Heiko Roth

Roth, Heiko: Verzeichnis von Verarbeitungstätigkeiten; 1. Aufl., Verlag Fachmedien Recht und Wirtschaft, Frankfurt am Main 2023; (303 S., 89,- €); ISBN 978-3-8005-1875-3.

Mit seinem Buch legte der Autor alles vor, was wichtig ist zum Thema Verarbeitungsverzeichnisse nach DSGVO. Das Werk ist als Praxishandbuch konzipiert und betrachtet die Praxis aus rechtlicher, organisatorischer und technischer Sicht. Jurist Heiko Roth schreibt über 300 Seiten zum Thema Verzeichnis von Verarbeitungstätigkeiten und berücksichtigt mehr als 600 Quellen aus über 40 Ländern. Viele dieser Quellen sind als Online-Quelle hinterlegt und können so zum Nachschlagen und zur Vertiefung verwendet werden. Gut 90 Tabellen, Abbildungen und Diagramme visualisieren Statistiken und Zusammenhänge beim Art. 30 DSGVO.

Recht selten finden sich in der Literatur Hinweise zur Verwendung eines Buches. Roth stellt seinen Kapiteln Leitsätze zum Umgang mit dem Buch voran und fordert ausdrücklich zum vorherigen Lesen auf. Das erste Kapitel als Einstieg besteht aus zwei Seiten mit der Darstellung zur konsequenten Entwicklung eines Instruments „Verarbeitungsverzeichnis“. Auch das zweite Kapitel ist mit 17 Seiten nur recht klein ausgefallen. Jedoch finden sich bereits hier akribisch gesammelte Hinweise zu Umfragen bei Verbänden und Aufsichtsbehörden zum Thema VVT.

Das dritte Kapitel dagegen ist sehr umfassend (250 Seiten) und liefert den Kern des Handbuches, nämlich die Umsetzung der im Untertitel versprochenen Leistungen. Im rechtlichen Teil widmet sich der Autor der Einbettung in den Rechtsrahmen und greift dabei auch vielfach auf Normen jenseits der DSGVO zurück. Hier finden sich viele Erhebungen zum Umgang mit dem Verarbeitungsverzeichnis und zum Bußgeld, aber auch darüber, wie Organisationen und die Prüfstellen selbst ihr VVT einrichten. Er stösst hier auf den Verantwortlichen „in der Mitte“ einer Wetschöpfungskette, der nicht nur aufzeigen sollte, welche Daten wohin fließen, sondern auch sinnvollerweise angeben sollte, woher seine Datenbasis stammt. Hier zeigt der Autor auf, wie komplex Querverbindungen im VVT ausgestaltet sein können. Er nutzt dann folgerichtig die rechtlichen Erkenntnisse als Basis in den Abschnitten Organisation und IT.

Ein weiterer bedeutsamer Abschnitt ist die organisatorische Sicht. Heiko Roth befasst sich eingehend mit der Ausdifferenzierung der Begriffe Verarbeitungstätigkeiten, Verarbeitungen und Geschäftsprozessen. Dabei stößt er auch auf Reifegrade eines Verarbeitungsverzeichnisses, wie sie bereits im Qualitätsmanagement der Softwareindustrie zu finden sind. So kann der Reifegrad bei im Zusammenhang mit der Risikobetrachtung von Bedeutung sein. Auch hierfür liefert der Autor wertvolle Beispiele, zum Beispiel von der Bitkom e.V. und der CNIL. Es wird deutlich, dass es kein standardisiertes Verarbeitungsverzeichnis geben kann; die Möglichkeiten eines VVT und seiner Voraussetzungen stellt Herr Roth als zu variantenreich dar.

Im Abschnitt IT liefert der Autor u.a. neben den Hinweisen auf klassische Probleme auch zwei Fallbeispiele funktionaler Anforderungen an einer softwaregestützten Implementation. Das Werk endet mit einer Audit-Checkliste und einem umfassenden Quellenverzeichnis.

Fazit: Diese Buch gehört auf den Schreibtisches einer jeden Person, die sich mit dem Thema Verarbeitungsverzeichnis auseinandersetzen muss.