Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Beyond Art. 30 – Warum das VVT den entscheidenden Wissens­vorsprung für eine wertschöpfende Datenstrategie gibt

In diesem Beitrag erfährst du, warum ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu hegen und zu pflegen viel mehr ist als öde Tabellen-Friemelei. Tatsächlich verschafft ein VVT den entscheidenden Wissensvorsprung für eine wertschöpfende Datenstrategie und für agile Prozesse in deinem Unternehmen.

Björn Möller Geschäftsführer caralegal GmbH
von Björn Möller, CEO
18. Januar 2023
 | 

Das VVT als Antwort auf die Digitalisierung

Eines bringt die Digitalisierung auf jeden Fall mit sich: jede Menge Daten. So bilden tausende Nullen und Einsen das Fundament unserer digitalen Gesellschaft. Dieser zunehmenden Datenflut müssen wir allerdings auch Herr:Frau werden – insbesondere in puncto Erhebung und Verarbeitung von personenbezogenen Informationen. So will es auch die europäische Gesetzgebung, die mit der Datenschutzgrundverordnung (DSGVO) einen wichtigen Meilenstein für den Datenschutz gesetzt hat. Hinzu kommt die Haltung der Bundesregierung hierzulande. 

Mit der neuen Datenstrategie hat der Gesetzgeber einen wichtigen Rahmen für einen sicheren und verantwortungsvollen Umgang mit digitalen Informationen geschaffen. Dies betrifft nicht zuletzt jedes Unternehmen in Deutschland.

Das VVT als Grundlage einer unternehmerischen Datenstrategie

Daten sind heute ein kritischer Erfolgsfaktor für Unternehmen und gleichzeitig ein strategisch wichtiges und schützenswertes Gut. So sind Unternehmen aller Art dazu angehalten, sich an die gesetzlichen Vorgaben zu halten und eine umsichtige und verantwortungsvolle Datennutzung zu gewährleisten. Sonst drohen zurecht heftige Strafen.

Gut zu wissen:
Die Dokumentation von Verarbeitungstätigkeiten ist für Unternehmen gesetzlich verpflichtend. Nach Artikel 30 Abs. 1 DSGVO müssen Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Hierzu sind für jede (!) Verarbeitungstätigkeit im Unternehmen bestimmte Angaben zu machen und bei einer behördlichen Prüfung vorzulegen. Darunter fallen der Zweck der Datenverarbeitung, die Art beziehungsweise Kategorien der Daten, betroffene Personen, Aufbewahrungsfristen sowie eingeleitete technische und organisatorische Maßnahmen zum Schutz der Daten.

Und trotzdem wird der Umgang mit Daten in vielen Unternehmen auch heute noch stiefmütterlich behandelt. Die Haltung: Datenschutzmanagement ist umständlich, langweilig und macht mehr Arbeit, als dass es Nutzen bringt. So ist beispielsweise die Führung eines Verzeichnis von Verarbeitungstätigkeiten aufwändig und hält den Betrieb wie ein schwerer Klotz am Bein auf.

Doch tatsächlich ist genau das Gegenteil der Fall. Eine saubere Dokumentation sorgt nicht nur dafür, gesetzlichen Anforderungen gerecht zu werden und juristisch auf der sicheren Seite zu sein. Ein gutes VVT ist prinzipiell wie ein frischer Kaffee am Montagmorgen im Büro. Du bist müde und unmotiviert, dann trinkst du ihn – und plötzlich gelingt dir alles. Aus einem VVT schöpfen Datenschutzverantwortliche neue Energie und schärfen ihre Sinne.

Dokumentationstätigkeiten gehen federleicht von der Hand und das Datenschutzmanagement wird zum Kinderspiel. Kaffee ist außerdem gesund. So wirkt sich der Koffein-Kick neben dem Datenschutz auf viele weitere Aspekte im Unternehmen positiv aus. Das VVT liefert den Turbo – die Datenstrategie wird zur Wertschöpfungsstrategie. Sie ermöglicht es, …

1. Geschäftsprozesse zu optimieren,

2. Wissensverluste zu vermeiden,

3. Kosten zu sparen,

4. unternehmensübergreifende Transparenz und Kontrolle herzustellen

5. und insbesondere agiler zu arbeiten.

Agilität dank Datenschutz – Geht das?

