Zu den Neuerungen der 2018 wirksam gewordenen Datenschutz-Grundverordnung (DSGVO) zählt das Verzeichnis von Verarbeitungstätigkeiten (VVT).

Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO: alle Infos und Tipps

Das Wichtigste in Kürze

  • Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) ist im Normalfall Pflicht.
  • Das erstmalige Erstellen ist mit Aufwand verbunden, erleichtert aber anschließend den Umgang mit personenbezogenen Daten im Unternehmen.
  • Das Verzeichnis liefert einen umfassenden Überblick über die Verarbeitung personenbezogener Daten im Unternehmen.
  • Die Weitergabe von personenbezogenen Daten in ein Drittland bedarf besonderer Sorgfalt.
  • Das Verzeichnis liefert einen Mehrwert, da es alle Vorgänge im Unternehmen auf den Prüfstand stellt.

In diesem Beitrag

Zu den Neuerungen der 2018 wirksam gewordenen Datenschutz-Grundverordnung (DSGVO) zählt das Verzeichnis von Verarbeitungstätigkeiten (VVT). Doch was verbirgt sich hinter diesem sperrigen Begriff? Und wer muss dieses Verzeichnis führen? Wir erklären Ihnen im Folgenden nicht nur, was in das VVT hineingehört – sondern zeigen Ihnen auch, warum in der Erstellung eine Chance liegen kann.

Was ist gemäß DSGVO ein Verzeichnis von Verarbeitungstätigkeiten?

Das Wichtigste zuerst: Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten ist vom Gesetzgeber im Rahmen der europäischen Datenschutz-Grundverordnung vorgeschrieben. Nach Artikel 30 DSGVO ist jeder Verantwortliche verpflichtet, diese schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden.

Der Begriff der Verarbeitung ist dabei weit gefasst: Dazu zählt unter anderem das Erheben, Speichern, Löschen, Verändern, Zusammenfügen, Auslesen oder Abgleichen von Daten. All das sind Prozesse, die in dem Verzeichnis erfasst werden.

Enthalten sein müssen im VVT Angaben zu den verarbeiteten Datenkategorien, Kontaktdaten der Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, dem Kreis der betroffenen Personen, der Zweck der Verarbeitung der personenbezogenen Daten und die jeweiligen Datenempfänger. Im besten Fall gilt es, Angaben zu den technischen und organisatorische Maßnahmen (TOM) und den vorgesehenen Löschfristen zu ergänzen. Ganz neu ist diese Art der Dokumentation nicht: Das Verzeichnis von Verarbeitungstätigkeiten löst das bisherige Verfahrensverzeichnis ab.

Das Verzeichnis von Verarbeitungstätigkeiten gibt schnell Auskunft darüber, welche Verarbeitungsvorgänge es im Unternehmen gibt. Außerdem hilft es generell dabei, sich einen Überblick über die Prozesse im Unternehmen zu verschaffen und zu ermitteln, ob diese noch zeitgemäß sind. Durch das Erkennen von Strukturen wird darüber hinaus klar, wo gegebenenfalls Änderungen notwendig sind.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Auf den ersten Blick scheint klar zu sein, wer gemäß DSGVO ein Verzeichnis von Verarbeitungstätigkeiten führen muss. Der Gesetzgeber definiert in Art. 30 (5) DSGVO, dass Unternehmen mit weniger als 250 Mitarbeitern nicht verpflichtet sind, ein Verzeichnis zu führen. Es sei denn, eine der folgenden drei Ausnahmen trifft zu:

  1. Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen.
  2. Die Verarbeitung erfolgt nicht nur gelegentlich, sondern regelmäßig.
  3. Die Verarbeitung umfasst besondere Datenkategorien, zum Beispiel Gesundheitsdaten, Informationen zur Religion oder politischen Meinungen.

Eine dieser Ausnahmen ist fast immer gegeben: Denn die meisten Unternehmen führen zum Beispiel eine Personalakte. In der werden eine ganze Reihe von personenbezogener Daten der Mitarbeiter gespeichert, gelesen, verändert oder gelöscht und somit verarbeitet. Das bedeutet, dass eigentlich jeder ein Verzeichnis führen muss – unabhängig von der Größe des Unternehmens.

Wer darf in das Verzeichnis von Verarbeitungstätigkeiten Einsicht nehmen?

Das Verzeichnis von Verarbeitungstätigkeiten ist nicht öffentlich. Das heißt, es ist nicht jedem zugänglich und muss auch Betroffenen nicht auf Verlangen zugänglich gemacht werden. Einsicht nehmen dürfen der Datenschutzbeauftragte, der bereits bei der VVT-Erstellung eine wichtige Rolle spielt, sowie das Management des Unternehmens. Darüber hinaus ist das VVT den Aufsichtsbehörden auf Verlangen vorzulegen.

Was passiert, wenn ich kein Verzeichnis habe?

Wenn Sie kein Verzeichnis von Verarbeitungstätigkeiten führen, wird die Aufsichtsbehörde bei einer Prüfung den Grund dafür wissen wollen. Wer zudem schon einmal gegen eine Auflage oder eine Verpflichtung im Rahmen der DSGVO verstoßen hat, dem drohen in diesem Fall nicht unerhebliche Bußgelder.

In manchen Fällen wird die Behörde Ihnen die Möglichkeit geben, das Verzeichnis von Verarbeitungstätigkeiten innerhalb von zwei bis drei Wochen nachzureichen – verlassen sollten Sie sich darauf aber lieber nicht.

Wie sollte ein Verzeichnis von Verarbeitungstätigkeiten aufgebaut sein?

Prinzipiell sind Sie im Aufbau Ihres Verzeichnisses frei. Es gibt keine vorgegebene Form oder Formulare, die einfach ausgefüllt werden. Dennoch gilt es, bestimmte Mindestanforderungen zu erfüllen.

Hier ein grober Musteraufbau:

  • Deckblatt: Das Deckblatt nennt das betreffende Unternehmen sowie die Kontaktdaten des Datenschutzbeauftragten. Zudem stehen dort Informationen über die Kontaktdaten des Verantwortlichen sowie etwaige mit Ihm gemeinsame Verantwortliche.
  • Hauptteil: Hier werden alle Vorgänge der Datenverarbeitung einzeln beschrieben, analysiert und dokumentiert.
  • Technische und organisatorische Maßnahmen (TOM): Dies ist die Darstellung der Gebäude- und IT-Sicherheit, der Regelungen, Arbeitsanweisungen und Betriebsvereinbarungen, die für einen adäquaten Stand der Datensicherheit sorgen. Diese sind in der Regel bereits gesondert dokumentiert und können dem VVT einfach beigelegt werden.

Einige Landesdatenschutzbehörden bieten Muster an, die sehr übersichtlich sind und gut als erster Anhaltspunkt verwendet werden können. Besonders hervorzuheben ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), welches sehr übersichtliche Vorlagen für kleine und mittelständische Unternehmen sowie Vereine zur Verfügung stellt.

Welche Angaben muss das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO enthalten?

Zweck

Zuerst sollten Sie darauf eingehen, zu welchem Zweck Sie persönliche Daten verarbeiten. Nehmen Sie zum Beispiel das Führen einer Personalakte – das wäre der Zweck. Sie müssen die Kontaktdaten des Verantwortlichen angeben, also wer genau die Daten verarbeitet. Dabei kann es auch gemeinsame Verantwortliche geben.

Datenkategorien und betroffene Personen

Essenziell ist die Angabe der Datenkategorien und der betroffenen Personen. Bei einer Personalakte ist die „betroffene Person“ z. B. der Beschäftigte. Bei den Datenkategorien handelt es sich um die Art der Informationen, die im Fall von Beschäftigten z. B. zur ordnungsgemäßen Durchführung des Beschäftigungsverhältnisses benötigt werden, wie Vor- und Nachname, Sozialversicherungsnummer, Kirchensteuermerkmal, Krankenkasse etc.

Empfänger

Sie müssen auch die Empfänger der Daten benennen. Empfänger sind die Personen, die Zugriff auf die verarbeiteten personenbezogenen Daten haben, diese also einsehen können. Das ist bei Beschäftigten z. B. vermutlich jeder, der in der Personalabteilung arbeitet, ein beauftragtes Lohn- oder Steuerbüro sowie darüber hinaus natürlich die Geschäftsführung, auch wenn diese vielleicht keinen Gebrauch von dieser Möglichkeit macht.

Fristen zur Löschung

Eine weitere Pflichtangabe sind die Fristen zur Löschung der personenbezogenen Daten und der entsprechenden Kategorien. Bei einer Personalakte ist klar, dass diese solange geführt wird, wie das Arbeitsverhältnis besteht. Die Frage ist: Was passiert danach? Weitere Informationen dazu finden Sie im Beitrag zum Löschkonzept gemäß DSGVO. Generell lässt sich dabei sagen, dass Sie immer Fristen angeben sollten.

Was ist bei der Datenverarbeitung in einem Drittland zu beachten?

Wenn die Daten in einem Drittland verarbeitet werden – ob intern im Unternehmen oder von einem externen Dienstleister –, müssen Sie den Empfänger ausnahmsweise konkret namentlich benennen. Eine Nennung der Kategorie – wie z. B. IT-Administrator – reicht also nicht aus.

Dabei ist zu prüfen, ob für das Drittland ein Angemessenheitsbeschluss (nach Art. 45 DSGVO) oder geeignete Garantien (nach Art. 46 DSGVO) vorliegen. Dadurch soll das Datenschutzniveau auch in diesen Fällen gewährleistet werden.

