Das Verzeichnis von Verarbeitungstätigkeiten DSGVO

Datenschutz verstehen – Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach der DSGVO

Zusammenfassung

  • Eine Verarbeitungstätigkeit nach der Datenschutz-Grundverordnung (DSGVO) ist jeder Vorgang, bei dem personenbezogene Daten automatisiert oder auch nicht-automatisiert erhoben, gespeichert, genutzt, übermittelt, verändert, gelöscht oder anderweitig verwendet werden.
  • Verantwortliche müssen ein Verzeichnis von Verarbeitungstätigkeiten führen gem. Art. 30 DSGVO.
  • Auftragsverarbeiter müssen zusätzlich ein spezifisches Verzeichnis für Verarbeitungen im Auftrag gem. Art. 30 Abs. 2 DSGVO anfertigen.
  • Die Dokumentation dient als Nachweis für die Bewertung der einzelnen Prozesse im Unternehmen.

Das Verzeichnis von Verarbeitungstätigkeiten, kurz VVT, muss in der Regel von allen verantwortlichen Stellen erstellt werden. Begrifflich erscheint das Verzeichnis von Verarbeitungstätigkeiten wie ein neues Konstrukt der europäischen Datenschutz-Grundverordnung (DSGVO), inhaltlich existierte aber bereits im alten Bundesdatenschutzgesetz eine ähnliche gesetzliche Vorgabe an verantwortliche Stellen. In unserem Blogbeitrag erfahren Sie, welche Angaben in ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO gehören und in welchen Fällen verantwortliche Stellen und Unternehmen von der Pflicht für die Erstellung und Führung eines VVT befreit sind.

Inhalt:
Verarbeitungsverzeichnis
 

Verzeichnis von Verarbeitungen nach der DSGVO

Bereits nach altem Recht existierte ein ähnliches Konstrukt wie das VVT, welches von verantwortlichen Stellen angefertigt werden musste: Gem. §§ 4 e S.1, 4g Abs. 2 S.1 BDSG-alt war eine sogenannte „Übersicht” zu erstellen. In der Praxis war in diesem Zusammenhang grundsätzlich von einem sog. Verfahrensverzeichnis die Rede, welches im Gegensatz zum VVT nach der DSGVO auch öffentlich einsehbar sein musste, vgl. § 4 g Abs. 2 S.2 BDSG-alt., und zwar auf Antrag für „Jedermann”.

Das BDSG wurde 2018 jedoch von der DSGVO „abgelöst“, bzw. in seiner Bedeutung verdrängt. Das liegt daran, dass die DSGVO eine europäische Verordnung ist und diese in der Rangordnung über dem deutschen Recht steht. Deshalb wurde das BDSG überarbeitet, und wirkt seit der Einführung der DSGVO unterstützend, weshalb aktuell die DSGVO in den meisten Fällen maßgebend ist.

Das Verzeichnis von Verarbeitungstätigkeiten ist in der DSGVO in Art. 30 DSGVO geregelt. Hiernach müssen alle Verantwortlichen ein Verzeichnis von Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. Welche inhaltlichen Angaben dieses Verzeichnis in Bezug auf alle Verarbeitungen enthalten muss, gibt der Katalog in Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO vor. Hierzu gehören beispielsweise Angaben wie die Zwecke der Verarbeitungen, die Kategorien betroffener Personen und die Kategorien von Empfängern. Zu beachten ist, dass das VVT schriftlich zu dokumentieren ist, was auch in einem elektronischen Format erfolgen kann, vgl. Art. 30 Abs. 3 DSGVO.

Zu beachten ist ferner, dass der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung stellen muss, vgl. Art. 30 Abs. 4 DSGVO.

Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

Preise berechnen
 

Pflichtangaben für das Verarbeitungsverzeichnis

In Art. 30 DSGVO wird genau definiert, welche Angaben Verantwortliche je Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten angeben müssen. Verantwortliche und ggfs. deren Vertreter müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis muss folgende Angaben enthalten:

  1. Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten (Art. 30 Abs. 1 lit. a) DSGVO);
  2. Die Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b) DSGVO);
  3. Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit. c) DSGVO);
  4. Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (Art. 30 Abs. 1 lit. d) DSGVO);
  5. Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 und Abs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien (Art. 30 Abs. 1 lit. e) DSGVO);
  6. Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f) DSGVO);
  7. Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 (Art. 30 Abs. 1 lit. g) DSGVO).

