Verzeichnis von Verarbeitungstätigkeiten

datenschutzberatung2
Inhalt der Seite

    Was ist das Verarbeitungsverzeichnis?

    Hinter dem wenig attraktiven Begriff „Verzeichnis von Verarbeitungstätigkeiten“, auch Verarbeitungsverzeichnis genannt, verbirgt sich ein wesentliches Element der in Artikel 5 Abs. 2 DSGVO beschriebenen Rechenschaftspflicht. Das Verzeichnis von Verarbeitungstätigkeiten ist damit ein wichtiger Bestandteil der Aufgabenerfüllung des Datenschutzbeauftragten nach Art. 39 DSGVO.

    In diesem Verzeichnis werden alle Tätigkeiten und Vorgänge im Unternehmen aufgelistet, bei denen personenbezogene Daten verarbeitet werden.

    Jörg ter Beek

    [email protected]
    0251 297947-40

    Ihr Datenschutzbeauftragter

    Jörg ter Beek

    • zehnjährige Praxiserfahrung
    • TÜV-zertifizierter Datenschutzbeauftragter
    • ISMS-Auditor
    • Expertise in Datenschutzberatung und IT-Security

    Sprechen Sie uns an.

    Wir beraten Sie gerne

    +49 251 297 947 40

    Jörg ter Beek

    Ihr Ansprechpartner

    Jörg ter Beek
    +49 251 297 947 40
    [email protected]

    Muss ich ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen?

    Alle Unternehmen über 250 Mitarbeitern sowie alle kleinere Unternehmen, die regelmäßig oder besonders schützenswerte personenbezogene Daten (besonders sensible Daten wie z.B. Gesundheitsdaten oder Daten, bei denen ein Risiko für die Rechte und Freiheiten Betroffener besteht) verarbeiten, müssen ein solchen Verzeichnis führen und der Aufsichtsbehörde auf Anfrage vorlegen (Art. 30 Abs. 4 DS-GVO und ErwGr. 82).

    Faktisch dürften nahezu alle Unternehmen, aber auch Selbstständige, Handwerker und Praxen dazu verpflichtet sein, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Denn zu den regelmäßigen Datenverarbeitungsvorgängen gehören auch der Webshop, die Lohnabrechnung, das Führen von Personalakten, das Verwalten einer Kundendatenbank oder der Versand von Newslettern.

    Sollte Ihr Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten führen, obwohl es dazu verpflichtet ist, oder können Sie es auf Anfrage der Aufsichtsbehörde nicht vollständig vorlegen, droht ein Bußgeld von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes.

    Was beinhaltet ein VVT nach Art. 30 DSGVO?

    In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a.

    • die Datenkategorien
    • der Kreis der betroffenen Personen
    • der Zweck der Verarbeitung
    • die Datenempfänger

    Art. 30 EU-DSGVO und § 70 BDSG schreibt vor, wie dieses Verzeichnis mindestens zu enthalten hat und dass es schriftlich zu führen ist – was auch eine elektronische Erstellung etwa in einer Tabellenkalkulation zulässt. Die anfordernde Behörde kann wahlweise die Datei oder einen Ausdruck verlangen. Der Gesetzgeber unterscheidet zwischen

    dem Verantwortlichen, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO).

    dem Auftragsverarbeiter, der die Datenverarbeitung konkret durchführt, aber keine Entscheidungsbefugnis über die Daten hat (Art. 4 Nr. 8 DSGVO).

    Beide müssen jeweils ein Verzeichnis von Verarbeitungstätigkeiten in deutscher Sprache bzw. deutscher Übersetzung führen und auf Verlangen unverzüglich in deutscher Sprache vorlegen können.

    Das Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen muss nach Art. 30 Abs. 1 DSGVO enthalten:

    • den Namen und die Kontaktdaten des Verantwortlichen (z. B. Unternehmen) mit Anschrift, seiner Vertretungsberechtigten sowie eines etwaigen Datenschutzbeauftragten
    • die Zwecke der Verarbeitung der personenbezogenen Daten
    • eine Beschreibung der Kategorien betroffener Personen (z. B. Lieferanten, Beschäftigte, Bewerber, Kunden, Minderjährige) und der Kategorien personenbezogener Daten (z. B. Adress-, Finanz-, Gesundheits-, Kontaktdaten)
    • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z. B. bei Lohn- und Gehaltsabrechnung: Banken, Sozialversicherungsträger, Finanzamt)
    • die Rechtsgrundlage der Verarbeitung
    • ggf. der Einsatz von Profiling
    • die Kategorien von Empfängern oder internationalen Organisationen im Nicht-EU-Ausland, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, samt Dokumentation geeigneter Garantien für die Datenübermittlung
    • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Aufbewahrungsfristen beachten!)
    • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten Daten und der Informationssicherheit gemäß Artikel 32 Absatz 1 DSGVO

    Das Verzeichnis von Verarbeitungstätigkeiten des Aufrtragsverarbeiters muss nach Art. 30 Abs. 2 DSGVO enthalten:

    • den Namen und die Kontaktdaten des Verantwortlichen (z. B. Unternehmen) mit Anschrift, seiner Vertretungsberechtigten sowie eines etwaigen Datenschutzbeauftragten
    • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
    • die Kategorien von Empfängern oder internationalen Organisationen im Nicht-EU-Ausland, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, samt Dokumentation geeigneter Garantien für die Datenübermittlung
    • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten Daten und der Informationssicherheit gemäß Artikel 32 Absatz 1 DSGVO

    Wie erstelle ich ein VVT?

    Das Verzeichnis soll alle Datenströme und Verarbeitungen personenbezogener Daten im Unternehmen transparent machen.

    Ein erster Schritt hierfür könnte sein, das Unternehmen im Vorfeld in organisatorische Bereiche einzuteilen, um das Verzeichnis gut nachvollziehbar zu gliedern, und dann jeden Bereich nacheinander abzuarbeiten.

    In einem zweiten Schritt werden dann alle im jeweiligen Bereich eingesetzten Anwendungen aufgelistet, die personenbezogene Daten speichern oder verarbeiten.

    In einem dritten Schritt werden dann die Standardvorgänge im Unternehmen, bei denen personenbezogene Daten verarbeitet werden, im Detail nachvollzogen und zu jedem Verarbeitungsschritt der Datenverarbeiter, die Art und das Ziel der Verarbeitung sowie die Datenschutzmaßnahmen benannt. Hierbei müssen auch automatisierte Verarbeitungen sowie die Nutzung externer Datenverarbeiter (z. B. Google) erfasst werden.

    Was sind eigentlich personenbezogene Daten?

    Bei personenbezogenen Daten handelt es sich vereinfacht gesagt um Einzelangaben zu einer Person, die Rückschlüsse auf persönliche oder sachliche Verhältnisse oder bestimmbare Daten zulassen.

    Darunter fallen beispielsweise:

    persönliche Verhältnissesachliche Verhältnissebestimmbare Daten
    Vor- und Nachname, Alter, FamilienstandGehalt, VermögenGeolokalisierung, Standort- und Bewegungsdaten
    Adressdaten, Telefonnummer, MailadresseEigentum (Haus, Wohnung, Auto etc.)Personalausweisnummer, Sozialversicherungsnummer
    Gesundheitsdaten, genetische DatenSchuldenKfz-Kennzeichen, Kraffahrzeugnummer

    Um doppelte Dokumentationen und damit erhöhten Pflegeaufwand zu vermeiden, darf im Verzeichnis von Verarbeitungstätigkeiten auch auf andere DSGVO-Dokumente hingewiesen werden.

    So könnte das Verzeichnis beispielsweise eine Schadensrisikoeinschätzung beinhalten und darin etwa auf die detaillierte Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten Daten und der Informationssicherheit gemäß Artikel 32 Absatz 1 DSGVO verwiesen werden. An anderer Stelle könnten Verweise auf das Datenschutzkonzept, die Datenschutz-Folgenabschätzung nach Art. 35 Abs. 7 DSGVO oder das Löschkonzept eingebunden werden.

    Die Dokumente, auf die verwiesen wird, müssen bei einer Anforderung des Verzeichnisses von Verarbeitungstätigkeiten mit vorgelegt werden. Zudem hilft das Verzeichnis in Fällen, in denen betroffene Personen ihr Auskunftsrecht nach Art. 12 Abs. 1 DSGVO ausüben, den Informationspflichten vollständig nachzukommen.

    • hilfe

      Wie können wir Ihnen helfen?

    Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    Sprechen Sie uns an.

    Wir beraten Sie gerne

    +49 251 297 947 40

    Jörg ter Beek

    Ihr Ansprechpartner

    Jörg ter Beek
    +49 251 297 947 40
    [email protected]

    Jörg ter Beek

    Wie sieht ein VVT (Muster) aus?

    Da das Verzeichnis von Verarbeitungstätigkeiten alle Verarbeitungstätigkeiten personenbezogener Daten im gesamten Unternehmen beschreiben muss, wird es sich zumeist aus einer ganzen Reihe von Prozessbeschreibungen zusammensetzen müssen.

    Empfohlen wird daher zumeist, es in Form eines „Loseblattwerkes“ zu führen, also für jeden Prozess der Verarbeitung personenbezogener Daten ein eigenes Formblatt auszufüllen und diese dann zum gesamten Verzeichnis zusammenzuführen. Je Beschreibung einer Verarbeitungstätigkeit ist im Vorhinein

    • der Verarbeitungszweck
    • die Kategorien betroffener Personen
    • die Kategorien der personenbezogenen Daten
    • die Kategorien von unternehmensexternen Empfängern bzw. Zugriffsberechtigten
    • Empfänger in Drittländern und internationale Organisationen (namentlich)
    • Maßnahmen zur Datensicherheit, ggf. Pseudonymisierung oder Verschlüsselung personenbezogener Daten und technische Sicherung des verarbeitenden Systeme
    • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der beschriebenen Prozesse festzulegen und zu dokumentieren

    Empfohlen wird, den einzelnen Prozessbeschreibungen folgende Informationen hinzuzufügen:

    • 1 Maßnahmen zur Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen nach Art. 5 Abs. 1 Buchst. a) DSGVO
    • 2 Gewährleistung der Zweckbindung personenbezogener Daten nach Art. 5 Abs. 1 Buchst. b) DSGVO
    • 3 Maßnahmen zur Gewährleistung der Betroffenenrechte nach Art. 13 ff. DSGVO
    info

    VVT Muster

    Eine unausgefüllte Musterseite für ein VVT für Verantwortliche nach Art. 4 Nr. 7 DSGVO finden Sie beispielsweise hier:

    https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_verantwortliche.pdf

    Eine vergleichbare Musterseite für Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO finden Sie beispielsweise hier:

    https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_auftragsverarbeiter.pdf

    Was muss der Aufsichtsbehörde vorgelegt werden?

    Bei einer Prüfung muss das gesamte VVT samt allen Dokumenten vorgelegt werden, auf die im Verzeichnis hingewiesen oder Bezug genommen wird. Es genügt nicht, nur einen Teil der Unterlagen vorzulegen, die Prüfung wird auch nicht auf bestimmte Prozesse beschränkt.

    Um der Rechenschaftspflicht der DSGVO vollständig nachzukommen, müssen Sie beispielsweise auch folgende Dokumente vorlegen:

    Nachweise über Einwilligungen in die Datenverarbeitung Art. 7. Abs. 1 DSGVO)

    Nachweise über die Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24. Abs.1 DSGVO)

    Ergebnis der Datenschutz-Folgenabschätzung nach Art. 35 Abs. 7 DSGVO

    Wie oft muss ich das VVT aktualisieren?

    Das Verzeichnis von Verarbeitungstätigkeiten kann nur mit detaillierter Kenntnis über die einzelnen Prozesse erstellt werden, hier wird sich der Datenschutzbeauftragte in einen intensiven Austausch mit den Prozessverantwortlichen begeben müssen.

    Zudem muss das Verzeichnis bei jeder Veränderung in den Prozessen sowie in regelmäßigen Abständen aktualisiert werden. Aus Gründen der Rechenschaftspflicht aus der DSGVO sollten die Vorversionen mindestens ein Jahr weit zurückverfolgt werden können.

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    Jörg ter Beek

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte
    [email protected]
    +49 251 29794740