Das VVT ist der Schlüssel zur Agilität im Unternehmen. Warum? Weil für agile Prozesse zahlreiche Informationen aus allen Abteilungen nötig sind, die ein VVT wie kein anderes Instrument liefern kann. Es bildet eine unerschöpfliche Quelle an Erkenntnissen. Dort fließen sämtliche Informationen über das datenbezogene Tun eines Unternehmens zusammen. Und heute entstehen bei so gut wie allen wirtschaftlich relevanten Tätigkeiten Daten. Dadurch ist das VVT prinzipiell eine indirekte Betriebsdokumentation, die einen wertvollen Überblick und zahlreiche Rückschlüsse erlaubt.

Tatsächlich macht dieser Wissensvorsprung Agilität überhaupt erst richtig möglich: Je agiler das VVT selbst gelebt wird, desto erfolgreicher ist das ganze Unternehmen. Statt die Fachbereiche immer wieder zu bitten, die Anforderungen der DSGVO zu berücksichtigen, generiert der Perspektivwechsel hin zur Frage: „Wie können eure Prozesse stabiler, standardisierter bzw. besser aufgestellt werden?“, die versteckte Möglichkeit, z. B. Artikel 30 Abs. 1 DSGVO bei den Dokumentationspflichten zu berücksichtigen. Alle Abteilungen ziehen somit an einem Strang und stimmen sich automatisch ab – dadurch entsteht eine fokussierte, zentrale Wertschöpfungsbasis. Das klingt nicht nur gut, sondern ist heute schon Realität. Wir zeigen dir anhand von fünf Beispielen, wie das VVT ein Unternehmen agil macht.

5 Beispiele für Verarbeitungs­tätigkeiten: Entscheidender Wissensvorsprung durch VVT!

1. Datenschutz verleiht den Fachabteilungen Adleraugen

Marketing und Datenschutz müssen eng zusammenarbeiten. In der Praxis ist dies allerdings oft nicht der Fall. Dazu ein Beispiel: Versetzen wir uns für einen Moment in eine Marketingabteilung, welche aktuell ein Projekt für Promocodes verantwortet. Ein:e Mitarbeiter:in erstellt den Promocode-Prozess und verlässt nach dem Launch spontan das Unternehmen. Sofort stellen sich in der Fachabteilung die Fragen, wo die Prozessdokumentation ist, wer jetzt verantwortlich ist und welche Daten benötigt werden.

Diese Fragen sind dieselben, die die DSGVO mit Artikel 30 Abs. 1 lit. a und c beantwortet, insofern der:die Datenschutzbeauftragte zustimmt, dass zur Beantwortung des Zweckes eine ordentliche Beschreibung beziehungsweise Dokumentation des Prozesses notwendig ist. Kurzum: Dokumentieren die Marketingverantwortlichen ihre Prozesse im VVT, können sie mit einem Klick sagen, wer verantwortlich ist, wie der Prozess funktioniert und was dafür benötigt wird.

2. Das VVT ermöglicht es, Geschäftsprozesse zu optimieren

Das VVT stellt die Grundlage, die es Unternehmen ermöglicht, Prozesse übergreifend zu managen und effizienter zu machen. Nehmen wir dazu an, dass eine Gesellschaft mit vielen Unternehmensstandorten in 25 verschiedenen Ländern aktiv ist und insgesamt 12 Produkte vertreibt. Die Marketingabteilungen versenden zudem verschiedene Newsletter. 

Da stellt sich im Fachbereich unweigerlich die Frage, wo Wachstumspotenziale bestehen und welche Konsolidierungspotenziale es gibt. Wie lässt sich also vom internen Wissen und bestehenden Erfahrungen profitieren? Das beantwortet prinzipiell die DSGVO mit Artikel 30 Abs. 1 lit. b mit den entsprechenden Anforderungen an das VVT. Laut Gesetz muss das VVT Angaben zum Zwecke der Verarbeitung enthalten. Das macht das Verzeichnis zu einer hervorragenden Wissensbasis über Geschäftsprozesse und liefert die Grundlage, um diese zu optimieren.

3. Datenschutz macht agiles Projektmanagement möglich

Nur Datenschutz kann Agilität in Unternehmen möglich machen. Das ist beispielsweise der Fall, wenn eine Marketingabteilung ein neues App-Analytics-Tool anschaffen will. Dieses soll dazu dienen, alle anfallenden Daten in nur einer Lösung zu tracken. Was praktisch klingt, lässt natürlich Datenschutzverantwortliche aufhorchen. Doch zunächst zum App-Team: Die Aufgabe der Designer:innen und Produktverantwortlichen ist es, das Warum und das Wieso einer App zu hinterfragen und zu definieren. 

