02

Überblicken

Verschaffen Sie sich einen Überblick und erstellen Sie das Verarbeitungsverzeichnis.

Verschaffen Sie sich einen Überblick und erstellen Sie das Verarbeitungsverzeichnis.

03 Erlaubnis
01 Organisieren

Worum geht‘s?

In diesem grundlegenden Schritt verschaffen Sie sich einen Überblick über Ihre IT-Struktur. Im Anschluss erstellen Sie das nötige Verarbeitungsverzeichnis. Damit erledigen Sie eine gesetzliche Pflichtaufgabe.

Ein Überblick der IT-Struktur im Unternehmen ist grundlegender Bestandteil der Datenschutzorganisation und auch im Ernstfall eines Cyberangriffs jede Mühe wert. Ohne die Kenntnis, wo und wie die Daten durch Ihr Unternehmen fließen, können Sie die erforderlichen Maßnahmen in Sachen Datenschutz und ‑sicherheit nicht identifizieren. Zum Beispiel sind Sie gesetzlich dazu verpflichtet, Informationen und Auskünfte über Ihre Datenverarbeitungsvorgänge zu erteilen.

Anschließend können Sie anhand der Übersicht nachvollziehen, wie die Daten durch die IT-Struktur fließen. So lassen sich die damit einhergehenden Datenverarbeitungsvorgänge (sog. Verarbeitungstätigkeiten) identifizieren, um diese dann in einem Verarbeitungsverzeichnis zu erfassen. Auch die herkömmlichen „analogen“ Datenverarbeitungen sind zu berücksichtigen.

Betreffende Artikel der DSGVO und Erwägungsgründe
  • Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten
  • Erwägungsgrund 13 – Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen
  • Erwägungsgrund 82 – Verzeichnis der Verarbeitungstätigkeiten
Basiswissen
Organisation und Umfeld
Basiswissen
Verarbeitungsverzeichnis

Was ist zu tun?

Auf die Schnelle

  1. Erfassen Sie Ihre IT und stellen deren Struktur samt Datenströmen dar (Was – Wo – Wie).
  2. Erstellen Sie das gesetzlich vorgeschriebene Verarbeitungsverzeichnis und halten dieses aktuell.

1. Setzen Sie Ihre IT-Struktur ins Bild

Die IT-Struktur in Ihrem Unternehmen ist Ihnen bestens vertraut? Fein, dann können Sie gleich loslegen und eine grafische Übersicht zu den eingesetzten Geräten, Schnittstellen und Datenflüssen erstellen. Alternativ können Sie die Angaben in Tabellenform (Was – Wo – Wie) erfassen. Falls doch noch Fragen offen sind, holen Sie zunächst Informationen bei Ihrem IT-Verantwortlichen oder externen Dienstleister ein.

Der Vorteil einer grafischen Übersicht wird offenbar, wenn diese vor Ihnen liegt. So können Sie auf einen Blick die Datenflüsse sehen und Einfallstore für Angriffe identifizieren.

Welche Arbeitshilfen bieten sich an?

  • Ganz klassisch sind ein Blatt Papier und mehrfarbige Stifte. Das Ergebnis können Sie fotografieren oder besser noch einscannen, um es digital weiterzuverwenden.
  • Modern ist der Einsatz von Software. Statt Papier und Stift können Sie dabei auch ein Tablet einsetzen und haben so das Ergebnis gleich in digitaler Form am Bildschirm parat.

Benennen Sie Ihre IT-Ausstattung

Machen Sie sich nun Notizen zu den eingesetzten Systemen, den verarbeiteten Daten, den Datenflüssen und den Standorten und Zugriffsmöglichkeiten durch die betreffenden Personengruppen und ordnen diese entsprechend zu.

Listen Sie Ihre Speicherorte auf

Eine Liste der Speicherorte Ihrer Daten hilft Ihnen auf vielfältige Weise. Sie bleiben Herr der Daten und wissen im Fall einer Betroffenenanfrage, wo die betreffenden Daten zu finden sind. Der jährliche Frühjahrsputz macht Ihnen auch keine Sorgen, da Sie stets wissen, wo sich die zu löschenden Daten befinden.

2. Packen Sie das Verarbeitungsverzeichnis an

Identifizieren Sie die Verarbeitungstätigkeiten

Nachdem Sie eine Übersicht zur IT-Struktur und den Datenflüssen erstellt haben, verfolgen Sie nun den Fluss der Daten durch Ihre IT-Struktur. So identifizieren Sie die einzelnen Datenverarbeitungsvorgänge (sog. Verarbeitungstätigkeiten), um sie in einem Verarbeitungsverzeichnis zu erfassen.

Erstellen Sie das Verzeichnis der Verarbeitungstätigkeiten

Sie müssen ein Verarbeitungsverzeichnis nicht gänzlich neu erfinden, sondern können auf Vorlagen, Muster und Software zurückgreifen.

  • Muster finden sich vielfältig im Internet, insbesondere die Aufsichtsbehörden haben Muster veröffentlicht.
  • Es gibt mittlerweile auch mehrere Anbieter von Software, mit deren Hilfe Sie ein Verarbeitungsverzeichnis erstellen können.
  • Auch Internetangebote, mittels derer Sie online ein Verarbeitungsverzeichnis erstellen können, sind einen Blick wert.
  • Des Weiteren kommen auch Excel-Tabellen als geeignete Vorlage zum Einsatz.

Nutzen Sie unsere Vorlage

Wir bieten Ihnen in unseren Arbeitshilfen eine klassische Vorlage in Form einer Excel-Tabelle an. Darin sind bereits eine Vielzahl von Verarbeitungstätigkeiten zum Auswählen und Übernehmen hinterlegt. Der Vorteil besteht darin, dass Sie sich nicht in eine neue Software einarbeiten müssen, nicht abhängig von einem Anbieter sind und Ihre Daten somit im Griff haben. Eine Anleitung zum Ausfüllen und weitere Hinweise sind integriert.

Inhalt des Verarbeitungsverzeichnisses

Über den erforderlichen Inhalt des Verarbeitungsverzeichnisses informieren Sie sich bitte im Basiswissen.

Basiswissen
Verarbeitungsverzeichnis

Welche Arbeitshilfen gibt es?

Vorlage VVT Word einfach
Verzeichnis der Verarbeitungstätigkeiten
Vorlage VVT-Excel mit TOM
Verzeichnis der Verarbeitungstätigkeiten
01 Organisieren
03 Erlaubnis