Das Verzeichnis von Verarbeitungstätigkeiten DSGVO

Datenschutz verstehen – Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach der DSGVO – Die Dokumentationspflicht für Unternehmen

Zusammenfassung
  1. Das Verzeichnis von Verarbeitungstätigkeiten, auch VVT genannt, muss von jeder verantwortlichen Stelle angefertigt werden.
  2. Auch Auftragsverarbeiter müssen ein Verzeichnis von Verarbeitungstätigkeiten anfertigen.
  3. Das VVT muss in schriftlicher Form geführt werden. Dies kann auch in einem elektronischen Format erfolgen.
  4. Die inhaltlichen Angaben, die enthalten sein müssen, gibt der Katalog in Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO vor. Dies sind beispielsweise die Zwecke der Verarbeitung, die Kategorien betroffener Personen sowie der personenbezogenen Daten und die Kategorien von Empfängern, denen die personenbezogenen Daten vorgelegt werden.
  5. Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, können unter der Erfüllung weiter Voraussetzungen von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten befreit werden.
  6. Verstöße gegen die gesetzlichen Vorgaben für das VVT können mit Bußgeldern von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bestraft werden.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Das Verzeichnis von Verarbeitungstätigkeiten, kurz VVT, muss in der Regel von allen verantwortlichen Stellen erstellt werden. Begrifflich erscheint das Verzeichnis von Verarbeitungstätigkeiten wie ein neues Konstrukt der europäischen Datenschutz-Grundverordnung (DSGVO), inhaltlich existierte aber bereits im alten Bundesdatenschutzgesetz eine ähnliche gesetzliche Vorgabe an verantwortliche Stellen. In unserem Blogbeitrag erfahren Sie, welche Angaben in ein Verzeichnis von Verarbeitungstätigkeiten gehören und in welchen Fällen verantwortliche Stellen und Unternehmen von der Pflicht für die Erstellung und Führung eines VVT befreit sind.

 

Das Verarbeitungsverzeichnis und die Vorgaben nach der DSGVO 

Bereits nach altem Recht existierte ein ähnliches Konstrukt wie das VVT, welches von verantwortlichen Stellen angefertigt werden musste: Gem. §§ 4e S.1, 4g Abs. 2 S.1 BDSG-alt war eine sogenannte Übersicht” zu erstellen. In der Praxis war in diesem Zusammenhang in der Regel von einem sog. Verfahrensverzeichnis die Rede, welches im Gegensatz zum VVT nach der DSGVO auch öffentlich einsehbar sein musste, vgl. § 4g Abs. 2 S.2 BDSG-alt., und zwar auf Antrag für Jedermann”. 

Das Verzeichnis von Verarbeitungstätigkeiten, ist in der DSGVO in Art. 30 DSGVO geregelt. Hiernach müssen alle Verantwortlichen ein Verzeichnis von Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. Welche inhaltlichen Angaben dieses Verzeichnis in Bezug auf alle Verarbeitungen enthalten muss, gibt der Katalog in Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO vor. Hierzu gehören zum Beispiel Angaben wie die Zwecke der Verarbeitungen, die Kategorien betroffener Personen und die Kategorien von Empfängern. Zu beachten ist, dass das VVT schriftlich zu führen ist, was auch in einem elektronischen Format erfolgen kann, vgl. Art. 30 Abs. 3 DSGVO.

Zu beachten ist ferner, dass der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung stellen, vgl. Art. 30 Abs. 4 DSGVO.

 

Pflichtangaben für das Verarbeitungsverzeichnis 

In Art. 30 DSGVO wird genau definiert, welche Angaben Verantwortliche je Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten angeben müssen. Verantwortliche und ggfs. sein Vertreter müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis muss folgende Angaben enthalten: 

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten (Art. 30 Abs. 1 lit. a) DSGVO);
  • Die Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b) DSGVO);
  • Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit. c) DSGVO)
  • Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (Art. 30 Abs. 1 lit. d) DSGVO);
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Uabs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien (Art. 30 Abs. 1 lit. e) DSGVO)
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f) DSGVO)
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 (Art. 30 Abs. 1 lit. g) DSGVO).

Gewisse Angaben, wie z.B. der Name und die Kontaktdaten des Datenschutzbeauftragten, sind im Verzeichnis von Verarbeitungstätigkeiten nur einmal zu nennen. 

 

Welche Angaben müssen Auftragsverarbeiter in ihr Verarbeitungsverzeichnis aufnehmen?

Zu beachten ist ferner, dass nicht nur Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten anfertigen müssen, sondern auch Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO, vgl. Art. 30 Abs. 2 DSGVO. Demnach muss jeder Auftragsverarbeiter und ggfs. sein Vertreter ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitungen führen, die folgende Angaben enthält:

  • Den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten (Art. 30 Abs. 2 lit. a) DSGVO);
  • Die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden (Art. 30 Abs. 2 lit. b) DSGVO);
  • Ggfs. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Uabs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien (Art. 30 Abs. 2 lit. c) DSGVO);
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem Art. 32 Abs. 1 DSGVO (Art. 30 Abs. 2 lit. d) DSGVO).
 

Ausnahmen von der Dokumentationspflicht durch ein Verarbeitungsverzeichnis nach DSGVO

Von der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO und/oder Art. 30 Abs. 2 DSGVO zu führen, können Unternehmen und Einrichtungen gem. Art. 30 Abs. 3 DSGVO befreit sein, wenn sie weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung

  • birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, oder 
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.

Dieser Befreiungstatbestand ist allerdings mit Vorsicht zu genießen: Bezüglich der Auslegung dieses Ausnahmetatbestandes existieren einige Hinweise von den unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK): 

“Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht also bereits dann, wenn mindestens eine der genannten drei Fallgruppen erfüllt ist. Wegen der regelmäßig erfolgenden Lohnabrechnungen werden damit kaum Unternehmen von der Pflicht eines solchen Verzeichnisses generell befreit sein; allenfalls Unternehmen, die diese Tätigkeiten komplett durch einen Steuerberater erledigen lassen, sowie eventuell kleinere Vereine. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor. Der Begriff „nicht nur gelegentlich“ ersetzt das „regelmäßig“ des BDSG und kann über die Leitlinien zum Datenschutzbeauftragten nach der DS-GVO der Artikel-29-Gruppe (WP 243) interpretiert werden. Nach Ziff. 2.1.4 liegt der Begriff “regelmäßig” vor, wenn mindestens eine der folgenden Eigenschaften erfüllt ist: fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, ständig oder regelmäßig stattfindend.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können z.B. sein: Videoüberwachungen, Bonitätsscoring- und Betrugspräventionsverfahren, Ortung von Mitarbeitern (z.B. mittels GPS), Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.”

Zusammenfassend stellt die DSK fest, dass davon auszugehen ist, dass die Ausnahmen nach Art. 30 Abs. 5 DSGVO nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

 

Was kann passieren, wenn kein VVT geführt wird oder dieses nicht vollständig ist?

Ein Verstoß gegen die gesetzlichen Vorgaben gem. Art. 30 DSGVO für das VVT kann von der zuständigen Aufsichtsbehörde mit einem Bußgeld von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 lit. a) DSGVO. 

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN