Wie im ersten Teil der Fragen und Antwort Serie zum Verzeichnis von Verarbeitungstätigkeiten (VVT) beschrieben, handelt es sich beim VVT um das Kernstück eines guten Datenschutzmanagements. Weitere grundlegende Fragen zum Verzeichnis von Verarbeitungstätigkeiten sind:

Was muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) enthalten?

Nach Art. 30 Abs. 1 DSGVO müssen alle Verarbeitungstätigkeiten erfasst werden, bei denen personenbezogene Daten verarbeitet und gespeichert werden. Unter einer Verarbeitungstätigkeit versteht sich jeder technische und/oder organisatorische Vorgang, bei dem personenbezogene Daten verarbeitet werden. Für die “Verarbeitung” (Art. 4 Abs. 2 DSGVO) von personenbezogenen Daten, müssen ausführliche Angaben zum Zweck der Verarbeitung, dem Kreis der betroffenen Personen und die Datenempfänger enthalten sein. Wann immer möglich, sollen die Fristen zur Löschung der verschiedenen Datenkategorien ergänzt und nach Artikel 32. Abs 1 DSGVO auch die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen hinzugefügt werden.

Wer kann einen Nachweis des Verzeichnis von Verarbeitungstätigkeiten (VVT) verlangen?

Nach Art. 5 Abs. 2 DSGVO sind Unternehmen für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können (sog. Rechenschaftspflicht). Dazu zählt auch das Verzeichnis von Verarbeitungstätigkeiten (Erwägungsgrund 82 DSGVO). Auf Anfrage der Aufsichtsbehörde ist das Verzeichnis von Verarbeitungstätigkeiten vorzulegen, anhand dessen die Aufsichtsbehörde alle Verarbeitungsvorgänge kontrollieren kann (Art. 30 Abs. 4 DSGVO; Erwägungsgrund 82 DSGVO).

Was beinhaltet die Rechenschaftspflicht?

Artikel 5 Abs. 1 DSGVO befasst sich mit den allgemeinen Grundsätzen, die die “Grundregeln” für die Verarbeitung von personenbezogenen Daten darstellen. Diese müssen von den Verantwortlichen stets eingehalten sowie nachgewiesen werden (Artikel 5 Abs. 2 DSGVO). Zu den wesentliche Grundsätzen zählen die “Transparenz”, “Zweckbindung”, “Datenminimierung”, “Speicherbegrenzung” sowie “Integrität und Vertraulichkeit” der rechtskonformen Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten.

Wie erstellt man das Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen, wozu auch ein elektronisches Format, etwa eine Excel-Tabelle oder Word-Datei, gezählt wird. Die Aufsichtsbehörde entscheidet selbstständig, ob sie das VVT elektronisch oder ausgedruckt erhalten möchte. Hierbei ergibt sich schon die erste Problematik – der Ausdruck einer Excel-Datei stellt in der Praxis oft eine Herausforderung dar. In der Praxis bietet sich für die Erstellung des Verzeichnis von Verarbeitungstätigkeiten der Einsatz einer Datenschutzmanagement-Software wie caralegal an. Dabei ist sichergestellt, das allen inhaltichen Erfordernissen nach Art. 30 DSGVO Rechenschaft getragen wird. Eine gute Software-Lösung hat außerdem die Vorteile, dass das Verzeichnis von Verarbeitungstätigkeiten direkt mit anderen Datenschutz-Dokumenten wie der Datenschutz-Folgenabschätzung, dem Dienstleistermanagement sowie den Technisch Organisatorischen Maßnahmen verknüfpft ist. 
Erfassen Sie den Zweck der Verarbeitungstätigkeit einfach und effizient in der Datenschutzmanagement-Software caralegal