Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Verzeichnis von Verarbeitungs­tätigkeiten (VVT) – Fragen und Antworten

Oft wird das Verzeichnis von Verarbeitungstätigkeiten (VVT) als Basis für ein erfolgreiches Datenschutzmanagement gesehen. In diesem Beitrag haben wir die häufigsten Fragen rund um das Verzeichnis von Verarbeitungstätigkeiten gesammelt und beantwortet. Viel Spaß beim Lesen!

Dieser Beitrag wurde am 15.01.2024 aktualisiert.

von Dennis Kurpierz, Co-Founder & COO

11. November 2020

 | 

Warum müssen Unternehmen ein Verzeichnis von Verarbeitungs­tätigkeiten (VVT) erstellen?

Laut Art. 30 DSGVO müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen, welches zugleich die wichtigste Datenbasis eines effektiven Datenschutzmanagements darstellt. Ob schriftlich oder elektronisch – die Art und Weise, wie das VVT nach der DSGVO geführt wird, liegt individuell beim jeweiligen Unternehmen. Wichtig ist, dass das Verzeichnis von Verarbeitungstätigkeiten vollständig ist und den Behörden auf Anfrage vorgelegt werden kann. Nichtvorlage oder eine fehlerhafte, unvollständige Führung stellt einen Verstoß gegen Art. 30 DSGVO dar und kann zu hohen Bußgeldern führen.

Als eine Verarbeitungstätigkeit wird jeder Vorgang bezeichnet, bei dem – mit oder ohne Hilfe automatisierter Verfahren – für einen oder mehrere Zwecke personenbezogene Daten verarbeitet werden. Laut DSGVO kann das beispielsweise das Erheben, Verbreiten, Auslesen, Erfassen, Speichern, Anpassen, Verändern, Abgleichen, Abfragen, Verwenden, Organisieren, Ordnen, Übermitteln, Bereitstellen oder Verknüpfen von Daten sein.

Welche Unternehmen müssen ein Verzeichnis von Verarbeitungs­tätigkeiten (VVT) führen?

Nach Art. 4 Nr. 2 DSGVO ist der Begriff „Verarbeiten“ sehr genau definiert und lässt keinen Auslegungsspielraum. Ob „Erheben“ oder „Erfassen“, „Bereitstellen“ oder „Löschen“ – das Gesetz zählt alle Vorgänge umfassend auf. Auch Auftragsverarbeiter oder deren Vertreter werden im VVT-Artikel 30 Abs. 2 DSGVO explizit eingeschlossen. Das bedeutet, dass bspw. auch eine beauftragte Marketingagentur verpflichtet ist, ein Verzeichnis von Verarbeitungstätigkeitn zu führen, sofern sie die Auswertung der Webseitenanalyse durchführt.

Ausnahmen von der Pflicht zum Verzeichnis von Verarbeitungs­tätigkeiten

Ein VVT erfüllt für den Datenschutz sehr wichtige Funktionen, vor allem im Bereich der Dokumentation. Daher sind Ausnahmen von der Pflicht für das Führen eines Verzeichnis von Verarbeitungstätigkeiten äußerst selten und in Art. 30 Abs. 5 DSGVO geregelt. Demnach gilt die Pflicht nicht, wenn ein Unternehmen weniger als 250 Mitarbeitende beschäftigt. Doch auch von dieser Ausnahme gibt es wiederum Ausnahmen. Die Pflicht zum VVT besteht nämlich trotzdem, wenn

die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,

die Datenverarbeitung nicht nur gelegentlich erfolgt,

eine Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO erfolgt.

Beispiel: Ein Unternehmen mit 10 Mitarbeiter:innen, das personenbezogene Daten regelmäßig durch einen Newsletterversand verarbeitet, muss unbedingt ein Verzeichnis von Verarbeitungstätigkeiten anlegen und aktuell halten.

Wer erstellt das Verzeichnis von Verarbeitungs­tätigkeiten (VVT)?

In der Regel wird ein VVT von Datenschutzbeauftragten und/oder Datenschutzkoordinator:innen erstellt und verantwortet. In den meisten Fällen wird Unterstützung aus der jeweiligen Fachabteilung benötigt, um ein VVT überhaupt vollständig befüllen zu können. Somit ist der regelmäßige Austausch zwischen Fachabteilungen und Datenschutzbeauftragten besonders wichtig, um das Verzeichnis von Verarbeitungstätigkeiten stets auf aktuellem Stand halten zu können.

Was muss ein Verzeichnis von Verarbeitungs­tätigkeiten (VVT) enthalten?

Nach Art. 30 Abs. 1 DSGVO müssen darin alle Verarbeitungstätigkeiten erfasst werden, bei denen personenbezogene Daten verarbeitet und gespeichert werden. Unter einer Verarbeitungstätigkeit versteht sich jeder technische und/oder organisatorische Vorgang, bei dem personenbezogene Daten verarbeitet werden.

