Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der DSGVO


Was ist das Verzeichnis von Verarbeitungstätigkeiten? 

UebersichtVVT

Die Datenschutzgrundverordnung verpflichtet Unternehmen nach Art. 30 EU-DSGVO dazu, schriftliche Dokumentationen und Übersichten über Prozesse zu führen, in denen personenbezogene Daten verwendet werden.

In dem Verzeichnis von Verarbeitungstätigkeiten (VVT) sollen die wesentlichen Angaben zur Datenverarbeitung aufgeführt werden.  

Das VVT ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG).  

Wen trifft die Pflicht ein VVT zu erstellen?

Sobald ein Unternehmen, egal welcher Größe, personenbezogene Daten verarbeitet, müssen die dabei benutzen Verfahren bzw. Prozesse im Verzeichnis von Verarbeitungstätigkeiten erfasst werden. 

Das heißt also, dass grundsätzlich alle Prozesse, die mit Daten dieser Art zu tun habenin der Liste der Verarbeitungsaktivität aufgeführt werden müssen. 

Was ist das Verzeichnis von Verarbeitungstätigkeiten? 

Die Datenschutzgrundverordnung verpflichtet Unternehmen nach Art. 30 EU-DSGVO dazu, schriftliche Dokumentationen und Übersichten über Prozesse zu führen, in denen personenbezogene Daten verwendet werden.

In dem Verzeichnis von Verarbeitungstätigkeiten (VVT) sollen die wesentlichen Angaben zur Datenverarbeitung aufgeführt werden.  

Das VVT ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG).  

Frank Muens 1

Gesetzliche Grundlagen

Sobald eine Verarbeitung der Daten stattfindet, ist man gesetzlich dazu verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.  Laut der DSGVO findet eine Verarbeitung statt, sobald personenbezogene Daten manuell oder automatisch verarbeitet werden. Im Gesetz werden die Tätigkeiten sehr umfassend aufgezählt: 

[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung,
das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.

Wann ist man von der Pflicht befreit? 

Es gibt eine eingeschränkte Ausnahme, wenn es um die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten geht.  

Diese Ausnahme wird bei Einrichtungen mit weniger als 250 Mitarbeitern geltend gemacht (Art. 30 Abs. 5 DSGVO). Folgende Einschränkungen gibt es bei dieser Ausnahme:

  • Die Verarbeitung darf nur gelegentlich erfolgen.
  • Es darf kein Risiko für Rechte und Freiheiten der betroffenen Personen bestehen (z. B. Videoüberwachung).
  • Es darf keine Verarbeitung von personenbezogenen Daten der besonderen Kategorien nach Art. 9 DSGVO erfolgen (z. B. Gesundheitsdaten).

Wegen dieser Einschränkungen ist es für die meisten Unternehmen mit weniger als 250 Mitarbeitern kaum möglich, sich von der Pflicht befreien zu können.  

Die meisten Verarbeitungstätigkeiten erfolgen auch bei kleineren Unternehmen eher regelmäßig, wie beispielsweise das Führen von Personalakten, der Versand von Newslettern oder das Verwalten einer Kundendatenbank. Das Resultat daraus ist also, dass in den meisten Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten erforderlich ist

Welche Inhalte gehören in das Verzeichnis von Verarbeitungstätigkeiten? 

VerzeichnisVonVerarbeitungstaetigkeiten

Die genauen Inhalte des Verzeichnisses von Verarbeitungstätigkeiten sind in Art. 30 DSGVO niedergeschrieben.  Die dort festgehaltenen Inhalte ähneln im Wesentlichen dem bisherigen Verfahrensverzeichnis nach § 4g Abs. 2, 4e BDSG.

Ähnlich wie beim Verfahrensverzeichnis müssen auch im Verzeichnis von Verarbeitungstätigkeiten alle wesentlichen Angaben zur Verarbeitung, wie die Datenkategorien, der Zweck der Verarbeitung, die Datenempfänger oder die betroffenen Personen enthalten sein. Wer die Führung des Verzeichnisses von Verarbeitungstätigkeiten übernimmt, und wie detailliert es sein muss, sollte sich an der Unternehmensgröße, dem Aufbau und der Komplexität orientieren

Um den ganzen Prozess etwas zu vereinfachen, ist es durchaus erlaubtverschiedene Verarbeitungen gebündelt in einem Eintrag zu führen

Das Verzeichnis von Verarbeitungstätigkeiten sollte sowohl mit der Arbeitsweise und den Anforderungen des Datenschutzbeauftragten übereinstimmen als auch den Anforderungen der Rechenschaftspflicht nach Art. 5 Abs 2. DSGVO genügen.  Die folgenden Inhalte gehören zwingend in das Verzeichnis

  • Die Kontaktdaten des/r Verantwortlichen
  • Beschreibung der betroffenen Personen
  • Die Kontaktinformationen des Datenschutzbeauftragten
  • Die beabsichtigte Übermittlung von personenbezogenen Daten in ein Drittland außerhalb der EU/EWR
  • Der Zweck der Verarbeitung
  • Beschreibung der Kategorien der personenbezogenen Daten, die verarbeitet werden
  • Löschfristen der verschiedenen Datenkategorien
  • Kategorien vom Empfänger (z. B. Auftragsverarbeiter, Mutterkonzern), einschließlich der in Drittländern
  • Soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen  nach Art. 32 Abs. 1 DSGVO

Was passiert bei einem nicht vorhandenem oder unvollständigem VVT?

Weshalb ein Verzeichnis von Verarbeitungstätigkeiten so wichtig ist, erklärt sich schnell, wenn man einen Blick in den Artikel 83 der DSGVO wirft.

In diesem Artikel wird bei fehlender bzw. nicht vollständiger Führung oder Nichtvorlage des Verzeichnisses von Verarbeitungstätigkeiten, also einem Verstoß gegen Artikel 30 DSGVO, ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes angedroht.

In diesem Artikel wird bei fehlender bzw. nicht vollständiger Führung oder Nichtvorlage des Verzeichnisses von Verarbeitungstätigkeiten, also einem Verstoß gegen Artikel 30 DSGVO, ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes angedroht.

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen. Unter eine schriftliche Aufzeichnung fallen auch elektronische Formate wie beispielsweise eine Excel-Tabelle oder ein Worddokument. Dies kann sowohl in einem einzigen Dokument umgesetzt werden oder Sie bauen eine Ordnerstruktur auf, die Ihr Datenschutzmanagement abbildet.  Neben den klassischen Office Tools bieten sich sogenannte Datenschutzmanagement Software (DSMS) wie z.B. die von Intervalid an.

Die Aufsichtsbehörde entscheidet in den meisten Fällen selbstob sie das VVT in digitaler oder ausgedruckter Form verlangen. Das VVT muss außerdem in der deutschen Sprache geführt werden

Download:

Muster Verzeichnis von Verarbeitungstätigkeiten

Herunterladen