Ebenso ist zu klären, welche Informationen mit dem Tool gewonnen werden sollen und welche Daten dafür notwendig sind. Hier hilft wieder ein sorgfältig und gesetzeskonform geführtes VVT: Die DSGVO legt mit Artikel 30 Abs. 1 lit. b und c fest, dass das VVT neben Angaben zum Zwecke von Verarbeitungstätigkeiten unter anderem auch Beschreibungen der Kategorien personenbezogener Daten enthalten muss. Diese bieten den Fachabteilungen eine gemeinsame Wissensbasis, was Zeit spart, unnötige Absprachen vermeidet und das agile Projektdenken unterstützt.

4. Datenschutz schafft Übersicht

Wie bereits erwähnt liefert das VVT eine großartige Wissensbasis und bringt alle Abteilungen an einen Tisch. Doch es leistet noch mehr: Es bildet eine langfristige und stets aktuelle Informationsbasis für sämtliche datenbezogenen Prozesse in einem Unternehmen. Wenn beispielsweise ein:e ehemalige:r Bewerber:in die HR-Abteilung um die Löschung seiner:ihrer personenbezogenen Daten bittet, sieht es ohne VVT schlecht aus. 

Unweigerlich muss der Fachbereich beantworten können, wo die Daten der betroffenen Person überhaupt liegen. Dies beantwortet das VVT gemäß Art. 30 Abs. 1 lit. d DSGVO. So liefert ein gesetzeskonform geführtes VVT Angaben über die Kategorien von Empfänger:innen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Das ist die optimale Übersicht: Ein Blick ins VVT reicht somit der Fachabteilung aus, um die Anfrage der:des ehemaligen Mitarbeiter:in abzuwickeln.

5. Datenschutz spart Zeit und Geld

Ein weiteres typisches Beispiel für Verarbeitungstätigkeiten ist folgendes: Stellen wir uns vor, die Einkaufsabteilung in einem Unternehmen würde feststellen, dass das Unternehmen mehr als 1.000 Anwendungen einsetzt. Unweigerlich muss sich die Abteilung die Frage stellen, ob davon noch alle relevant sind. Welche Tools werden überhaupt noch genutzt, welche nicht? In einem kleinen Betrieb reicht die kurze Nachfrage bei den Kolleg:innen. Aber was passiert bei mittelständischen und großen Unternehmen oder gar Konzernen? 

Hier verhindert ein gepflegtes VVT unnötiges E-Mail-Pingpong und schafft Fakten. Das VVT dokumentiert nach Artikel 30 Abs. 1 lit. d und e DSGVO, welche Verarbeitungstätigkeiten auf welche Anwendungen beziehungsweise externe Dienstleister:innen zurückgreifen. Das lässt eine konsolidierte Ansicht der Anwendungen zu. Durch diese zeigt sich auf einfache Weise, welche Lösungen in Benutzung sind und welche nicht. Das VVT spart somit einen enormen Kommunikationsaufwand und schlussendlich Zeit und Geld.

Verzeichnis von Verarbeitung­stätigkeiten erstellen – So gelingt die Dokumentation im Nu

Das VVT gibt Unternehmen den entscheidenden Wissensvorsprung. Du findest es trotzdem mühselig, ein Verzeichnis in der Praxis zu pflegen? Du dokumentierst Verarbeitungstätigkeiten mit Excel oder anderen umständlichen Behelfslösungen? Dann wirf einen Blick auf viel cleverere Lösungen. Vom agilen Tech-Start-up bis zum klassischen Automobilzulieferer vertrauen Unternehmen auf ein digitales VVT. Mit der Datenschutz-Lösungsplattform hast du nie wieder Stress mit deiner Dokumentation sowie den Fachbereichen. Mach dir schon mal einen Kaffee und lies dazu jetzt hier weiter.

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren
Auflistung der Top 5 Trends im Datenschutz 2024

Datenschutz 2024: Die Top 5 Entwicklungen

Mehr erfahren
PETs sind eine wichtige Unterstützung für deinen Datenschutz.

Privacy Enhancing Technologies für deinen Datenschutz

Mehr erfahren