Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Verzeichnis von Verarbeitungs­tätigkeiten – das Kernstück eines guten Datenschutz­managements

Oft wird das Verzeichnis von Verarbeitungstätigkeiten (VVT) als Basis für ein erfolgreiches Datenschutzmanagement gesehen. In diesem Beitrag geben wir einen Einblick worum es bei einem VVT geht und wie man sich das Leben einfacher machen kann.

Dieser Beitrag wurde am 03.03.2023 aktualisiert.
von Dennis Kurpierz, Co-Founder & COO
21. Januar 2021
 | 
Die wichtigsten Fragen zum VVT kurz und prägnant beantwortet

Laut Art. 30 DSGVO müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen, welches zugleich die wichtigste Datenbasis eines effektiven Datenschutzmanagements darstellt. Ob schriftlich oder elektronisch – die Art und Weise, wie das Verzeichnis von Verarbeitungstätigkeiten geführt wird, liegt individuell beim jeweiligen Unternehmen. Wichtig ist, dass das Verzeichnis von Verarbeitungstätigkeiten vollständig ist und den Behörden auf Anfrage vorgelegt werden kann. Nichtvorlage oder eine fehlerhafte, unvollständige Führung stellt einen Verstoß gegen Art. 30 DSGVO dar und kann zu hohen Bußgeldern führen.

Als eine Verarbeitungstätigkeit wird jeder Vorgang bezeichnet, bei dem – mit oder ohne Hilfe automatisierter Verfahren – für einen oder mehrere Zwecke personenbezogene Daten verarbeitet werden. Laut DSGVO können das beispielsweise das Erheben, Verbreiten, Auslesen, Erfassen, Speichern, Anpassen, Verändern, Abgleichen, Abfragen, Verwenden, Organisieren, Ordnen, Übermitteln, Bereitstellen oder Verknüpfen von Daten sein.

Wie eine Datenschutz­management-Software helfen kann

Das Verzeichnis von Verarbeitungstätigkeiten muss regelmäßig gepflegt werden und auf die Aktualität aller Einträge hin geprüft werden, d. h. jede Verarbeitungstätigkeit mit personenbezogenen Daten entsprechend vermerkt und das Verzeichnis von Verarbeitungstätigkeiten angepasst werden. Eine gute Datenschutzmanagement-Software ist an dieser Stelle hilfreich und sinnvoll. Selbstverständlich werden auch bei caralegal alle Verarbeitungstätigkeiten nach Art. 30 DSGVO und auf Basis der langjährigen Erfahrung unserer Datenschutz- und Rechtsexperten angelegt.

Sie wissen genau, auf was es im Umgang mit den Behörden ankommt, kennen die neuesten Entwicklungen und stellen sicher, dass caralegal stets auf dem aktuellsten Stand ist und alle relevanten Informationen unmittelbar an die User weitergeben werden. Mithilfe von Struktur- und Inhaltsvorgaben können Dokumente einfach und zeitsparend vervollständigt werden. Informationen zu Rechtsgrundlagen und dem Zweck der Datenverarbeitung vervollständigen den intuitiven Prozess.

Durch die automatische Verknüpfung zu Datenschutz-Folgenabschätzungen und weiteren Informationspflichten sowie eine einfache Export- und Übermittlungsfunktion an die Behörde, kann der Nachweispflicht mit einem übersichtlichen und einwandfreien Verzeichnis von Verarbeitungstätigkeiten jederzeit nachgekommen werden.

Hier finden Sie alle weiteren Funktionen und Verknüpfungen von caralegal, in Verbindung zum Verzeichnis von Verarbeitungstätigkeiten

FAQs zum Verzeichnis von Verarbeitungs­tätigkeiten (VVT)

Warum müssen Unternehmen ein Verzeichnis von Verarbeitungs­­tätigkeiten (VVT) erstellen?

Laut Art. 30 DSGVO müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen, welches zugleich die wichtigste Datenbasis eines effektiven Datenschutzmanagements darstellt. Ob schriftlich oder elektronisch – die Art und Weise, wie das VVT nach der DSGVO geführt wird, liegt individuell beim jeweiligen Unternehmen. Wichtig ist, dass das Verzeichnis von Verarbeitungstätigkeiten vollständig ist und den Behörden auf Anfrage vorgelegt werden kann. Nichtvorlage oder eine fehlerhafte, unvollständige Führung stellt einen Verstoß gegen Art. 30 DSGVO dar und kann zu hohen Bußgeldern führen.

Als eine Verarbeitungstätigkeit wird jeder Vorgang bezeichnet, bei dem – mit oder ohne Hilfe automatisierter Verfahren – für einen oder mehrere Zwecke personenbezogene Daten verarbeitet werden. Laut DSGVO kann das beispielsweise das Erheben, Verbreiten, Auslesen, Erfassen, Speichern, Anpassen, Verändern, Abgleichen, Abfragen, Verwenden, Organisieren, Ordnen, Übermitteln, Bereitstellen oder Verknüpfen von Daten sein.

Welche Unternehmen müssen ein Verzeichnis von Verarbeitungs­tätigkeiten (VVT) führen?

Nach Art. 4 Nr. 2 DSGVO ist der Begriff „Verarbeiten“ sehr genau definiert und lässt keinen Auslegungsspielraum. Ob „Erheben“ oder „Erfassen“, „Bereitstellen“ oder „Löschen“ – das Gesetz zählt alle Vorgänge umfassend auf. Auch Auftragsverarbeiter oder deren Vertreter werden im VVT-Artikel 30 Abs. 2 DSGVO explizit eingeschlossen. Das bedeutet, dass bspw. auch eine beauftragte Marketingagentur verpflichtet ist, ein Verzeichnis von Verarbeitungstätigkeitn zu führen, sofern sie die Auswertung der Webseitenanalyse durchführt.

Ausnahmen von der Pflicht zum Verzeichnis von Verarbeitungs­tätigkeiten

Ein VVT erfüllt für den Datenschutz sehr wichtige Funktionen, vor allem im Bereich der Dokumentation. Daher sind Ausnahmen von der Pflicht für das Führen eines Verzeichnis von Verarbeitungstätigkeiten äußerst selten und in Art. 30 Abs. 5 DSGVO geregelt. Demnach gilt die Pflicht nicht, wenn ein Unternehmen weniger als 250 Mitarbeitende beschäftigt. Doch auch von dieser Ausnahme gibt es wiederum Ausnahmen. Die Pflicht zum VVT besteht nämlich trotzdem, wenn

die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,

die Datenverarbeitung nicht nur gelegentlich erfolgt,

eine Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO erfolgt.

Beispiel: Ein Unternehmen mit 10 Mitarbeiter:innen, das personenbezogene Daten regelmäßig durch einen Newsletterversand verarbeitet, muss unbedingt ein Verzeichnis von Verarbeitungstätigkeiten anlegen und aktuell halten.

Wer erstellt das Verzeichnis von Verarbeitungs­­tätigkeiten (VVT)?

In der Regel wird ein VVT von Datenschutzbeauftragten und/oder Datenschutzkoordinator:innen erstellt und verantwortet. In den meisten Fällen wird Unterstützung aus der jeweiligen Fachabteilung benötigt, um ein VVT überhaupt vollständig befüllen zu können. Somit ist der regelmäßige Austausch zwischen Fachabteilungen und Datenschutzbeauftragten besonders wichtig, um das Verzeichnis von Verarbeitungstätigkeiten stets auf aktuellem Stand halten zu können.

Was muss ein Verzeichnis von Verarbeitungs­­tätigkeiten (VVT) enthalten?

Nach Art. 30 Abs. 1 DSGVO müssen darin alle Verarbeitungstätigkeiten erfasst werden, bei denen personenbezogene Daten verarbeitet und gespeichert werden. Unter einer Verarbeitungstätigkeit versteht sich jeder technische und/oder organisatorische Vorgang, bei dem personenbezogene Daten verarbeitet werden.

Für die „Verarbeitung“ (Art. 4 Abs. 2 DSGVO) von personenbezogenen Daten müssen ausführliche Angaben zum Zweck der Verarbeitung, dem Kreis der betroffenen Personen und die Datenempfänger:in enthalten sein.

Wann immer möglich, sollen die Fristen zur Löschung der verschiedenen Datenkategorien ergänzt und nach Artikel 32. Abs 1 DSGVO auch die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen hinzugefügt werden.

Wer kann einen Nachweis des Verzeichnis von Verarbeitungs­­tätigkeiten (VVT) verlangen?

Nach Art. 5 Abs. 2 DSGVO sind Unternehmen für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können (sog. Rechenschaftspflicht). Dazu zählt auch das Verzeichnis von Verarbeitungstätigkeiten (Erwägungsgrund 82 DSGVO).

Auf Anfrage der Aufsichtsbehörde ist das Verzeichnis von Verarbeitungstätigkeiten vorzulegen, anhand dessen die Aufsichtsbehörde alle Verarbeitungsvorgänge kontrollieren kann (Art. 30 Abs. 4 DSGVO; Erwägungsgrund 82 DSGVO).

Was beinhaltet die Rechenschafts­pflicht?

Art. 5 Abs. 1 DSGVO befasst sich mit den allgemeinen Grundsätzen, die die „Grundregeln“ für die Verarbeitung von personenbezogenen Daten darstellen. Diese müssen von den Verantwortlichen stets eingehalten sowie nachgewiesen werden (Art. 5 Abs. 2 DSGVO).

Zu den wesentlichen Grundsätzen zählen die „Transparenz“, „Zweckbindung“, „Datenminimierung“, „Speicherbegrenzung“ sowie „Integrität und Vertraulichkeit“ der rechtskonformen Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten.

Wie erstellt man das Verzeichnis von Verarbeitungs­tätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen, wozu auch ein elektronisches Format, etwa eine Excel-Tabelle oder Word-Datei, gezählt wird. Die Aufsichtsbehörde entscheidet selbstständig, ob sie das VVT elektronisch oder ausgedruckt erhalten möchte. Hierbei ergibt sich schon die erste Problematik – der Ausdruck einer Excel-Datei stellt in der Praxis oft eine Herausforderung dar.

In der Praxis bietet sich für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten der Einsatz einer Datenschutzmanagement-Software wie caralegal an. Dabei ist sichergestellt, dass allen inhaltlichen Erfordernissen nach Art. 30 DSGVO Rechenschaft getragen wird.

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Die 7 Gewährleistungsziele des SDM helfen dabei, effektiven Datenschutz zu betreiben.

7 SDM-Gewährleistungsziele

Mehr erfahren
Schwellwertanalyse: Symbolbild aus dem Datenschutzrecht

Auf einen Blick: Schwellwertanalyse

Mehr erfahren
Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren