In diesem Beitrag haben wir die häufigsten Fragen rund um das Verzeichnis von Verarbeitungstätigkeiten gesammelt und beantwortet. Viel Spaß beim Lesen!
Dieser Beitrag wurde am 03.03.2023 aktualisiert.
Durch die Anforderungen in Art. 30 DSGVO ist jedes Unternehmen dazu verpflichtet, ein VVT zu führen. Liegt kein aktuelles oder nur unvollständiges VVT vor, stellt dies ein hohes Bußgeldrisiko dar.
Ausnahmen zur Pflicht für das Führen eines VVT sind sehr selten und in Art. 30 Abs. 5 DSGVO geregelt. Demnach gilt die Pflicht nicht, wenn ein Unternehmen weniger als 250 Mitarbeiter beschäftigt. Es sei denn,
die Datenverarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
die Datenverarbeitung erfolgt nicht nur gelegentlich
es erfolgt eine Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.
Beispiel: Ein Unternehmen mit 10 Mitarbeitern, das personenbezogene Daten regelmäßig durch einen Newsletterversand verarbeitet, muss unbedingt ein VVT anlegen und aktuell halten.
Nach Art. 4 Nr. 2 DSGVO ist der Begriff “Verarbeiten” sehr genau definiert und lässt keinen Auslegungsspielraum. Ob “Erheben” oder “Erfassen”, “Bereitstellen” oder “Löschen” – das Gesetz zählt alle Vorgänge umfassend auf. Auch Auftragsverarbeiter oder deren Vertreter werden in Art. 30 Abs. 2 DSGVO explizit mit eingeschlossen. Das bedeutet, dass bspw. auch eine beauftragte Marketingagentur verpflichtet ist ein VVT zu führen, sofern sie die Auswertung der Webseitenanalyse durchführt.
In der Regel wird ein VVT von Datenschutzbeauftragten und/oder Datenschutzkoordinatoren erstellt und verantwortet. In den meisten Fällen wird Unterstützung aus der jeweiligen Fachabteilung benötigt, um ein VVT überhaupt vollständig befüllen zu können. Somit ist der regelmäßige Austausch zwischen Fachabteilungen und Datenschutzbeauftragten besonders wichtig, um das VVT stets auf aktuellem Stand halten zu können.
Nach Art. 30 Abs. 1 DSGVO müssen alle Verarbeitungstätigkeiten erfasst werden, bei denen personenbezogene Daten verarbeitet und gespeichert werden. Unter einer Verarbeitungstätigkeit versteht sich jeder technische und/oder organisatorische Vorgang, bei dem personenbezogene Daten verarbeitet werden.
Für die “Verarbeitung” (Art. 4 Abs. 2 DSGVO) von personenbezogenen Daten, müssen ausführliche Angaben zum Zweck der Verarbeitung, dem Kreis der betroffenen Personen und die Datenempfänger enthalten sein.
Wann immer möglich, sollen die Fristen zur Löschung der verschiedenen Datenkategorien ergänzt und nach Artikel 32. Abs 1 DSGVO auch die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen hinzugefügt werden.
Nach Art. 5 Abs. 2 DSGVO sind Unternehmen für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen deren Einhaltung nachweisen können (sog. Rechenschaftspflicht). Dazu zählt auch das Verzeichnis von Verarbeitungstätigkeiten (Erwägungsgrund 82 DSGVO).
Auf Anfrage der Aufsichtsbehörde ist das Verzeichnis von Verarbeitungstätigkeiten vorzulegen, anhand dessen die Aufsichtsbehörde alle Verarbeitungsvorgänge kontrollieren kann (Art. 30 Abs. 4 DSGVO; Erwägungsgrund 82 DSGVO).
Artikel 5 Abs. 1 DSGVO befasst sich mit den allgemeinen Grundsätzen, die die “Grundregeln” für die Verarbeitung von personenbezogenen Daten darstellen. Diese müssen von den Verantwortlichen stets eingehalten sowie nachgewiesen werden (Artikel 5 Abs. 2 DSGVO).
Zu den wesentliche Grundsätzen zählen die “Transparenz”, “Zweckbindung”, “Datenminimierung”, “Speicherbegrenzung” sowie “Integrität und Vertraulichkeit” der rechtskonformen Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten.
Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen, wozu auch ein elektronisches Format, etwa eine Excel-Tabelle oder Word-Datei, gezählt wird. Die Aufsichtsbehörde entscheidet selbstständig, ob sie das VVT elektronisch oder ausgedruckt erhalten möchte. Hierbei ergibt sich schon die erste Problematik – der Ausdruck einer Excel-Datei stellt in der Praxis oft eine Herausforderung dar.
In der Praxis bietet sich für die Erstellung des Verzeichnis von Verarbeitungstätigkeiten der Einsatz einer Datenschutzmanagement-Software wie caralegal an. Dabei ist sichergestellt, das allen inhaltlichen Erfordernissen nach Art. 30 DSGVO Rechenschaft getragen wird.
Eine gute Software-Lösung hat außerdem die Vorteile, dass das Verzeichnis von Verarbeitungstätigkeiten direkt mit anderen Datenschutz-Dokumenten wie der Datenschutz-Folgenabschätzung, dem Dienstleistermanagement sowie den Technisch Organisatorischen Maßnahmen verknüpft ist.
Entdecke weitere Beiträge zu diesem Thema:
Wir informieren monatlich zu den Best Practices aus der Welt des Datenschutzmanagements und mehr.
Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Datenschutzthemen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.
en_US