Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten (kurz: VVT)

Das VVT ist ein zentrales Thema der DSGVO und damit auch elementarer Teil der  Datenschutzberatung. Welche Verfahren müssen erfasst und dokumentiert werden – und wie lässt sich das VVT fortlaufend aktuell halten?

Datenschutz
Inhalt dieser Seite

Was ist das Verarbeitungsverzeichnis?

Hinter dem wenig attraktiven Begriff „Verzeichnis von Verarbeitungstätigkeiten“, auch Verarbeitungsverzeichnis genannt, verbirgt sich ein wesentliches Element der in Artikel 5 Abs. 2 DSGVO beschriebenen Rechenschaftspflicht. Das Verzeichnis von Verarbeitungstätigkeiten ist damit ein wichtiger Bestandteil der Aufgabenerfüllung des Datenschutzbeauftragten nach Art. 39 DSGVO.

In diesem Verzeichnis werden alle Tätigkeiten und Vorgänge im Unternehmen aufgelistet, bei denen personenbezogene Daten verarbeitet werden.

Muss ich ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen?

Alle Unternehmen über 250 Mitarbeitern sowie alle kleinere Unternehmen, die regelmäßig oder besonders schützenswerte personenbezogene Daten (besonders sensible Daten wie z.B. Gesundheitsdaten oder Daten, bei denen ein Risiko für die Rechte und Freiheiten Betroffener besteht) verarbeiten, müssen ein solchen Verzeichnis führen und der Aufsichtsbehörde auf Anfrage vorlegen (Art. 30 Abs. 4 DSGVO und ErwGr. 82).

Faktisch dürften nahezu alle Unternehmen, aber auch Selbstständige, Handwerker und Praxen dazu verpflichtet sein, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Denn zu den regelmäßigen Datenverarbeitungsvorgängen gehören auch der Webshop, die Lohnabrechnung, das Führen von Personalakten, das Verwalten einer Kundendatenbank oder der Versand von Newslettern.

Sollte Ihr Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten führen, obwohl es dazu verpflichtet ist, oder können Sie es auf Anfrage der Aufsichtsbehörde nicht vollständig vorlegen, droht ein Bußgeld von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes.

Was beinhaltet ein VVT nach Art. 30 DSGVO?

In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a.

Art. 30 EU-DSGVO und § 70 BDSG schreibt vor, wie dieses Verzeichnis mindestens zu enthalten hat und dass es schriftlich zu führen ist – was auch eine elektronische Erstellung etwa in einer Tabellenkalkulation zulässt. Die anfordernde Behörde kann wahlweise die Datei oder einen Ausdruck verlangen. Der Gesetzgeber unterscheidet zwischen

dem Verantwortlichen, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO).

dem Auftragsverarbeiter, der die Datenverarbeitung konkret durchführt, aber keine Entscheidungsbefugnis über die Daten hat (Art. 4 Nr. 8 DSGVO).

Beide müssen jeweils ein Verzeichnis von Verarbeitungstätigkeiten in deutscher Sprache bzw. deutscher Übersetzung führen und auf Verlangen unverzüglich in deutscher Sprache vorlegen können.

Das Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen muss nach Art. 30 Abs. 1 DSGVO enthalten:

Das Verzeichnis von Verarbeitungstätigkeiten des Aufrtragsverarbeiters muss nach Art. 30 Abs. 2 DSGVO enthalten:

Wie erstelle ich ein VVT?

Das Verzeichnis soll alle Datenströme und Verarbeitungen personenbezogener Daten im Unternehmen transparent machen.

Ein erster Schritt hierfür könnte sein, das Unternehmen im Vorfeld in organisatorische Bereiche einzuteilen, um das Verzeichnis gut nachvollziehbar zu gliedern, und dann jeden Bereich nacheinander abzuarbeiten.

In einem zweiten Schritt werden dann alle im jeweiligen Bereich eingesetzten Anwendungen aufgelistet, die personenbezogene Daten speichern oder verarbeiten.

In einem dritten Schritt werden dann die Standardvorgänge im Unternehmen, bei denen personenbezogene Daten verarbeitet werden, im Detail nachvollzogen und zu jedem Verarbeitungsschritt der Datenverarbeiter, die Art und das Ziel der Verarbeitung sowie die Datenschutzmaßnahmen benannt. Hierbei müssen auch automatisierte Verarbeitungen sowie die Nutzung externer Datenverarbeiter (z. B. Google) erfasst werden.

