Verzeichnis von Verarbeitungs­tätigkeiten – das Kernstück eines guten Datenschutz­managements

von Dennis Kurpierz, Co-Founder & COO
zuletzt aktualisiert: 19.07.2024
8 Minuten
Oft wird das Verzeichnis von Verarbeitungstätigkeiten (VVT) als Basis für ein erfolgreiches Datenschutzmanagement gesehen. In diesem Beitrag geben wir einen Einblick worum es bei einem VVT geht und wie man sich das Leben einfacher machen kann.

Was ist ein Verzeichnis von Verarbeitungs­tätigkeiten und warum ist es erforderlich?

Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist nach Artikel 30 der Datenschutz-Grundverordnung (DSGVO) für grundsätzlich jedes Unternehmen vorgeschrieben. Mit dem Verzeichnis werden Vorgänge bzw. Prozesse dokumentiert, in denen personenbezogene Daten verarbeitet werden. Diese sogenannten Verarbeitungstätigkeiten tragen die Datenschutzverantwortlichen im Unternehmen im VVT ein. Ob schriftlich oder elektronisch – die Art und Weise, wie das Verzeichnis von Verarbeitungstätigkeiten geführt wird, liegt individuell beim jeweiligen Unternehmen. Wichtig ist, dass das Verzeichnis von Verarbeitungstätigkeiten vollständig ist und den Behörden auf Anfrage vorgelegt werden kann. Nichtvorlage oder eine fehlerhafte, unvollständige Führung stellt einen Verstoß gegen Art. 30 DSGVO dar und kann zu hohen Bußgeldern führen.

Einzug halten dort Tätigkeiten wie beispielsweise das Erheben, Speichern und Verarbeiten von personenbezogenen Kund:innendaten. Zweck des VVT ist es, dir und insbesondere behördlichen Prüfer:innen einen Überblick über die Verarbeitungstätigkeiten zu schaffen. Es stellt die Basis für ein effektives Datenschutzmanagement dar und kann sogar in anderen Bereichen Mehrwerte schaffen.

Wie eine Datenschutz­management-Software helfen kann

Das Verzeichnis von Verarbeitungstätigkeiten muss regelmäßig gepflegt werden und auf die Aktualität aller Einträge hin geprüft werden, d. h. jede Verarbeitungstätigkeit mit personenbezogenen Daten entsprechend vermerkt und das Verzeichnis von Verarbeitungstätigkeiten angepasst werden. Eine gute Datenschutzmanagement-Software ist an dieser Stelle hilfreich und sinnvoll. Selbstverständlich werden auch bei caralegal alle Verarbeitungstätigkeiten nach Art. 30 DSGVO und auf Basis der langjährigen Erfahrung unserer Datenschutz- und Rechtsexperten angelegt.

Sie wissen genau, auf was es im Umgang mit den Behörden ankommt, kennen die neuesten Entwicklungen und stellen sicher, dass caralegal stets auf dem aktuellsten Stand ist und alle relevanten Informationen unmittelbar an die User weitergeben werden. Mithilfe von Struktur- und Inhaltsvorgaben können Dokumente einfach und zeitsparend vervollständigt werden. Informationen zu Rechtsgrundlagen und dem Zweck der Datenverarbeitung vervollständigen den intuitiven Prozess.

Durch die automatische Verknüpfung zu Datenschutz-Folgenabschätzungen und weiteren Informationspflichten sowie eine einfache Export- und Übermittlungsfunktion an die Behörde, kann der Nachweispflicht mit einem übersichtlichen und einwandfreien Verzeichnis von Verarbeitungstätigkeiten jederzeit nachgekommen werden.

Hier finden Sie alle weiteren Funktionen und Verknüpfungen von caralegal, in Verbindung zum Verzeichnis von Verarbeitungstätigkeiten

FAQs zum Verzeichnis von Verarbeitungs­tätigkeiten (VVT)

Warum müssen Unternehmen ein Verzeichnis von Verarbeitungs­­tätigkeiten (VVT) erstellen?

Laut Art. 30 DSGVO müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen, welches zugleich die wichtigste Datenbasis eines effektiven Datenschutzmanagements darstellt. Ob schriftlich oder elektronisch – die Art und Weise, wie das VVT nach der DSGVO geführt wird, liegt individuell beim jeweiligen Unternehmen. Wichtig ist, dass das Verzeichnis von Verarbeitungstätigkeiten vollständig ist und den Behörden auf Anfrage vorgelegt werden kann. Nichtvorlage oder eine fehlerhafte, unvollständige Führung stellt einen Verstoß gegen Art. 30 DSGVO dar und kann zu hohen Bußgeldern führen.

Als eine Verarbeitungstätigkeit wird jeder Vorgang bezeichnet, bei dem – mit oder ohne Hilfe automatisierter Verfahren – für einen oder mehrere Zwecke personenbezogene Daten verarbeitet werden. Laut DSGVO kann das beispielsweise das Erheben, Verbreiten, Auslesen, Erfassen, Speichern, Anpassen, Verändern, Abgleichen, Abfragen, Verwenden, Organisieren, Ordnen, Übermitteln, Bereitstellen oder Verknüpfen von Daten sein.

Welche Unternehmen müssen ein Verzeichnis von Verarbeitungs­tätigkeiten (VVT) führen?

Nach Art. 4 Nr. 2 DSGVO ist der Begriff „Verarbeiten“ sehr genau definiert und lässt keinen Auslegungsspielraum. Ob „Erheben“ oder „Erfassen“, „Bereitstellen“ oder „Löschen“ – das Gesetz zählt alle Vorgänge umfassend auf. Auch Auftragsverarbeiter oder deren Vertreter werden im VVT-Artikel 30 Abs. 2 DSGVO explizit eingeschlossen. Das bedeutet, dass bspw. auch eine beauftragte Marketingagentur verpflichtet ist, ein Verzeichnis von Verarbeitungstätigkeitn zu führen, sofern sie die Auswertung der Webseitenanalyse durchführt.