Wie kann der Datenschutzbeauftrage bei der Erstellung des Verzeichnisses unterstützen

Der Datenschutzbeauftragte kann im Wesentlichen zwei Wege beschreiten, um das Verzeichnis von Verarbeitungstätigkeiten zu erstellen:

1. Sich selbst ein Bild machen

Der Datenschutzbeauftragte sollte sich zuerst selbst einen Einblick in alle Prozesse verschaffen. Dazu hat er die Befugnis und ihm muss dabei auch Auskunft erteilt werden. Am besten kontaktiert er jede Abteilung und lässt sich dort den Umgang mit personenbezogenen Daten erklären. Mögliche Standardfragen dabei lauten unter anderem: „Was macht ihr genau?“, „Wer arbeitet hier?“, „Welche Programme nutzt ihr?“ oder: „Von wem bekommt ihr die Daten und wo schickt ihr sie anschließend hin?“

2. Gezielt Unterstützung anfordern

Natürlich kann der Datenschutzbeauftragte die einzelnen Abteilungen auch um Mithilfe und Aufbereitung der Informationen bitten. Er muss sicher nicht mit jedem Mitarbeiter einzeln sprechen. Ziel ist, dass er einen detaillierten Überblick über das Geschehen im Unternehmen und die Verarbeitung der Daten erhält. Dabei kann es sinnvoll sein, sich von externen Beratern unterstützen zu lassen, da diese vorhandene Prozesse oft genauer hinterfragen, gängige Problemfelder kennen und außerdem nicht „betriebsblind“ sind und Problemfelder kennen.

Verzeichnis von Verarbeitungstätigkeiten: großer Aufwand oder große Chance?

Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten ist aufwendig – das fertige Dokument kann schon mal 80 Seiten lang werden. Aber das sollte Sie nicht abschrecken. Denn viele Dokumente, die bereits vorliegen, müssen nicht neu erstellt werden, sondern fließen in das Verzeichnis mit ein, wie zum Beispiel das Datenschutzkonzept oder die technischen und organisatorischen Maßnahmen.

Chancen nutzen – Prozesse auf den Prüfstand stellen

Außerdem sollte der Blick statt auf den Aufwand eher darauf gerichtet werden, welche Chancen sich durch die Erstellung bieten. Denn durch das VVT sind Sie gezwungen, sich alle Prozesse im Unternehmen einmal zu vergegenwärtigen. Für manche Unternehmen ist es das erste Mal, dass sie genau hinschauen, wie eigentlich personenbezogene Daten im Betrieb verarbeitet werden.

Dieser genaue Blick gibt Ihnen deshalb die Chance, Ihre Prozesse zu hinterfragen und zu optimieren. Sind die Prozesse noch zeitgemäß, oder wird etwas nur so gemacht, weil es immer schon so gemacht wurde? Vielleicht finden Sie also durch das VVT heraus, dass der eine oder andere Empfänger von Daten diese gar nicht braucht, oder dass ein bestimmter Prozess ineffizient ist.

Gut gerüstet für alles, was kommt

Wenn Sie das Verzeichnis von Verarbeitungstätigkeiten erstellt haben, werden Sie genau wissen, wie und welche personenbezogenen Daten in Ihrem Unternehmen verarbeitet werden. Zum Beispiel können dadurch Betroffenenanfragen schneller geklärt werden. So haben Sie das Verzeichnis immer in der Schublade, wenn die Aufsichtsbehörde anklopft. Ein weiterer Vorteil ist, dass Sie die aufbereiteten Informationen nur noch aktualisieren müssen, wenn sich Ihre Verarbeitungsvorgänge ändern sollten.

Fazit

Das Verzeichnis der Verarbeitungstätigkeiten ist Pflicht. Natürlich macht es erst einmal viel Arbeit, bietet dann aber auch einen gewissen Mehrwert. Es liefert die vorgeschriebene Zusammenfassung und Sie entwickeln eine Sensibilität für den Umgang mit personenbezogenen Daten. Es dient daher letztendlich nicht nur der Nachweispflicht gegenüber den Behörden.

Über den Autor

Boris Otterbach

Mit dem Thema Datenschutz kam der Jurist Boris Otterbach schon während seines Studiums in Berührung, wo er sich intensiv mit Europarecht und Menschrechtsschutz befasste: „Datenschutz ist ein Menschenrecht. Die DSGVO hilft dabei, dass wir gemeinsame europäische Rahmenbedingungen schaffen, damit wir alle den gleichen Schutz erfahren. Diese gesetzlichen Rahmen müssen mit pragmatischen, alltagsfähigen Lösungen befüllt werden.“ Der Einstieg in den Datenschutz war für ihn der nächste logische Schritt: Heute unterstützt er KMUs aus den Bereichen Personalwesen, Hotel und Gastronomie dabei, Datenschutz im Alltag umzusetzen – und räumt nebenbei mit Mythen rund um das Thema DSGVO auf. Auch privat stellt er sich gern neuen Herausforderungen – zum Beispiel beim Bouldern, wo er mit Konzentration, Geschick und Körperbeherrschung die Kletterwand erklimmt.

Weitere Beiträge von Boris Otterbach

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service