Verzeichnis von Verarbeitungstätigkeiten, das Herz der DSGVO

Die DSGVO schreibt eine umfassende Transparenz über die Verarbeitung von personenbezogenen Daten vor. Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert sämtliche Verarbeitungsprozesse der verantwortlichen Stellen.

Gemäß Art. 30 DSGVO ist von den verantwortlichen Stellen ein neues Verzeichnis von Verarbeitungstätigkeiten über alle Verarbeitungstätigkeiten personenbezogener Daten zu erstellen. Das Verzeichnis von Verarbeitungstätigkeiten ersetzt dabei das alte Verfahrensverzeichnis nach §4f Abs.2 BDSG. Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert sämtliche Verarbeitungsprozesse der verantwortlichen Stellen. Damit soll eine umfassende Transparenz über die Verarbeitung von personenbezogenen Daten hergestellt werden.

Das Herzstück der Datenschutz-Grundverordnung

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO ist das wichtigste Dokument im Bereich Datenschutz. Alle Unternehmen, die personenbezogene Daten verarbeiten, sind dazu verpflichtet, ihre Verarbeitungsprozesse in diesem Verzeichnis zu dokumentieren. Auf den ersten Blick scheint die DSGVO kleinere Unternehmen mit weniger als 250 Mitarbeitern von dieser Dokumentationspflicht zu befreien. Diese Befreiung gilt gemäß Art. 30 Abs. 5 jedoch nur im Fall der gelegentlichen personenbezogenen Datenverarbeitung. Auch wenn die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, sind Unternehmen mit weniger als 250 Mitarbeitern dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Derselbe Grundsatz gilt, wenn besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO, also Gesundheitsdaten, Angaben zur Religionszugehörigkeit, ethnischer Herkunft, usw. betroffen sind oder eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 DSGVO. Die Verpflichtung zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gilt darüber hinaus auch für Auftragsverarbeiter.

Jedes Unternehmen kann selbst über Form und Ausgestaltung des Verzeichnisses von Verarbeitungstätigkeiten (VVT) entscheiden. Diese Ausgestaltungs- und Formfreiheit bedeutet jedoch nicht, dass jedes Unternehmen auch über den Inhalt frei entscheiden kann (Art. 30 DSGVO). Wichtig ist jedoch, dass das Verzeichnis von Verarbeitungstätigkeiten und die einzelnen Dokumentationsschritte mit den Pflichtangaben aus sich heraus verständlich sind.

Idealerweise gibt das Verzeichnis von Verarbeitungstätigkeiten auf einen Blick preis, ob der Datenschutz in dem betreffenden Unternehmen rechtskonform aufgestellt ist. Dabei spielt es keine Rolle, ob das Verzeichnis von Verarbeitungstätigkeiten in Papierform geführt oder digital gespeichert wird. Aus Gründen der Effizienz empfiehlt sich jedoch ein elektronisches Verzeichnis von Verarbeitungstätigkeiten. Eine spezielle Datenschutz-Software oder ein Managementsystem für Informationssoftware bietet zahlreiche Vorteile und erleichtert die gesetzeskonforme Umsetzung.

Aufbau des Verzeichnisses von Verarbeitungstätigkeiten

Das Deckblatt enthält alle Angaben des betreffenden Unternehmens sowie die Kontaktdaten des benannten Datenschutzbeauftragten.

Der Hauptteil beschreibt die einzelnen Vorgänge der Datenverarbeitung. Die diesbezüglichen Geschäftsvorgänge der verantwortlichen Stelle, also des Unternehmens, werden analysiert und gemäß den Vorschriften der Datenschutz-Grundverordnung detailliert dokumentiert. Alle dokumentierten Prozessbeschreibungen bilden zusammen diesen Hauptteil.

Ein weiterer Teil beschreibt die technischen und organisatorischen Maßnahmen (TOM). Diese beinhalten den Aufbau der Gebäude- und IT-Sicherheit, Regelungen, Arbeitsanweisungen und Betriebsvereinbarungen, die dazu dienen ein adäquates Level der Datensicherheit gewährleisten.

Inhalt des Verzeichnisses von Verarbeitungstätigkeiten

Für jede Verarbeitungstätigkeit müssen nach Art. 30 Abs. 1 folgende Angaben in dem Verzeichnis aufgenommen werden: 

  • Zweck der Datenverarbeitung
  • Beschreibung der Kategorien und betroffenen Personen
  • Beschreibung der Empfänger, denen die personenbezogenen Daten zugänglich gemacht wurden
  • Wenn zutreffend, Übermittlung personenbezogener Daten in ein Drittland oder internationale Organisationen
  • Vorgesehene Fristen zur Löschung der personenbezogenen Daten und der entsprechenden Kategorien

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht öffentlich und muss auch nicht dem Betroffenen zugänglich gemacht werden. Lediglich die Datenschutzaufsichtsbehörden können das Verzeichnis anfordern. Sollten die Behörden dann feststellen, dass es nicht oder nicht ausreichend geführt ist, drohen Bußgelder, die im schlimmsten Fall bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes betragen können (Art. 84 DSGVO).

Tags
  • DSGVO
  • Datenschutz
  • Verarbeitungstätigkeit
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649 deutschlandweiter Service