Verzeichnis der Verarbeitungstätigkeiten

Trinity · 7. November 2023 um 13:57

Hallo Community,
wie wird denn bei euch das Verzeichnis der Verarbeitungstätigkeiten geführt?
Verwendet ihr ein Tool? Arbeitet ihr mit Tabellen? Wie kommt ihr an die Infos?
Die Frage ist möglicherweise banal, aber für mich von großem Interesse.
Ich arbeite leider extrem isoliert und habe anderweitig kaum Gelegenheit zum Austausch.
Danke.

bdsb · 7. November 2023 um 15:32

Für den Anfang kann man auch mal mit einer Excel-Tabelle anfangen. Wenn es aber mehr als 100 Verarbeitungen werden, sollte man vielleicht über ein Tool nachdenken. Manchmal hat man auch einen fähigen Mitarbeiter, der da selbst eine Datenbank aufsetzen kann. Das hätte den Vorteil, dass man es so machen kann, wie man es braucht und wie es zum Unternehmen passt.
Die Tools am Markt sind meist eher “juristisch” ausgelegt - also nur das machen, was gesetzlich gefordert ist. Einmal eintragen und dann vergessen.
Um an die Informationen zu kommen, muss man wohl oder übel in der Fachabteilung nachfragen (auch wenn man noch so isoliert arbeitet). Schließlich hat man als DSB ja auch eine Kontroll- und Prüf-Funktion.

Trinity · 7. November 2023 um 16:22

Vielen Dank, das war vermutlich ein Missverständnis, ich tu mich immer ein bisschen schwer mit Formulieren.
Meine Frage ging nicht in die Richtung, wie “man” es machen könnte - das weiß ich ja. Datenbank aufsetzen oder Webanwendung programmieren bekomme ich auch noch hin, das ist nicht die Frage.
Ich war einfach neugierig, wie es andere machen.

“Isoliert arbeiten” hab ich ungeschickt ausgedrückt: Damit hab ich bloß gemeint, dass ich keine anderen DSB oder anderen Leute, die mit Datenschutz zu tun haben, kenne oder in der Nähe habe. Ansonsten hab ich schon ein paar hundert Kolleginnen und Kollegen um mich rum.
Hätte wohl besser geschrieben: “Kenne hier sonst keinen Menschen, der im Datenschutz arbeitet, deshalb frag ich euch.”

Privat kenne ich natürlich schon welche, aber die haben eher kleine Aufgabenbereiche bzw. arbeiten anderen zu - offiziell DSB, aber inhaltlich eher mit Datenschutzkoordinatoren vergleichbar, die dezentral platziert sind. Das sind natürlich keine “schlechten” DSB, aber deren Job ist eben so gestrickt, dass sie Vorgaben von der Zentrale umsetzen und dafür ein paar Stunden “DSB” neben ihrem Haupttätigkeitsfeld machen. Und aufwändigere Vorgänge, die an sie herangetragen werden, können sie in die Zentrale schicken. Die haben halt einen anderen Fokus und - na klar - haben die seit 2018 Konzernlösungen überall einheitlich.

Wie kommt ihr an die Infos? = Müsst ihr alles selbst aufschreiben oder schreiben bei euch die Fachabteilungen auch selbst mal was auf oder geben etwas in entsprechende Tools ein?

bdsb · 8. November 2023 um 06:28

OK, dann konkretisiere ich meine Antwort noch etwas: Wir machen es tatsächlich so, dass wir uns eine eigene Lösung gebaut haben, mit der wir nicht nur das rechtliche abdecken können, sondern auch die tägliche Arbeit unterstüzen können. Mit Wiedervorlagen, Statistiken, Berichten etc.
Im Gegensatz zu vielen anderen, die ich kenne sind bei uns nämlich die meisten Verarbeitungen nicht vollständig beschrieben oder rechtskonform umgesetzt. Da ist immer noch mal ein kleiner Punkt offen - mal fehlt ein Löschkonzept, mal eine genaue Zweckbeschreibung, mal eine technische Maßnahme, mal eine Unterschrift unter dem AVV, mal eine Kritikalitätsbewertung etc. Und wenn tatsächlich mal alles stimmt, dann hat der Ansprechpartner in der Fachabteilung das Unternehmen verlassen und keiner weiß, wer sich da jetzt drum kümmert …
Fazit: Es gibt immer noch etwas zu verbessern und da hilft ein Tool, mit dem man täglich arbeiten kann, statt einfach nur Fragebögen abzuheften, die man von der Fachabteilung hat ausfüllen lassen.
P.S.: Und ja, eigentlich soll nicht der DSB das Verarbeitungsverzeichnis führen - aber leider hat es gezeigt, dass es anders nicht geht, weil da sonst nur Unbrauchbares drin steht. Und da der DSB diese Info für seine Prüfaufgabe ohnehin braucht, macht es durchaus Sinn. Aber das ist nur meine Meinung aus meiner eigenen Erfahrung.