Gewisse Angaben, wie z.B. der Name und die Kontaktdaten des Datenschutzbeauftragten, sind im Verzeichnis von Verarbeitungstätigkeiten nur einmal zu nennen.

 

Welche Angaben müssen Auftragsverarbeiter in ihr Verarbeitungsverzeichnis aufnehmen?

Außerdem ist zu beachten, dass nicht nur Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten anfertigen müssen, sondern auch Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO, vgl. Art. 30 Abs. 2 DSGVO. Demnach muss jeder Auftragsverarbeiter und ggfs. sein Vertreter ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitungen führen, die folgende Angaben enthält:

  1. Den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten (Art. 30 Abs. 2 lit. a) DSGVO);
  2. Die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden (Art. 30 Abs. 2 lit. b) DSGVO);
  3. die Übermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Uabs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien (Art. 30 Abs. 2 lit. c) DSGVO);
  4. Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem Art. 32 Abs. 1 DSGVO (Art. 30 Abs. 2 lit. d) DSGVO).
 

Ausnahmen von der Dokumentationspflicht durch ein Verarbeitungsverzeichnis nach DSGVO

Von der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO und/oder Art. 30 Abs. 2 DSGVO zu führen, können Unternehmen und Einrichtungen gem. Art. 30 Abs. 3 DSGVO befreit sein, wenn sie weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, oder

die Verarbeitung erfolgt nicht nur gelegentlich oder

es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.

Dieser Befreiungstatbestand ist allerdings mit Vorsicht zu genießen: Bezüglich der Auslegung dieses Ausnahmetatbestandes existieren einige Hinweise von den unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK):

“Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht also bereits dann, wenn mindestens eine der genannten drei Fallgruppen erfüllt ist. Wegen der regelmäßig erfolgenden Lohnabrechnungen werden damit kaum Unternehmen von der Pflicht eines solchen Verzeichnisses generell befreit sein; allenfalls Unternehmen, die diese Tätigkeiten komplett durch einen Steuerberater erledigen lassen, sowie eventuell kleinere Vereine. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor. Der Begriff „nicht nur gelegentlich“ ersetzt das „regelmäßig“ des BDSG und kann über die Leitlinien zum Datenschutzbeauftragten nach der DS-GVO der Artikel-29-Gruppe (WP 243) interpretiert werden. Nach Ziff. 2.1.4 liegt der Begriff „regelmäßig“ vor, wenn mindestens eine der folgenden Eigenschaften erfüllt ist: fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, ständig oder regelmäßig stattfindend.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können z.B. sein: Videoüberwachungen, Bonitätsscoring- und Betrugspräventionsverfahren, Ortung von Mitarbeitern (z.B. mittels GPS), Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.”

Zusammenfassend stellt die DSK fest, dass davon auszugehen ist, dass die Ausnahmen nach Art. 30 Abs. 5 DSGVO nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

 

FAQ

Was kann passieren, wenn kein VVT geführt wird oder dieses nicht vollständig ist?

Ein Verstoß gegen die gesetzlichen Vorgaben gem. Art. 30 DSGVO für das VVT kann von der zuständigen Aufsichtsbehörde mit einem Bußgeld von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 lit. a) DSGVO. 

Wie kann ein externer Datenschutzbeauftragter helfen?

Ein externer Datenschutzbeauftragter hilft bei der rechtssicheren Umsetzung des Datenschutzes im Unternehmen. Hierbei ist eine gewisse Expertise gefragt. Externe Datenschutzbeauftragte müssen daher notwendige berufliche Qualifikationen wie z.B. einen akademischen Grad vorweisen, aber auch praktische Erfahrungen gesammelt haben. Das Risiko bei der Erfüllung der Aufgaben hat der Datenschutzbeauftragte gebührend Rechnung zu tragen, wie in Art. 39 Abs. 2 DSGVO geregelt. Es ist folglich sicherzustellen, dass alle Aufgaben des Art. 39 Abs. 1 DSGVO voll umfassend erfüllt werden. Um dem gerecht zu werden, ist eine ständige Auseinandersetzung und regelmäßige Schulungen mit datenschutzrechtlichen Themen notwendig. Oft können sich externe Datenschutzbeauftragte auf ein qualifiziertes Team von mehreren Mitarbeitern stützen, die gemeinsam den bestmöglichen Datenschutz garantieren können. Konkret hilft der externe Datenschutzbeauftragte bei der Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten gem. Art. 39 Abs. 1 lit a) DSGVO, bei der Überwachung der Einhaltung der DSGVO und weiterer Datenschutzvorschriften der Union, Sensibilisierung und Schulung der Mitarbeiter gem. Art. 39 Abs. 1 lit. b) DSGVO. Außerdem kann dieser bei der Datenschutzfolgenabschätzung beratend zur Verfügung stehen i.S.d. Art. 39 Abs. 1 lit. c) DSGVO und Abhilfe schaffen bei der Konsultation und Korrespondenz von Aufsichtsbehörden und damit verbundene Fragen.

Überdies kann der externe Datenschutzbeauftragte auch bei der Erstellung eines VVT unterstützend tätig werden. Ohnehin ist hier das Know-how und die Praxiserfahrung des Datenschutzbeauftragten ausschlaggebend. Mit expliziten Fragen an den Verantwortlichen können die Verarbeitungstätigkeiten erkennbar gemacht werden und dokumentiert werden. Zudem können enorme zeitliche Ressourcen gespart werden, da kein Mitarbeiter sich in die neue Materie einarbeiten muss. So kann sichergestellt werden, dass keine Tätigkeiten vergessen und übersehen werden oder eine falsche Dokumentation vorgenommen wird. Zudem verfügen externe Datenschutzbeauftragte oft über ein gut strukturiertes Datenschutzmanagementsystem, welches für die Erstellung herangezogen werden kann und folglich ein hoher Standard etabliert wird. Wie genau eine Bestellung eines Datenschutzbeauftragten vonstattengeht, erfahren Sie hier.

Was muss bei einem Verzeichnis von Verarbeitungstätigkeiten beachten werden?

  • Welche formalen Anforderungen gibt es?
    • Das VVT muss in Deutschland in deutscher Sprache erstellt sein
    • Die Schriftform muss eingehalten werden gem. Art. 30 Abs. 3 DSGVO, dies kann auch elektronisch erfolgen gem. § 3a Abs. 2S. 1 VwVfG
    • Chronologische Führung einer Änderungshistorie zur Nachvollziehbarkeit
  • Welche inhaltlichen großen Anforderungen gibt es?
    • Art. 30 Abs. 1 lit. a): Name und Kontaktdaten des Verantwortlichen, sowie des etwaigen Datenschutzbeauftragten (E-Mail-Adresse)
    • 30 Abs. 1 lit. b): Zwecke der Verarbeitung (z.B. Überweisung des Lohns für Kontodaten)
    • 30 Abs. 1 lit. c): Beschreibung der Kategorien der betroffenen Person und der personenbezogenen Daten
    • 30 Abs. 1 lit. d): Kategorien der Empfänger, der die personenbezogenen Daten offengelegt worden oder noch offengelegt werden, einschließlich Drittlands-Empfänger
    • 30 Abs. 1 lit. e): Übermittlungen von personenbezogenen Daten an Drittländer, sowie die dazugehörige Dokumentation der geeigneten Garantie gem. Art. 49 Abs. 1
    • 30 Abs. 1 lit. f): Wenn möglich, Löschfrist der verschiedenen Datenkategorien
    • 30 Abs. 1 lit. g): Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1

Diese Angaben sind auch von Auftragsverarbeitern in angepasster Form zu dokumentieren.

Weitere Besonderheiten beim Verzeichnis von Verarbeitungstätigkeiten     

Ein vollumfängliches und ordentlich geführtes VVT kann viel Arbeit sparen, wenn es zu Offenlegungspflichten bei der Aufsichtsbehörde. Zudem bietet es Rechtssicherheit für den Verantwortlichen und führt langfristig zur Prozessoptimierung. Sollte es zu Nachfragen vonseiten einer Aufsichtsbehörde kommen, können Fehler im VVT erhebliche Folgen nach sich ziehen. Es ist daher dringend zu empfehlen das VVT auf eine gewissenhafte Art und Weise zu führen.

Um der Gewissenhaftigkeit Rechnung zu tragen, können weitere Maßnahmen ergriffen werden.  Ebenfalls kann ein VVT weiter ausgeführt werden, indem ein Nachweis über die technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO, sowie die Einhaltung der Betroffenenrechte gem. Art. 12 DSGVO dargelegt wird.

Menü