Ausnahmen von der Pflicht zum Verzeichnis von Verarbeitungs­tätigkeiten

Ein VVT erfüllt für den Datenschutz sehr wichtige Funktionen, vor allem im Bereich der Dokumentation. Daher sind Ausnahmen von der Pflicht für das Führen eines Verzeichnis von Verarbeitungstätigkeiten äußerst selten und in Art. 30 Abs. 5 DSGVO geregelt. Demnach gilt die Pflicht nicht, wenn ein Unternehmen weniger als 250 Mitarbeitende beschäftigt. Doch auch von dieser Ausnahme gibt es wiederum Ausnahmen. Die Pflicht zum VVT besteht nämlich trotzdem, wenn

die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,

die Datenverarbeitung nicht nur gelegentlich erfolgt,

eine Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO erfolgt.

Beispiel: Ein Unternehmen mit 10 Mitarbeiter:innen, das personenbezogene Daten regelmäßig durch einen Newsletterversand verarbeitet, muss unbedingt ein Verzeichnis von Verarbeitungstätigkeiten anlegen und aktuell halten.

Wer erstellt das Verzeichnis von Verarbeitungs­­tätigkeiten (VVT)?

In der Regel wird ein VVT von Datenschutzbeauftragten und/oder Datenschutzkoordinator:innen erstellt und verantwortet. In den meisten Fällen wird Unterstützung aus der jeweiligen Fachabteilung benötigt, um ein VVT überhaupt vollständig befüllen zu können. Somit ist der regelmäßige Austausch zwischen Fachabteilungen und Datenschutzbeauftragten besonders wichtig, um das Verzeichnis von Verarbeitungstätigkeiten stets auf aktuellem Stand halten zu können.

Was muss ein Verzeichnis von Verarbeitungs­­tätigkeiten (VVT) enthalten?

Nach Art. 30 Abs. 1 DSGVO müssen darin alle Verarbeitungstätigkeiten erfasst werden, bei denen personenbezogene Daten verarbeitet und gespeichert werden. Unter einer Verarbeitungstätigkeit versteht sich jeder technische und/oder organisatorische Vorgang, bei dem personenbezogene Daten verarbeitet werden.

Für die „Verarbeitung“ (Art. 4 Abs. 2 DSGVO) von personenbezogenen Daten müssen ausführliche Angaben zum Zweck der Verarbeitung, dem Kreis der betroffenen Personen und die Datenempfänger:in enthalten sein.

Wann immer möglich, sollen die Fristen zur Löschung der verschiedenen Datenkategorien ergänzt und nach Artikel 32. Abs 1 DSGVO auch die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen hinzugefügt werden.

Wer kann einen Nachweis des Verzeichnis von Verarbeitungs­­tätigkeiten (VVT) verlangen?

Nach Art. 5 Abs. 2 DSGVO sind Unternehmen für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können (sog. Rechenschaftspflicht). Dazu zählt auch das Verzeichnis von Verarbeitungstätigkeiten (Erwägungsgrund 82 DSGVO).

Auf Anfrage der Aufsichtsbehörde ist das Verzeichnis von Verarbeitungstätigkeiten vorzulegen, anhand dessen die Aufsichtsbehörde alle Verarbeitungsvorgänge kontrollieren kann (Art. 30 Abs. 4 DSGVO; Erwägungsgrund 82 DSGVO).

Was beinhaltet die Rechenschafts­pflicht?

Art. 5 Abs. 1 DSGVO befasst sich mit den allgemeinen Grundsätzen, die die „Grundregeln“ für die Verarbeitung von personenbezogenen Daten darstellen. Diese müssen von den Verantwortlichen stets eingehalten sowie nachgewiesen werden (Art. 5 Abs. 2 DSGVO).

Zu den wesentlichen Grundsätzen zählen die „Transparenz“, „Zweckbindung“, „Datenminimierung“, „Speicherbegrenzung“ sowie „Integrität und Vertraulichkeit“ der rechtskonformen Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten.

Wie erstellt man das Verzeichnis von Verarbeitungs­tätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen, wozu auch ein elektronisches Format, etwa eine Excel-Tabelle oder Word-Datei, gezählt wird. Die Aufsichtsbehörde entscheidet selbstständig, ob sie das VVT elektronisch oder ausgedruckt erhalten möchte. Hierbei ergibt sich schon die erste Problematik – der Ausdruck einer Excel-Datei stellt in der Praxis oft eine Herausforderung dar.

In der Praxis bietet sich für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten der Einsatz einer Datenschutzmanagement-Software wie caralegal an. Dabei ist sichergestellt, dass allen inhaltlichen Erfordernissen nach Art. 30 DSGVO Rechenschaft getragen wird.

Was ist eine Verarbeitungstätigkeit?

Als eine Verarbeitungstätigkeit wird jeder Vorgang bezeichnet, bei dem – mit oder ohne Hilfe automatisierter Verfahren – für einen oder mehrere Zwecke personenbezogene Daten verarbeitet werden. Laut DSGVO können das beispielsweise das Erheben, Verbreiten, Auslesen, Erfassen, Speichern, Anpassen, Verändern, Abgleichen, Abfragen, Verwenden, Organisieren, Ordnen, Übermitteln, Bereitstellen oder Verknüpfen von Daten sein.
Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Betroffenenanfragen – der Erfolgsguide
Mehr erfahren
7 SDM-Gewährleistungsziele
Mehr erfahren
Auf einen Blick: Schwellwertanalyse
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum