Was ist das Verarbeitungsverzeichnis?
Hinter dem wenig attraktiven Begriff „Verzeichnis von Verarbeitungstätigkeiten“, auch Verarbeitungsverzeichnis genannt, verbirgt sich ein wesentliches Element der in Artikel 5 Abs. 2 DSGVO beschriebenen Rechenschaftspflicht. Das Verzeichnis von Verarbeitungstätigkeiten ist damit ein wichtiger Bestandteil der Aufgabenerfüllung des Datenschutzbeauftragten nach Art. 39 DSGVO.
In diesem Verzeichnis werden alle Tätigkeiten und Vorgänge im Unternehmen aufgelistet, bei denen personenbezogene Daten verarbeitet werden.
Muss ich ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen?
Alle Unternehmen über 250 Mitarbeitern sowie alle kleinere Unternehmen, die regelmäßig oder besonders schützenswerte personenbezogene Daten (besonders sensible Daten wie z.B. Gesundheitsdaten oder Daten, bei denen ein Risiko für die Rechte und Freiheiten Betroffener besteht) verarbeiten, müssen ein solchen Verzeichnis führen und der Aufsichtsbehörde auf Anfrage vorlegen (Art. 30 Abs. 4 DSGVO und ErwGr. 82).
Faktisch dürften nahezu alle Unternehmen, aber auch Selbstständige, Handwerker und Praxen dazu verpflichtet sein, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Denn zu den regelmäßigen Datenverarbeitungsvorgängen gehören auch der Webshop, die Lohnabrechnung, das Führen von Personalakten, das Verwalten einer Kundendatenbank oder der Versand von Newslettern.
Sollte Ihr Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten führen, obwohl es dazu verpflichtet ist, oder können Sie es auf Anfrage der Aufsichtsbehörde nicht vollständig vorlegen, droht ein Bußgeld von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes.
Erfahren Sie, wie ein Datenschutzaudit durchgeführt wird und was zu beachten ist.
Unsere TÜV-zertifizierten Datenschutzbeauftragten unterstützen Sie bei der Umsetzung eines praxistauglichen Datenschutzkonzepts.
Die Umsetzung des Datenschutzes – erfahren Sie, worauf Sie dabei achten müssen.
Was beinhaltet ein VVT nach Art. 30 DSGVO?
In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a.
- die Datenkategorien
- der Kreis der betroffenen Personen
- der Zweck der Verarbeitung
- die Datenempfänger
Art. 30 EU-DSGVO und § 70 BDSG schreibt vor, wie dieses Verzeichnis mindestens zu enthalten hat und dass es schriftlich zu führen ist – was auch eine elektronische Erstellung etwa in einer Tabellenkalkulation zulässt. Die anfordernde Behörde kann wahlweise die Datei oder einen Ausdruck verlangen. Der Gesetzgeber unterscheidet zwischen
dem Verantwortlichen, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO).
dem Auftragsverarbeiter, der die Datenverarbeitung konkret durchführt, aber keine Entscheidungsbefugnis über die Daten hat (Art. 4 Nr. 8 DSGVO).
Beide müssen jeweils ein Verzeichnis von Verarbeitungstätigkeiten in deutscher Sprache bzw. deutscher Übersetzung führen und auf Verlangen unverzüglich in deutscher Sprache vorlegen können.
Das Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen muss nach Art. 30 Abs. 1 DSGVO enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen (z. B. Unternehmen) mit Anschrift, seiner Vertretungsberechtigten sowie eines etwaigen Datenschutzbeauftragten
- die Zwecke der Verarbeitung der personenbezogenen Daten
- eine Beschreibung der Kategorien betroffener Personen (z. B. Lieferanten, Beschäftigte, Bewerber, Kunden, Minderjährige) und der Kategorien personenbezogener Daten (z. B. Adress-, Finanz-, Gesundheits-, Kontaktdaten)
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z. B. bei Lohn- und Gehaltsabrechnung: Banken, Sozialversicherungsträger, Finanzamt)
- die Rechtsgrundlage der Verarbeitung
- ggf. der Einsatz von Profiling
- die Kategorien von Empfängern oder internationalen Organisationen im Nicht-EU-Ausland, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, samt Dokumentation geeigneter Garantien für die Datenübermittlung
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Aufbewahrungsfristen beachten!)
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten Daten und der Informationssicherheit gemäß Artikel 32 Absatz 1 DSGVO
Das Verzeichnis von Verarbeitungstätigkeiten des Aufrtragsverarbeiters muss nach Art. 30 Abs. 2 DSGVO enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen (z. B. Unternehmen) mit Anschrift, seiner Vertretungsberechtigten sowie eines etwaigen Datenschutzbeauftragten
- die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
- die Kategorien von Empfängern oder internationalen Organisationen im Nicht-EU-Ausland, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, samt Dokumentation geeigneter Garantien für die Datenübermittlung
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten Daten und der Informationssicherheit gemäß Artikel 32 Absatz 1 DSGVO
Wie erstelle ich ein VVT?
Das Verzeichnis soll alle Datenströme und Verarbeitungen personenbezogener Daten im Unternehmen transparent machen.
Ein erster Schritt hierfür könnte sein, das Unternehmen im Vorfeld in organisatorische Bereiche einzuteilen, um das Verzeichnis gut nachvollziehbar zu gliedern, und dann jeden Bereich nacheinander abzuarbeiten.
In einem zweiten Schritt werden dann alle im jeweiligen Bereich eingesetzten Anwendungen aufgelistet, die personenbezogene Daten speichern oder verarbeiten.
In einem dritten Schritt werden dann die Standardvorgänge im Unternehmen, bei denen personenbezogene Daten verarbeitet werden, im Detail nachvollzogen und zu jedem Verarbeitungsschritt der Datenverarbeiter, die Art und das Ziel der Verarbeitung sowie die Datenschutzmaßnahmen benannt. Hierbei müssen auch automatisierte Verarbeitungen sowie die Nutzung externer Datenverarbeiter (z. B. Google) erfasst werden.
Was sind eigentlich personenbezogene Daten?
Bei personenbezogenen Daten handelt es sich vereinfacht gesagt um Einzelangaben zu einer Person, die Rückschlüsse auf persönliche oder sachliche Verhältnisse oder bestimmbare Daten zulassen.
Darunter fallen beispielsweise:
Persönliche Verhältnisse | Sachliche Verhältnisse | Bestimmbare Daten |
|---|---|---|
Vor- und Nachname, Alter, Familienstand | Gehalt, Vermögen | Geolokalisierung, Standort- und Bewegungsdaten |
Adressdaten, Telefonnummer, Mailadresse | Eigentum (Haus, Wohnung, Auto etc.) | Personalausweisnummer, Sozialversicherungsnummer |
Gesundheitsdaten, genetische Daten | Schulden | Kfz-Kennzeichen, Kraffahrzeugnummer
|
Um doppelte Dokumentationen und damit erhöhten Pflegeaufwand zu vermeiden, darf im Verzeichnis von Verarbeitungstätigkeiten auch auf andere DSGVO-Dokumente hingewiesen werden.
So könnte das Verzeichnis beispielsweise eine Schadensrisikoeinschätzung beinhalten und darin etwa auf die detaillierte Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten Daten und der Informationssicherheit gemäß Artikel 32 Absatz 1 DSGVO verwiesen werden. An anderer Stelle könnten Verweise auf das Datenschutzkonzept, die Datenschutz-Folgenabschätzung nach Art. 35 Abs. 7 DSGVO oder das Löschkonzept eingebunden werden.
Die Dokumente, auf die verwiesen wird, müssen bei einer Anforderung des Verzeichnisses von Verarbeitungstätigkeiten mit vorgelegt werden. Zudem hilft das Verzeichnis in Fällen, in denen betroffene Personen ihr Auskunftsrecht nach Art. 12 Abs. 1 DSGVO ausüben, den Informationspflichten vollständig nachzukommen.
Wie sieht ein VVT (Muster) aus?
Da das Verzeichnis von Verarbeitungstätigkeiten alle Verarbeitungstätigkeiten personenbezogener Daten im gesamten Unternehmen beschreiben muss, wird es sich zumeist aus einer ganzen Reihe von Prozessbeschreibungen zusammensetzen müssen.
Empfohlen wird daher zumeist, es in Form eines „Loseblattwerkes“ zu führen, also für jeden Prozess der Verarbeitung personenbezogener Daten ein eigenes Formblatt auszufüllen und diese dann zum gesamten Verzeichnis zusammenzuführen. Je Beschreibung einer Verarbeitungstätigkeit ist im Vorhinein
- der Verarbeitungszweck
- die Kategorien betroffener Personen
- die Kategorien der personenbezogenen Daten
- die Kategorien von unternehmensexternen Empfängern bzw. Zugriffsberechtigten
- Empfänger in Drittländern und internationale Organisationen (namentlich)
- Maßnahmen zur Datensicherheit, ggf. Pseudonymisierung oder Verschlüsselung personenbezogener Daten und technische Sicherung des verarbeitenden Systeme
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der beschriebenen Prozesse festzulegen und zu dokumentieren
Empfohlen wird, den einzelnen Prozessbeschreibungen folgende Informationen hinzuzufügen:
- Maßnahmen zur Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen nach Art. 5 Abs. 1 Buchst. a) DSGVO
- Gewährleistung der Zweckbindung personenbezogener Daten nach Art. 5 Abs. 1 Buchst. b) DSGVO
- Maßnahmen zur Gewährleistung der Betroffenenrechte nach Art. 13 ff. DSGVO
VVT Muster
Eine unausgefüllte Musterseite für ein VVT für Verantwortliche nach Art. 4 Nr. 7 DSGVO finden Sie beispielsweise hier:
https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_verantwortliche.pdf
Eine vergleichbare Musterseite für Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO finden Sie beispielsweise hier:
https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_auftragsverarbeiter.pdf
Was muss der Aufsichtsbehörde vorgelegt werden?
Bei einer Prüfung muss das gesamte VVT samt allen Dokumenten vorgelegt werden, auf die im Verzeichnis hingewiesen oder Bezug genommen wird. Es genügt nicht, nur einen Teil der Unterlagen vorzulegen, die Prüfung wird auch nicht auf bestimmte Prozesse beschränkt.
Um der Rechenschaftspflicht der DSGVO vollständig nachzukommen, müssen Sie beispielsweise auch folgende Dokumente vorlegen:
- Nachweise über Einwilligungen in die Datenverarbeitung Art. 7. Abs. 1 DSGVO)
- Nachweise über die Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24. Abs.1 DSGVO)
- Ergebnis der Datenschutz-Folgenabschätzung nach Art. 35 Abs. 7 DSGVO
Wie oft muss ich das VVT aktualisieren?
Das Verzeichnis von Verarbeitungstätigkeiten kann nur mit detaillierter Kenntnis über die einzelnen Prozesse erstellt werden, hier wird sich der Datenschutzbeauftragte in einen intensiven Austausch mit den Prozessverantwortlichen begeben müssen.
Zudem muss das Verzeichnis bei jeder Veränderung in den Prozessen sowie in regelmäßigen Abständen aktualisiert werden. Aus Gründen der Rechenschaftspflicht aus der DSGVO sollten die Vorversionen mindestens ein Jahr weit zurückverfolgt werden können.
Als externer Datenschutzbeauftragter und Beratungsdienstleister erstellen und prüfen wir Ihre VVT.
Rechtskonformes VVT erstellen lassen
Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
Als Beratungsdienstleister und externer Datenschutzbeauftragter erstellen und prüfen wir VVTs für Ihr Unternehmen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich
