Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art 30 DSGVO

Jeder, der für Datenverarbeitungen verantwortlich ist oder als Auftragsverarbeiter tätig ist, benötigt das Verzeichnis von Verarbeitungstätigkeiten. Die DSGVO gilt ausschließlich für personenbezogene Daten und verlangt dementsprechend, dass sämtliche Verarbeitungen der Daten auch dokumentiert werden müssen.

Ob es sich um die Erfassung, Speicherung oder Nutzung von Angestellten-Daten in einem Unternehmen handelt oder um die Verarbeitung von Kundeninformationen in einer Kundenkartei - all diese Vorgänge fallen unter den Begriff der Datenverarbeitung. Auch Webseitenbetreiber fallen in diese Kategorie, sofern sie IP-Adressen der Webseiten-Besucher erfassen oder E-Mail-Adressen oder andere personenbezogene Daten über ein Kontaktformular sammeln.

Zusammenfassend ergibt sich aus allen dokumentierten Datenverarbeitungen das Verarbeitungsverzeichnis.

Die Einhaltung der DSGVO-Pflichten betrifft alle Verantwortlichen und Auftragsverarbeiter, die ihren Sitz oder eine Niederlassung in Europa haben. Ebenso gilt dies für jene, die Daten verarbeiten, die der DSGVO unterliegen. Sollte der Verantwortliche oder Auftragsverarbeiter außerhalb der EU ansässig sein, so muss er einen Vertreter innerhalb Europas benennen, der für die Einhaltung der DSGVO-Pflichten verantwortlich ist – einschließlich der Verpflichtung zur Erstellung und Führung des Verarbeitungsverzeichnisses.

In Artikel 30, Absatz 5 der Datenschutzgrundverordnung (DSGVO) sind Ausnahmen definiert, die Unternehmen von der Verpflichtung befreien, ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Doch Vorsicht ist geboten, denn wer sich freut, dass die Regelung für Unternehmen mit weniger als 250 Mitarbeitern gilt, sollte genau hinsehen.

Denn diese Ausnahme greift nur dann, wenn die Verarbeitung nur gelegentlich stattfindet und keine sensiblen Daten gemäß Artikel 9, Absatz 1 der DSGVO verarbeitet werden - beispielsweise Gesundheitsdaten.

Es lohnt sich also, auch als kleines Unternehmen die Datenschutzregelungen genau zu prüfen und entsprechende Maßnahmen zu ergreifen.

Doch welche Bedeutung steckt hinter dem Wort "gelegentlich" im Kontext der Datenverarbeitung? In der heutigen Welt ist die Verarbeitung von Daten längst zur Regel geworden und nicht mehr nur eine gelegentliche Angelegenheit. Selbst Handwerker betreiben Webseiten und verwalten Kundentelefonnummern auf ihren Smartphones. Kleine Produktionsbetriebe führen Mitarbeiterdaten in elektronischen Akten und erledigen ihre Geschäfte per E-Mail.

All diese Prozesse sind mehr als bloße Gelegenheitsanwendungen und erfordern regelmäßig die Erstellung von Verfahrensverzeichnissen (VVT), selbst in kleinen Unternehmen.

Wenn man mit höchst vertraulichen Daten arbeitet, wie zum Beispiel ein Hausarzt, der Gesundheitsdaten aufbewahrt, oder eine kleine Beratungsstelle, die beispielsweise bei Diskriminierungsfällen unterstützt, können schnell auch Daten bezüglich ethnischer Herkunft oder weltanschaulicher Überzeugungen verarbeitet werden.

Für den Fall, dass besondere Datenkategorien verarbeitet werden, ist es unumgänglich, ein Verarbeitungsverzeichnis anzulegen - unabhängig davon, wie häufig die Verarbeitung stattfindet oder wie viele Mitarbeiter involviert sind.

Sobald eine Verarbeitung der Daten stattfindet, ist man gesetzlich dazu verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.  Laut der DSGVO findet eine Verarbeitung statt, sobald personenbezogene Daten manuell oder automatisch verarbeitet werden. Im Gesetz werden die Tätigkeiten sehr umfassend aufgezählt: 

[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung,
das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.

Der Verantwortliche trägt die persönliche Verantwortung für das Führen und Erstellen des Verarbeitungsverzeichnisses. Dies ist in der Praxis der Inhaber oder gesetzliche Vertreter eines Unternehmens. Falls das Unternehmen außerhalb der EU ansässig ist, ist der in der EU benannte Vertreter dafür zuständig.

Der Datenschutzbeauftragte oder externe Datenschutzbeauftragte des Unternehmens steht in allen datenschutzrelevanten Fragen mit Rat und Tat zur Seite. Die Geschäftsleitung, also der Geschäftsführer oder Inhaber, ist jedoch für das Verzeichnis von Verarbeitungstätigkeiten verantwortlich.

Insbesondere die Fachabteilungen müssen die Inhalte des Verzeichnisses, also welche Daten in welcher Abteilung verarbeitet werden, zur Verfügung stellen.

Außerhalb der Abteilungen fehlt oft das Detailwissen darüber, wie die Verarbeitung von Daten in bestimmten Bereichen durchgeführt wird. Daher ist das Verzeichnis von Verarbeitungstätigkeiten eine gemeinsame Aufgabe für das gesamte Unternehmen.

Sollte eine Aufsichtsbehörde nach einem Verarbeitungsverzeichnis, bzw. Verzeichnis von Verarbeitungstätigkeiten fragen und dieses nicht vorgelegt werden, kann dies schwerwiegende Konsequenzen haben. Gemäß Art. 83 Abs. 4 a DSGVO droht in diesem Fall ein Bußgeld.

Die Höhe der möglichen Sanktionen orientiert sich am Rahmen der DSGVO und kann bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes betragen.

Ein aktuelles Beispiel hierfür liefert die italienische Datenschutzaufsicht, die im September 2021 ein Bußgeld in Höhe von 800.000 Euro verhängte. Grund hierfür waren chaotische Datenflüsse bei den Betreiberunternehmen von Parkuhren, die zudem kein Verzeichnis von Verarbeitungstätigkeiten vorlegen konnten.

Ein solches Verhalten kann nicht nur finanzielle Strafen nach sich ziehen, sondern auch das Vertrauen von Kunden und Geschäftspartnern nachhaltig schädigen.

Laut Artikel 30 der Datenschutz-Grundverordnung ist es die Pflicht jedes Verantwortlichen, schriftliche Dokumentationen und Überblicke über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden.

Der Begriff "Verarbeitung" umfasst eine Vielzahl von Tätigkeiten, wie zum Beispiel das Sammeln, Speichern, Entfernen, Ändern, Verbinden, Abrufen oder Vergleichen von Daten. All diese Vorgänge werden in einem Verzeichnis erfasst.

Bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten erfasst man im ersten Schritt alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Bei folgenden Prozessen werden in der Regel in einem Unternehmen personenbezogene Daten verarbeitet, die Liste ist nicht vollständig:

• Elektronischer Zahlungsverkehr,
• Finanzbuchhaltung,
• Reisekostenabrechnung,
• E-Mail Kommunikation,
• Kalender- und Terminverwaltung,
• Verwendung von Bürosoftware (Microsoft Office, Open Office usw.),
• Verwendung von Cloud Diensten zur Speicherung (z.B. Dropbox, Google Drive, Microsoft Azure),
• Customer Relationship Management,
• Kontaktanfragen über Webformulare,
• Webtracking,
• Telefonanlage.

Das Verzeichnis der Verarbeitungstätigkeiten bietet eine umfassende Übersicht über die verschiedenen Verarbeitungsvorgänge innerhalb des Unternehmens. Es stellt darüber hinaus ein unverzichtbares Instrument dar, um sich schnell und einfach einen Einblick in die betrieblichen Abläufe zu verschaffen und zu evaluieren, ob diese dem aktuellen Stand der Technik entsprechen.

Die Identifikation von Strukturen ermöglicht es zudem, gezielt Bereiche zu identifizieren, die einer Überarbeitung bedürfen.

Neben der Beschreibung der Verarbeitungstätigkeit müssen u.A. Angaben zur verantwortlichen Person, gegebenenfalls den Datenschutzbeauftragten, Datum der Einführung der Verarbeitung sowie deren Rechtsgrundlage.

Finden Sie hier eine Mustervorlage für Ihr Verzeichnis der Verarbeitungstätigkeiten zum Download:

Herunterladen

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist schriftlich zu führen, wobei auch eine elektronische Variante wie eine Excel-Tabelle zulässig ist (Art. 30 Abs. 3 DSGVO). Betroffene Personen haben kein Recht auf Einsicht in das VVT und es muss auch nicht öffentlich zugänglich sein. Allerdings muss der Aufsichtsbehörde das VVT auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO).

Rechtsgrundlage

Zweck der Verarbeitung

Verantwortliche Abteilung

Datenkategorien

Art der personenbezogenen Daten

Löschfristen

Dabei kann die Behörde zwischen einer elektronischen oder gedruckten Version wählen. Die DSGVO legt keinen bestimmten Detaillierungsgrad des VVT fest, aber es sollte der Aufsichtsbehörde eine erste Prüfung erleichtern.

Daher empfiehlt es sich, die Informationen geordnet nach Verarbeitungskategorien bereitzuhalten. Das VVT sollte zudem in deutscher Sprache geführt werden, da andernfalls eine Übersetzung auf Anforderung der Behörde notwendig wäre (§ 23 Abs. 1 und Abs. 2 Satz 1 VwVfG).

Der Gesetzgeber hat vorgesehen, dass personenbezogene Daten unterschiedlich geschützt werden müssen, abhängig von ihrer Schutzbedürftigkeit. Es ist daher notwendig, einige Informationen strenger zu sichern als andere. Schließlich lassen sich aus der Augenfarbe eines Menschen andere Schlüsse ziehen als aus seiner Sozialversicherungsnummer. Diese Tatsache ist durchaus nachvollziehbar.

Es gibt verschiedene Kategorien von personenbezogenen Daten, die als beispielhaft genannt werden können:

• Kunden-, Lieferantenstammdaten,
• Mitarbeiterdaten,
• Nutzerdaten,
• Kommunikationsdaten,
• Vertragsdaten,
• Kontaktdaten,
• Metadaten,
• Patientendaten,
• Biometrische Daten.

Bevor Sie personenbezogene Daten verarbeiten, sollten Sie den Zweck so exakt wie möglich definieren. Wenn eine angemessene rechtliche Grundlage besteht und die Datenverarbeitung den geltenden gesetzlichen Bestimmungen entspricht, gilt der Zweck als legitim.

Sie sollten berücksichtigen, dass der Zweck bestimmt, welche Daten erhoben werden und wie lange sie gespeichert werden dürfen. Es existieren Ausnahmen für die Weiterverarbeitung von Daten für Archive, wissenschaftliche oder statistische Zwecke sowie im öffentlichen Interesse.

Bevor Unternehmen Daten erheben, sollten sie sicherstellen, dass eine Zweckbeschreibung für die betroffene Person vorliegt. Eine ehrliche Vorgehensweise erleichtert die Zustimmung, Akzeptanz und Verhinderung möglicher Datenschutzverletzungen.

Sollte der Zweck für die Verwendung personenbezogener Daten unzureichend oder gar nicht beschrieben sein, so besteht die Notwendigkeit, diese Daten zu löschen. Werden die Verantwortlichen in Unternehmen nicht an die Zweckbindung gebunden, so müssen sie damit rechnen, durch hohe Bußgelder belangt zu werden.

Sollten personenbezogene Daten für andere Zwecke verarbeitet werden, als zuvor vereinbart, bedarf es gemäß Art. 6 DSGVO einer neuen Erlaubnis. Gleiches gilt für die Übermittlung der Daten an Dritte.

In diesen Fällen ist es gemäß Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO erforderlich, dass die verantwortliche Person die betroffenen Personen informiert. Wenn eine Person beispielsweise für eine Angebotserstellung bestimmte Daten bereitstellt, ist es nicht zulässig, diese für den regelmäßigen Newsletter zu verwenden.

Sollte ein Drittlandtransfer anhand der genannten Kriterien festgestellt werden, so sind die spezifischen Vorgaben aus Kapitel V. der DSGVO zu erfüllen. Hierzu zählt die Verpflichtung des Datenexporteurs, den Datentransfer auf einem geeigneten Transfermechanismus zu basieren. Darüber hinaus sind sämtliche weiteren Bestimmungen der DSGVO vom Datenexporteur zu beachten. Neben einem angemessenen Transfermechanismus bedarf es also auch einer rechtlichen Grundlage für die Datenauslieferung sowie einer ausreichenden Information der betroffenen Person über den Drittlandtransfer.

Grundsätzlich gilt als zulässig der Transfer personenbezogener Daten in ein Drittland, sofern sämtliche Anforderungen der DSGVO erfüllt sind und die Bedingungen aus Kapitel V. der DSGVO erfüllt werden. Ein solcher Transfer bedarf der Umsetzung eines der Transfermechanismen, welche im Folgenden dargelegt sind:

Sollte kein Beschluss über die Angemessenheit vorliegen, ist es erforderlich, den Transfer von Daten in Drittländer durch geeignete Absicherungen gemäß Artikel 46 der Datenschutz-Grundverordnung zu schützen. Hierbei wird zwischen Garantien unterschieden, die für jeden Einzelfall von der zuständigen Aufsichtsbehörde ausdrücklich genehmigt werden müssen, und denen, für die eine solche Genehmigung nicht erforderlich ist. Die zweite Kategorie beinhaltet insbesondere folgende Garantien:

• Standarddatenschutzklauseln;
• verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR);
• genehmigte Verhaltensregeln;
• genehmigte Zertifizierungsmechanismen.

In der Praxis ist die Verwendung von Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer in Form von Standarddatenschutzklauseln (SCC) der am häufigsten genutzte Mechanismus. Allerdings bieten sich für den Transfer von Daten innerhalb eines Konzerns auch Binding Corporate Rules als geeigneter Transfermechanismus an. Die Genehmigung durch die zuständige Aufsichtsbehörde ist jedoch erforderlich und aufgrund des höheren Aufwands finden sie in der Praxis weniger häufig Anwendung.

Gemäß Artikel 45 der Datenschutz-Grundverordnung (DSGVO) ist es gestattet, personenbezogene Daten in ein Drittland zu übermitteln, sofern die Europäische Kommission feststellt, dass in diesem Land, Gebiet oder Sektor ein angemessenes Datenschutzniveau herrscht. Es gibt bereits Angemessenheitsbeschlüsse für Länder wie Japan, Kanada, Schweiz, Südkorea und Vereinigtes Königreich, welche auf der Website der Kommission abrufbar sind. In Bezug auf die USA gestaltet sich die Lage jedoch momentan etwas komplex.

Sofern kein Angemessenheitsbeschluss vorliegt und auch keine geeigneten Garantien für einen Datentransfer vorhanden sind, kann in speziellen Fällen auf den Artikel 49 der Datenschutz-Grundverordnung zurückgegriffen werden. Dieser ermöglicht unter anderem einen Transfer in ein Drittland, sofern die betroffene Person über die Risiken des Transfers informiert wurde und ihre Einwilligung erteilt hat oder wenn der Transfer zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen notwendig ist. Allerdings ist zu beachten, dass diese Ausnahmen lediglich in Einzelfällen Anwendung finden können und somit kein kontinuierlicher Transfer auf diesem Mechanismus basieren kann.