Was sind eigentlich personenbezogene Daten?

Bei personenbezogenen Daten handelt es sich vereinfacht gesagt um Einzelangaben zu einer Person, die Rückschlüsse auf persönliche oder sachliche Verhältnisse oder bestimmbare Daten zulassen.

Darunter fallen beispielsweise:

Persönliche Verhältnisse
Sachliche Verhältnisse
Bestimmbare Daten
Vor- und Nachname, Alter, Familienstand
Gehalt, Vermögen
Geolokalisierung, Standort- und Bewegungsdaten
Adressdaten, Telefonnummer, Mailadresse
Eigentum (Haus, Wohnung, Auto etc.)
Personalausweisnummer, Sozialversicherungsnummer
Gesundheitsdaten, genetische Daten
Schulden
Kfz-Kennzeichen, Kraffahrzeugnummer

Um doppelte Dokumentationen und damit erhöhten Pflegeaufwand zu vermeiden, darf im Verzeichnis von Verarbeitungstätigkeiten auch auf andere DSGVO-Dokumente hingewiesen werden.

So könnte das Verzeichnis beispielsweise eine Schadensrisikoeinschätzung beinhalten und darin etwa auf die detaillierte Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten Daten und der Informationssicherheit gemäß Artikel 32 Absatz 1 DSGVO verwiesen werden. An anderer Stelle könnten Verweise auf das Datenschutzkonzept, die Datenschutz-Folgenabschätzung nach Art. 35 Abs. 7 DSGVO oder das Löschkonzept eingebunden werden.

Die Dokumente, auf die verwiesen wird, müssen bei einer Anforderung des Verzeichnisses von Verarbeitungstätigkeiten mit vorgelegt werden. Zudem hilft das Verzeichnis in Fällen, in denen betroffene Personen ihr Auskunftsrecht nach Art. 12 Abs. 1 DSGVO ausüben, den Informationspflichten vollständig nachzukommen.

Wie sieht ein VVT (Muster) aus?

Da das Verzeichnis von Verarbeitungstätigkeiten alle Verarbeitungstätigkeiten personenbezogener Daten im gesamten Unternehmen beschreiben muss, wird es sich zumeist aus einer ganzen Reihe von Prozessbeschreibungen zusammensetzen müssen.

Empfohlen wird daher zumeist, es in Form eines „Loseblattwerkes“ zu führen, also für jeden Prozess der Verarbeitung personenbezogener Daten ein eigenes Formblatt auszufüllen und diese dann zum gesamten Verzeichnis zusammenzuführen. Je Beschreibung einer Verarbeitungstätigkeit ist im Vorhinein

Empfohlen wird, den einzelnen Prozessbeschreibungen folgende Informationen hinzuzufügen:

VVT Muster

Eine unausgefüllte Musterseite für ein VVT für Verantwortliche nach Art. 4 Nr. 7 DSGVO finden Sie beispielsweise hier:

https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_verantwortliche.pdf

Eine vergleichbare Musterseite für Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO finden Sie beispielsweise hier:

https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_auftragsverarbeiter.pdf

Was muss der Aufsichtsbehörde vorgelegt werden?

Bei einer Prüfung muss das gesamte VVT samt allen Dokumenten vorgelegt werden, auf die im Verzeichnis hingewiesen oder Bezug genommen wird. Es genügt nicht, nur einen Teil der Unterlagen vorzulegen, die Prüfung wird auch nicht auf bestimmte Prozesse beschränkt.

Um der Rechenschaftspflicht der DSGVO vollständig nachzukommen, müssen Sie beispielsweise auch folgende Dokumente vorlegen:

Wie oft muss ich das VVT aktualisieren?

Das Verzeichnis von Verarbeitungstätigkeiten kann nur mit detaillierter Kenntnis über die einzelnen Prozesse erstellt werden, hier wird sich der Datenschutzbeauftragte in einen intensiven Austausch mit den Prozessverantwortlichen begeben müssen.

Zudem muss das Verzeichnis bei jeder Veränderung in den Prozessen sowie in regelmäßigen Abständen aktualisiert werden. Aus Gründen der Rechenschaftspflicht aus der DSGVO sollten die Vorversionen mindestens ein Jahr weit zurückverfolgt werden können.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
VVT erstellen lassen

Als externer Datenschutzbeauftragter und Beratungsdienstleister erstellen und prüfen wir Ihre VVT.

Die externen Datenschutzbeauftragter der Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

ISMS
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo