Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

Verfahren und Prozesse des Datenschutzes


Fünf Verfahren bilden das operative Rückgrat der DSGVO-Compliance – sie greifen ineinander und stützen gemeinsam die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO):


Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert für jede Verarbeitung die verantwortliche Stelle, den Zweck, die Kategorien betroffener Personen und personenbezogener Daten, Empfänger, Übermittlungen an Drittländer, Aufbewahrungsfristen und die technischen und organisatorischen Maßnahmen. Es erfüllt die Transparenzanforderungen der DSGVO und ermöglicht Betroffenen, ihre Rechte auszuüben. Das Verzeichnis kann elektronisch oder papierbasiert geführt werden und ist regelmäßig zu aktualisieren. Wichtig: Für jede IT-Anwendung, die personenbezogene Daten verwaltet – die bestandsführende Anwendung – ist ein eigenes Verzeichnisdokument erforderlich.




DSFA – Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Die DSFA bewertet die Auswirkungen geplanter Verarbeitungsvorgänge auf die Rechte und Freiheiten betroffener Personen – systematisch nach Art, Umfang, Zweck und Kontext der Verarbeitung, den betroffenen Datenarten, der Anzahl der Betroffenen und der Dauer. Am Anfang steht die Vorabkontrolle (Schwellwertanalyse): Sie klärt, ob die geplante Verarbeitung voraussichtlich ein hohes Risiko darstellt. Die DSFA ist nicht nur eine Pflicht der DSGVO, sondern ein Kernstück jedes wirksamen Datenschutzmanagements.



TOM – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wer personenbezogene Daten erhebt, verarbeitet oder nutzt, muss unter Berücksichtigung des Stands der Technik geeignete Schutzmaßnahmen treffen – wobei der Aufwand in einem angemessenen Verhältnis zum Schutzzweck stehen muss. Verantwortliche und Auftragsverarbeiter setzen die Datenschutzgrundsätze wirksam um und gewährleisten ein dem Risiko angemessenes Schutzniveau. Als Schutzziele nennt die DSGVO die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme (VIV/CIA), Verschlüsselung und Pseudonymisierung sowie die rasche Wiederherstellung der Daten nach physischen oder technischen Zwischenfällen. Umgesetzt wird das Prinzip durch die Artikel 24, 25 und 32 DSGVO – dokumentiert im Rahmen der Rechenschaftspflicht.



Löschkonzept

Das Löschkonzept regelt, wie personenbezogene Daten, die nicht mehr benötigt werden, sicher und dauerhaft gelöscht werden – zeitnah, sobald sie für ihren Zweck nicht mehr erforderlich sind. Es setzt fünf Vorgaben um: Zweckbindung, Speicherbegrenzung, Rechtmäßigkeit, Transparenz und Datensicherheit. Dazu gehören die Bestimmung und regelmäßige Überprüfung der Speicherfristen, die Entwicklung von Löschverfahren für die endgültige Datenvernichtung und die Implementierung passender technischer und organisatorischer Maßnahmen.



Aufbewahrungsfristen

Die DSGVO definiert keine starren Fristen: Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für den Zweck erforderlich ist. Die Fristen sind individuell festzulegen – nach Erhebungszweck, Datenart, gesetzlichen Aufbewahrungspflichten, berechtigten Interessen und Vertragserfüllung. Da ein ISMS nach ISO/IEC 27001 strengere Anforderungen vorsehen kann als die DSGVO, empfiehlt sich eine Aufbewahrungsliste, die mit beiden Regelwerken abgestimmt ist – sie ist zugleich Eingabe für Löschkonzept und Verzeichnis.