vereine, Arztpraxen und Handwerksbetriebe bereitstellen.
Es besteht auch die Möglichkeit, Datenschutzmanagementsoftware einzusetzen, um die Verarbeitungstätigkeiten strukturiert und gemäß den gesetzlichen Anforderungen einzugeben. Diese Software bietet eine digitale Struktur, die das Verwalten, Gruppieren und Filtern des VVT erleichtert und benutzerfreundlicher ist als herkömmliche Formate wie PDF oder Excel.
Die Komplexität des VVT richtet sich nach dem Digitalisierungsgrad und der Vielfalt der eingesetzten Tools im Unternehmen. Das Ziel ist es, die Überprüfung durch Aufsichtsbehörden so einfach wie möglich zu gestalten.
Bußgelder bei unzureichendem oder fehlendem VVT
Sollte auf Anfrage der Aufsichtsbehörde kein VVT vorliegen, können Bußgelder gem. Art. 83 Abs. 4 lit. a DSGVO verhängt werden. Die gesetzliche Höchststrafe beläuft sich auf bis zu 20 Millionen Euro oder bei Unternehmen auf bis zu 4% des weltweiten Jahresumsatzes. Es gilt der höhere Betrag.
Wie oft muss es aktualisiert und überprüft werden?
Es ist wichtig, dass das VVT stets auf dem aktuellen Stand gehalten und regelmäßig gepflegt wird. Dies bedeutet, dass bei jeder neuen Verarbeitungstätigkeit mit personenbezogenen Daten das VVT entsprechend aktualisiert werden muss. Die Häufigkeit der Aktualisierung und Überprüfung sollte den individuellen Gegebenheiten des Unternehmens oder der Organisation angepasst werden.