Michael_Meyer · 9. November 2023 um 09:39

Hallo Trinity,
bei meinen Mandanten (ich bin ext. DSB für einige) gibt es folgende Lösungen:

Word Datei mit Tabelle für jede Verarbeitung (Vorlage von mir)
Excel Datei
Datenschutz-Modul im QM-System mit Datenbank (gibt es als Option in mancher QM-Software)
eigene Lösungen einzelner Unternehmen mit interner, eigener Datenbank

Auch die Datenschutzaufsichtsbehörden geben Anregungen, speziell für kleine Unternehmen.

Rein rechtlich muss das VdV nur ab einer bestimmten Unternehmengröße geführt werden. Ich habe es aber allen Mandanten - auch den kleinen - empfohlen, sich einmal richtig Gedanken zu machen, wo sie überall p-Daten verarbeiten. Das ist doch sehr nützlich, auch für mich als ext. DSB.

Bei der Erstellung “weiß der Chef alles” (in kleinen Unternehmen), oder die Abteilungs- oder Standort-Leiter sollten in ihren Bereichen dokumentieren. Das skaliert eigenlich immer.

Ich selbst berate und kontrolliere die Einträge.

In Sachen Erfahrungsaustausch empfehle ich - falls mit halbwegs Aufwand erreichbar - sog. ERFA-Kreise, also ERFAhrungsaustauschkreise von DSBs, meist unter Moderation von ERFAhrenen Personen. Aber auch die Teilnehme an einem Forum wie diesem sollte helfen.

Viel Erfolg,
Michael Meyer

dedsb · 13. November 2023 um 08:33

Hallo Trinity,

ich teile Dein Schicksal als Einzel- und Alleinkämferin (wie vermutlich viele andere DSB auch). Deshalb bin ich happy über dieses Forum und habe mir auch eine Mitgliedschaft im GDD und dem BvD gegönnt. Noch war ich bei keinem Treffen dabei, deshalb kann ich noch keine Empfehlung abgeben. Aber dies vielleicht auch nochmal als Tipp für Dich.

Zum eigentlichen Thema Verzeichnis der Verarbeitungstätigkeiten.

In meiner Firma gibt es kein Tool. Es gab eine recht rudimentäre Word-Vorlage. Die habe ich anhand der Vorgaben und der Empfehlungen, die ich im Internet gefunden habe erweitert.

Zur Frage, wie ich an die Informationen komme: Ich bin noch am Austesten. Anfangs habe ich mich mit jeder Abteilung hingesetzt und es gemeinsam ausgefüllt, quasi “die Hand mit dem Stift geführt”. Da von habe ich ressourcenbedingt Abstand genommen. Stattdessen habe ich eine Schulung konzipiert, zu der ich alle Ansprechpartner für die VT zusammengetrommelt habe. Da habe ich erstmal erklärt, was das VVT ist, warum es geführt werden muss (nämlich nicht, weil die DSB das halt so möchte) und wozu es gebraucht wird. Dann habe ich ein Beispiel live mit einer Abteilung ausgefüllt.
Seit dem verschicke ich die Wordvorlage zusammen mit dem Hinweis auf die Schulung und biete an, bei Fragen, unterstützend zu helfen.
Ob dieses Vorgehen zielführend ist, wird sich zeigen…

Viele Grüße
dedsb

Trinity · 13. November 2023 um 09:31

Vielen Dank für die Infos an Euch alle! Ich freue mich über die Beiträge, auch wenn ich sie nicht im einzelnen kommentiere: ich lese sie mit großer Neugierde. (Kommentieren erschien mir unpasend, weil es mir bei meiner Frage weniger um mich ging, sondern wirklich um das, was “anderswo” läuft. Und zwar auch neutral - also ohne dass jemand mit einer der Firmen, für die ich arbeite, in einer Geschäftsbeziehung steht.) Es sind viele unterschiedliche Ansätze dabei und auch Tipps für Leute mit ganz unterschiedlichen Voraussetzungen. Das finde ich sehr angenehm, und ich kann mir vorstellen, dass es auch für andere interessant ist. Dankeschön.