Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der DSGVO

Was ist das Verzeichnis von Verarbeitungstätigkeiten?

Die Datenschutzgrundverordnung verpflichtet Unternehmen nach Art. 30 EU-DSGVO dazu, schriftliche Dokumentationen und Übersichten über Prozesse zu führen, in denen personenbezogene Daten verwendet werden.

In dem Verzeichnis von Verarbeitungstätigkeiten (VVT) sollen die wesentlichen Angaben zur Datenverarbeitung aufgeführt werden.

Das VVT ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG).

Wen trifft die Pflicht ein VVT zu erstellen?

Sobald ein Unternehmen, egal welcher Größe, personenbezogene Daten verarbeitet, müssen die dabei benutzen Verfahren bzw. Prozesse im Verzeichnis von Verarbeitungstätigkeiten erfasst werden. Ab einer Unternehmensgröße von 20 Mitarbeitern, muss ein Datenschutzbeauftragter bestellt werden, der die Umsetzung des Verzeichnisses federführend umsetzt.

Das heißt also, dass grundsätzlich alle Prozesse, die mit Daten dieser Art zu tun haben, in der Liste der Verarbeitungsaktivität aufgeführt werden müssen.

Gesetzliche Grundlagen

Sobald eine Verarbeitung der Daten stattfindet, ist man gesetzlich dazu verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Laut der DSGVO findet eine Verarbeitung statt, sobald personenbezogene Daten manuell oder automatisch verarbeitet werden. Im Gesetz werden die Tätigkeiten sehr umfassend aufgezählt:

[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung,
das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.

Wann ist man von der Pflicht befreit?

Es gibt eine eingeschränkte Ausnahme, wenn es um die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten geht.

Diese Ausnahme wird bei Einrichtungen mit weniger als 250 Mitarbeitern geltend gemacht (Art. 30 Abs. 5 DSGVO). Folgende Einschränkungen gibt es bei dieser Ausnahme:

Die Verarbeitung darf nur gelegentlich erfolgen.
Es darf kein Risiko für Rechte und Freiheiten der betroffenen Personen bestehen (z. B. Videoüberwachung).
Es darf keine Verarbeitung von personenbezogenen Daten der besonderen Kategorien nach Art. 9 DSGVO erfolgen (z. B. Gesundheitsdaten).

Wegen dieser Einschränkungen ist es für die meisten Unternehmen mit weniger als 250 Mitarbeitern kaum möglich, sich von der Pflicht befreien zu können.

Die meisten Verarbeitungstätigkeiten erfolgen auch bei kleineren Unternehmen eher regelmäßig, wie beispielsweise das Führen von Personalakten, der Versand von Newslettern oder das Verwalten einer Kundendatenbank. Das Resultat daraus ist also, dass in den meisten Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten erforderlich ist.

Welche Inhalte gehören in das Verzeichnis von Verarbeitungstätigkeiten?

Die genauen Inhalte des Verzeichnisses von Verarbeitungstätigkeiten sind in Art. 30 DSGVO niedergeschrieben. Die dort festgehaltenen Inhalte ähneln im Wesentlichen dem bisherigen Verfahrensverzeichnis nach § 4g Abs. 2, 4e BDSG.

Ähnlich wie beim Verfahrensverzeichnis müssen auch im Verzeichnis von Verarbeitungstätigkeiten alle wesentlichen Angaben zur Verarbeitung, wie die Datenkategorien, der Zweck der Verarbeitung, die Datenempfänger oder die betroffenen Personen enthalten sein. Wer die Führung des Verzeichnisses von Verarbeitungstätigkeiten übernimmt, und wie detailliert es sein muss, sollte sich an der Unternehmensgröße, dem Aufbau und der Komplexität orientieren.

Um den ganzen Prozess etwas zu vereinfachen, ist es durchaus erlaubt, verschiedene Verarbeitungen gebündelt in einem Eintrag zu führen.

Das Verzeichnis von Verarbeitungstätigkeiten sollte sowohl mit der Arbeitsweise und den Anforderungen des Datenschutzbeauftragten übereinstimmen als auch den Anforderungen der Rechenschaftspflicht nach Art. 5 Abs 2. DSGVO genügen. Die folgenden Inhalte gehören zwingend in das Verzeichnis:

Die Kontaktdaten des/r Verantwortlichen
Beschreibung der betroffenen Personen
Die Kontaktinformationen des Datenschutzbeauftragten
Die beabsichtigte Übermittlung von personenbezogenen Daten in ein Drittland außerhalb der EU/EWR
Der Zweck der Verarbeitung
Beschreibung der Kategorien der personenbezogenen Daten, die verarbeitet werden
Löschfristen der verschiedenen Datenkategorien

Kategorien vom Empfänger (z. B. Auftragsverarbeiter, Mutterkonzern), einschließlich der in Drittländern
Soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO

Was passiert bei einem nicht vorhandenem oder unvollständigem VVT?

Weshalb ein Verzeichnis von Verarbeitungstätigkeiten so wichtig ist, erklärt sich schnell, wenn man einen Blick in den Artikel 83 der DSGVO wirft.

In diesem Artikel wird bei fehlender bzw. nicht vollständiger Führung oder Nichtvorlage des Verzeichnisses von Verarbeitungstätigkeiten, also einem Verstoß gegen Artikel 30 DSGVO, ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes angedroht.

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen. Unter eine schriftliche Aufzeichnung fallen auch elektronische Formate wie beispielsweise eine Excel-Tabelle oder ein Worddokument. Dies kann sowohl in einem einzigen Dokument umgesetzt werden oder Sie bauen eine Ordnerstruktur auf, die Ihr Datenschutzmanagement abbildet. Neben den klassischen Office Tools bieten sich sogenannte Datenschutzmanagement Software (DSMS) wie z.B. die von Intervalid an.

Die Aufsichtsbehörde entscheidet in den meisten Fällen selbst, ob sie das VVT in digitaler oder ausgedruckter Form verlangen. Das VVT muss außerdem in der deutschen Sprache geführt werden.