Für die „Verarbeitung“ (Art. 4 Abs. 2 DSGVO) von personenbezogenen Daten müssen ausführliche Angaben zum Zweck der Verarbeitung, dem Kreis der betroffenen Personen und die Datenempfänger:in enthalten sein.

Wann immer möglich, sollen die Fristen zur Löschung der verschiedenen Datenkategorien ergänzt und nach Artikel 32. Abs 1 DSGVO auch die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen hinzugefügt werden.

Wer kann einen Nachweis des Verzeichnis von Verarbeitungs­tätigkeiten (VVT) verlangen?


Nach Art. 5 Abs. 2 DSGVO sind Unternehmen für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können (sog. Rechenschaftspflicht). Dazu zählt auch das Verzeichnis von Verarbeitungstätigkeiten (Erwägungsgrund 82 DSGVO).

Auf Anfrage der Aufsichtsbehörde ist das Verzeichnis von Verarbeitungstätigkeiten vorzulegen, anhand dessen die Aufsichtsbehörde alle Verarbeitungsvorgänge kontrollieren kann (Art. 30 Abs. 4 DSGVO; Erwägungsgrund 82 DSGVO).

Was beinhaltet die Rechenschafts­pflicht?

Art. 5 Abs. 1 DSGVO befasst sich mit den allgemeinen Grundsätzen, die die „Grundregeln“ für die Verarbeitung von personenbezogenen Daten darstellen. Diese müssen von den Verantwortlichen stets eingehalten sowie nachgewiesen werden (Art. 5 Abs. 2 DSGVO).

Zu den wesentlichen Grundsätzen zählen die „Transparenz“, „Zweckbindung“, „Datenminimierung“, „Speicherbegrenzung“ sowie „Integrität und Vertraulichkeit“ der rechtskonformen Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten.

Wie erstellt man das Verzeichnis von Verarbeitungs­tätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen, wozu auch ein elektronisches Format, etwa eine Excel-Tabelle oder Word-Datei, gezählt wird. Die Aufsichtsbehörde entscheidet selbstständig, ob sie das VVT elektronisch oder ausgedruckt erhalten möchte. Hierbei ergibt sich schon die erste Problematik – der Ausdruck einer Excel-Datei stellt in der Praxis oft eine Herausforderung dar.

In der Praxis bietet sich für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten der Einsatz einer Datenschutzmanagement-Software wie caralegal an. Dabei ist sichergestellt, dass allen inhaltlichen Erfordernissen nach Art. 30 DSGVO Rechenschaft getragen wird.

Wie kann eine Datenschutz­management-Software beim VVT helfen?

Das Verzeichnis von Verarbeitungstätigkeiten muss regelmäßig gepflegt werden und auf die Aktualität aller Einträge hin geprüft werden, d. h. jede Verarbeitungstätigkeit mit personenbezogenen Daten entsprechend vermerkt und das VVT angepasst werden. Eine gute Datenschutzmanagement-Software ist an dieser Stelle hilfreich und sinnvoll. Sie hat außerdem die Vorteile, dass das Verzeichnis von Verarbeitungstätigkeiten direkt verknüpft ist mit anderen Datenschutz-Dokumenten wie der Datenschutz-Folgenabschätzung, dem Dienstleistermanagement sowie den technischen und organisatorischen Maßnahmen (TOM).

Selbstverständlich werden auch bei caralegal alle Verarbeitungstätigkeiten nach Art. 30 DSGVO und auf Basis der langjährigen Erfahrung unserer Rechts- und Datenschutz-Experten angelegt. Sie wissen genau, auf was es im Umgang mit den Behörden ankommt, kennen die neuesten Entwicklungen und stellen sicher, dass caralegal stets auf dem aktuellen Stand ist und alle relevanten Informationen unmittelbar an die Nutzer:innen weitergeben werden. Mithilfe von Struktur- und Inhaltsvorgaben können Dokumente einfach und zeitsparend vervollständigt werden. Informationen zu Rechtsgrundlagen und dem Zweck der Datenverarbeitung vervollständigen den intuitiven Prozess.

Durch die automatische Verknüpfung zu Datenschutz-Folgenabschätzungen und weiteren Informationspflichten sowie eine einfache Export- und Übermittlungsfunktion an die Behörde kann der Nachweispflicht mit einem übersichtlichen und einwandfreien Verzeichnis von Verarbeitungstätigkeiten jederzeit nachgekommen werden.

Hier finden Sie alle weiteren Funktionen und Verknüpfungen von caralegal in Verbindung zum Verzeichnis von Verarbeitungstätigkeiten (VVT). 

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren
PETs sind eine wichtige Unterstützung für deinen Datenschutz.

Privacy Enhancing Technologies für deinen Datenschutz

Mehr erfahren
Checkliste für Datenschutzmanagement-Software: eine übersichtliche Checkliste, die dir hilft Datenschutzmanagement erfolgreich in deinem Unternehmen umzusetzen.

Checkliste: 101 Kriterien für die Einführung einer Datenschutzmanagement-Software (2023)

Mehr erfahren