Verzeichnis von Verarbeitungstätigkeiten

Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.

Was ist das Verzeichnis von Verarbeitungstätigkeiten? 

Die Datenschutzgrundverordnung verpflichtet Unternehmen nach Art. 30 EU-DSGVO dazu, schriftliche Dokumentationen und Übersichten über Verfahren zu führen, in denen personenbezogene Daten verwendet werden.  

In dem Verzeichnis von Verarbeitungstätigkeiten (VVT) sollen die wesentlichen Angaben zur Datenverarbeitung aufgeführt werden.  

Das VVT ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG).  

Wen trifft die Pflicht ein VVT zu erstellen? 

Sobald man in Kontakt mit Menschen ist und deren Daten verarbeitet, ist man von der DSGVO betroffen und muss ein Verzeichnis von Verarbeitungstätigkeiten führen 

Das heißt also, dass grundsätzlich alle Prozesse, die mit Daten dieser Art zu tun habenin die Liste der Verarbeitungsaktivität aufgezeichnet werden müssen. 

Wer im Unternehmen ist zur Führung des VVT verpflichtet? 

In einem Unternehmen ist laut des Gesetzes immer der Verantwortliche verpflichtet, das Verfahrensverzeichnis aufzustellen und zu pflegen. Demnach ist es in einem Einzelunternehmen beispielsweise der InhaberBei einer GmbH wäre es der Vertretungsberechtigte, also der bzw. die Geschäftsführer 

Jedoch wird diese Aufgabe in der Praxis oft auf den Datenschutzbeauftragten übertragen, wenngleich die Verantwortung bei dem Verantwortlichen bleibtDer Verantwortliche ist auch derjenige, der das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss. 

Gesetzliche Grundlagen 

Sobald eine Verarbeitung der Daten stattfindet, ist man gesetzlich dazu verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.  Laut der DSGVO findet eine Verarbeitung statt, sobald personenbezogene Daten manuell oder automatisch verarbeitet werden. Im Gesetz werden die Tätigkeiten sehr umfassend aufgezählt: 

[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung,
das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.

Durch diese Vorschriften, sind jede Menge Unternehmen dazu verpflichtet ein Verzeichnis zu führenselbst wenn keine automatische Verarbeitung erfolgt 

Die DSGVO gilt für alle EU-Bürger, heißt also, selbst wenn der Mutterkonzern in den USA sitzt, ist die DSGVO anwendbar. 

Wann ist man von der Pflicht befreit? 

Es gibt eine eingeschränkte Ausnahme, wenn es um die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten geht.  

Diese Ausnahme wird bei Einrichtungen mit weniger als 250 Mitarbeitern geltend gemacht (Art. 30 Abs. 5 DSGVO). Folgende Einschränkungen gibt es bei dieser Ausnahme:

Die Verarbeitung darf nur gelegentlich erfolgen.

Es darf kein Risiko für Rechte und Freiheiten der betroffenen Personen bestehen (z. B. Videoüberwachung).

Es darf keine Verarbeitung von personenbezogenen Daten der besonderen Kategorien nach Art. 9 DSGVO erfolgen (z. B. Gesundheitsdaten).

Wegen dieser Einschränkungen ist es für die meisten Unternehmen mit weniger als 250 Mitarbeitern kaum möglich, sich von der Pflicht befreien zu können 

Die meisten Verarbeitungstätigkeiten erfolgen auch bei kleineren Unternehmen eher regelmäßig, wie beispielsweise das Führen von Personalakten, der Versand von Newslettern oder das Verwalten einer KundendatenbankDas Resultat daraus ist also, dass in den meisten Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten erforderlich ist. 

Welche Inhalte gehören in das Verzeichnis von Verarbeitungstätigkeiten? 

Die genauen Inhalte des Verzeichnisses von Verarbeitungstätigkeiten sind in Art. 30 DSGVO niedergeschrieben.  Die dort festgehaltenen Inhalte ähneln im Wesentlichen dem bisherigen Verfahrensverzeichnis nach § 4g Abs. 2, 4e BDSG 

Ähnlich wie beim Verfahrensverzeichnis müssen auch im Verzeichnis von Verarbeitungstätigkeiten alle wesentlichen Angaben zur Verarbeitung, wie die Datenkategorien, der Zweck der Verarbeitung, die Datenempfänger oder die betroffenen Personen enthalten sein. Wer die Führung des Verzeichnisses von Verarbeitungstätigkeiten übernimmt, und wie detailliert es sein muss, sollte sich an der Unternehmensgröße, dem Aufbau und der Komplexität orientieren. 

Um den ganzen Prozess etwas zu vereinfachen, ist es durchaus erlaubtverschiedene Verarbeitungen gebündelt in einem Eintrag zu führen 

Das Verzeichnis von Verarbeitungstätigkeiten sollte sowohl mit der Arbeitsweise und den Anforderungen des Datenschutzbeauftragten übereinstimmen als auch den Anforderungen der Rechenschaftspflicht nach Art. 5 Abs 2. DSGVO genügen.  Die folgenden Inhalte gehören zwingend in das Verzeichnis: 

Die Kontaktdaten des/r Verantwortlichen

Die Kontaktinformationen des Datenschutzbeauftragten

Der Zweck der Verarbeitung

Beschreibung der Kategorien der personenbezogenen Daten, die verarbeitet werden

Kategorien vom Empfänger (z. B. Auftragsverarbeiter, Mutterkonzern), einschließlich der in Drittländern

Beschreibung der betroffenen Personen

Die beabsichtigte Übermittlung von personenbezogenen Daten in ein Drittland außerhalb der EU/EWR

Löschfristen der verschiedenen Datenkategorien 

Soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen  nach Art. 32 Abs. 1 DSGVO

Was passiert bei einem nicht vorhandenem oder unvollständigem VVT? 

Weshalb ein Verzeichnis von Verarbeitungstätigkeiten so wichtig ist, erklärt sich schnell, wenn man einen Blick in den Artikel 83 der DSGVO wirft 

In diesem Artikel wird bei fehlender bzw. nicht vollständiger Führung oder Nichtvorlage des Verzeichnisses von Verarbeitungstätigkeiten, also einem Verstoß gegen Artikel 30 DSGVO, ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes angedroht.

In welcher Form muss das Verzeichnis von Verarbeitungstätigkeiten geführt werden? 

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führenUnter eine schriftliche Aufzeichnung fallen auch elektronische Formate wie beispielsweise eine Excel-Tabelle 

Die Aufsichtsbehörde entscheidet in den meisten Fällen selbstob sie das VVT in digitaler oder ausgedruckter Form verlangen. Das VVT muss außerdem in der deutschen Sprache geführt werden. 

Download:

Muster Verzeichnis von Verarbeitungstätigkeiten

Nächster Beitrag
Datenschutz-Folgenabschätzung – was genau ist das?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Menü
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr