Das Verzeichnis von Verarbeitungstätigkeiten DSGVO

Datenschutz verstehen – Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach der DSGVO – Die Dokumentationspflicht für Unternehmen

Zusammenfassung
  1. Das Verzeichnis von Verarbeitungstätigkeiten, auch VVT genannt, muss von jeder verantwortlichen Stelle angefertigt werden.
  2. Auch Auftragsverarbeiter müssen ein Verzeichnis von Verarbeitungstätigkeiten anfertigen.
  3. Das VVT muss in schriftlicher Form geführt werden. Dies kann auch in einem elektronischen Format erfolgen.
  4. Die inhaltlichen Angaben, die enthalten sein müssen, gibt der Katalog in Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO vor. Dies sind beispielsweise die Zwecke der Verarbeitung, die Kategorien betroffener Personen sowie der personenbezogenen Daten und die Kategorien von Empfängern, denen die personenbezogenen Daten vorgelegt werden.
  5. Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, können unter der Erfüllung weiter Voraussetzungen von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten befreit werden.
  6. Verstöße gegen die gesetzlichen Vorgaben für das VVT können mit Bußgeldern von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bestraft werden.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Das Verzeichnis von Verarbeitungstätigkeiten, kurz VVT, muss in der Regel von allen verantwortlichen Stellen erstellt werden. Begrifflich erscheint das Verzeichnis von Verarbeitungstätigkeiten wie ein neues Konstrukt der europäischen Datenschutz-Grundverordnung (DSGVO), inhaltlich existierte aber bereits im alten Bundesdatenschutzgesetz eine ähnliche gesetzliche Vorgabe an verantwortliche Stellen. In unserem Blogbeitrag erfahren Sie, welche Angaben in ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO gehören und in welchen Fällen verantwortliche Stellen und Unternehmen von der Pflicht für die Erstellung und Führung eines VVT befreit sind.

 

Das Verarbeitungsverzeichnis und die Vorgaben nach der DSGVO 

Bereits nach altem Recht existierte ein ähnliches Konstrukt wie das VVT, welches von verantwortlichen Stellen angefertigt werden musste: Gem. §§ 4 e S.1, 4g Abs. 2 S.1 BDSG-alt war eine sogenannte „Übersicht” zu erstellen. In der Praxis war in diesem Zusammenhang grundsätzlich von einem sog. Verfahrensverzeichnis die Rede, welches im Gegensatz zum VVT nach der DSGVO auch öffentlich einsehbar sein musste, vgl. § 4 g Abs. 2 S.2 BDSG-alt., und zwar auf Antrag für „Jedermann”.

Das BDSG wurde 2018 jedoch von der DSGVO „abgelöst“, bzw. in seiner Bedeutung verdrängt. Das liegt daran, dass die DSGVO eine europäische Verordnung ist und diese in der Rangordnung über dem deutschem Recht steht. Deshalb wurde das BDSG überarbeitet, und wirkt seit der Einführung der DSGVO unterstützend, weshalb aktuell die DSGVO in den meisten Fällen maßgebend ist.

Das Verzeichnis von Verarbeitungstätigkeiten ist in der DSGVO in Art. 30 DSGVO geregelt. Hiernach müssen alle Verantwortlichen ein Verzeichnis von Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. Welche inhaltlichen Angaben dieses Verzeichnis in Bezug auf alle Verarbeitungen enthalten muss, gibt der Katalog in Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO vor. Hierzu gehören beispielsweise Angaben wie die Zwecke der Verarbeitungen, die Kategorien betroffener Personen und die Kategorien von Empfängern. Zu beachten ist, dass das VVT schriftlich zu dokumentieren ist, was auch in einem elektronischen Format erfolgen kann, vgl. Art. 30 Abs. 3 DSGVO.

Zu beachten ist ferner, dass der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung stellen muss, vgl. Art. 30 Abs. 4 DSGVO.

Sie möchten mehr zu dem Thema Datenschutz erfahren?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Slider
 

Pflichtangaben für das Verarbeitungsverzeichnis

In Art. 30 DSGVO wird genau definiert, welche Angaben Verantwortliche je Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten angeben müssen. Verantwortliche und ggfs. deren Vertreter müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis muss folgende Angaben enthalten:

  1. Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten (Art. 30 Abs. 1 lit. a) DSGVO);
  2. Die Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b) DSGVO);
  3. Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit. c) DSGVO);
  4. Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (Art. 30 Abs. 1 lit. d) DSGVO);
  5. Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 und Abs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien (Art. 30 Abs. 1 lit. e) DSGVO);
  6. Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f) DSGVO);
  7. Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 (Art. 30 Abs. 1 lit. g) DSGVO).

Gewisse Angaben, wie z.B. der Name und die Kontaktdaten des Datenschutzbeauftragten, sind im Verzeichnis von Verarbeitungstätigkeiten nur einmal zu nennen.

 

Welche Angaben müssen Auftragsverarbeiter in ihr Verarbeitungsverzeichnis aufnehmen?

Außerdem ist zu beachten, dass nicht nur Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten anfertigen müssen, sondern auch Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO, vgl. Art. 30 Abs. 2 DSGVO. Demnach muss jeder Auftragsverarbeiter und ggfs. sein Vertreter ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitungen führen, die folgende Angaben enthält:

  1. Den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten (Art. 30 Abs. 2 lit. a) DSGVO);
  2. Die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden (Art. 30 Abs. 2 lit. b) DSGVO);
  3. die Übermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Uabs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien (Art. 30 Abs. 2 lit. c) DSGVO);
  4. Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem Art. 32 Abs. 1 DSGVO (Art. 30 Abs. 2 lit. d) DSGVO).
Sie benötigen noch mehr Beratung zum Thema Datenschutz? - Wir beraten Sie gerne.
Slider
 

Ausnahmen von der Dokumentationspflicht durch ein Verarbeitungsverzeichnis nach DSGVO

Von der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO und/oder Art. 30 Abs. 2 DSGVO zu führen, können Unternehmen und Einrichtungen gem. Art. 30 Abs. 3 DSGVO befreit sein, wenn sie weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, oder

die Verarbeitung erfolgt nicht nur gelegentlich oder

es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.

Dieser Befreiungstatbestand ist allerdings mit Vorsicht zu genießen: Bezüglich der Auslegung dieses Ausnahmetatbestandes existieren einige Hinweise von den unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK):

“Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht also bereits dann, wenn mindestens eine der genannten drei Fallgruppen erfüllt ist. Wegen der regelmäßig erfolgenden Lohnabrechnungen werden damit kaum Unternehmen von der Pflicht eines solchen Verzeichnisses generell befreit sein; allenfalls Unternehmen, die diese Tätigkeiten komplett durch einen Steuerberater erledigen lassen, sowie eventuell kleinere Vereine. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor. Der Begriff „nicht nur gelegentlich“ ersetzt das „regelmäßig“ des BDSG und kann über die Leitlinien zum Datenschutzbeauftragten nach der DS-GVO der Artikel-29-Gruppe (WP 243) interpretiert werden. Nach Ziff. 2.1.4 liegt der Begriff „regelmäßig“ vor, wenn mindestens eine der folgenden Eigenschaften erfüllt ist: fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, ständig oder regelmäßig stattfindend.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können z.B. sein: Videoüberwachungen, Bonitätsscoring- und Betrugspräventionsverfahren, Ortung von Mitarbeitern (z.B. mittels GPS), Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.”

Zusammenfassend stellt die DSK fest, dass davon auszugehen ist, dass die Ausnahmen nach Art. 30 Abs. 5 DSGVO nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

 

Was kann passieren, wenn kein VVT geführt wird oder dieses nicht vollständig ist?

Ein Verstoß gegen die gesetzlichen Vorgaben gem. Art. 30 DSGVO für das VVT kann von der zuständigen Aufsichtsbehörde mit einem Bußgeld von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 lit. a) DSGVO. 

 

FAQ

Wie kann ein externer Datenschutzbeauftragter helfen?

Ein externer Datenschutzbeauftragter hilft bei der rechtssicheren Umsetzung des Datenschutzes im Unternehmen. Hierbei ist eine gewisse Expertise gefragt. Externe Datenschutzbeauftragte müssen daher notwendige berufliche Qualifikationen wie z.B. einen akademischen Grad vorweisen aber auch praktische Erfahrungen gesammelt haben. Das Risiko bei der Erfüllung der Aufgaben hat der Datenschutzbeauftragte gebührend Rechnung zu tragen wie in Art. 39 Abs. 2 DSGVO geregelt. Es ist folglich sicherzustellen, dass alle Aufgaben des Art. 39 Abs. 1 DSGVO vollumfassend erfüllt werden. Um dem gerecht zu werden, ist eine ständige Auseinandersetzung und regelmäßige Schulungen mit datenschutzrechtlichen Themen notwendig. Oft können sich externe Datenschutzbeauftragte auf ein qualifiziertes Team von mehreren Mitarbeitern stützen, die gemeinsam den bestmöglichen Datenschutz garantieren können. Konkret hilft der externe Datenschutzbeauftragte bei der Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten gem. Art. 39 Abs. 1 lit a) DSGVO, bei der Überwachung der Einhaltung der DSGVO und weiterer Datenschutzvorschriften der Union, Sensibilisierung und Schulung der Mitarbeiter gem. Art. 39 Abs. 1 lit. b) DSGVO. Außerdem kann dieser bei der Datenschutzfolgenabschätzung beratend zur Verfügung stehen i.S.d. Art. 39 Abs. 1 lit. c) DSGVO und Abhilfe schaffen bei der Konsultation und Korrespondenz von Aufsichtsbehörden und damit verbundene Fragen.

Überdies kann der externe Datenschutzbeauftragte auch bei der Erstellung eines VVT unterstützend tätig werden. Ohnehin ist hier das Know-how und die Praxiserfahrung des Datenschutzbeauftragten ausschlaggebend. Mit expliziten Fragen an den Verantwortlichen können die Verarbeitungstätigkeiten erkennbar gemacht werden und dokumentiert werden. Zudem können enorme zeitliche Ressourcen gespart werden, da kein Mitarbeiter sich in die neue Materie einarbeiten muss. So kann sichergestellt werden, dass keine Tätigkeiten vergessen und übersehen werden oder eine falsche Dokumentation vorgenommen wird. Zudem verfügen externe Datenschutzbeauftragte oft über ein gut strukturiertes Datenschutzmanagementsystem, welches für die Erstellung herangezogen werden kann und folglich ein hoher Standard etabliert wird. Wie genau eine Bestellung eines Datenschutzbeauftragten vonstattengeht, erfahren Sie hier.

Checkliste: Was muss ich bei einem Verzeichnis von Verarbeitungstätigkeiten beachten?

  • Welche formalen Anforderungen gibt es?
    • Das VVT muss in Deutschland in deutscher Sprache erstellt sein
    • Die Schriftform muss eingehalten werden gem. Art. 30 Abs. 3 DSGVO, dies kann auch elektronisch erfolgen gem. § 3a Abs. 2S. 1 VwVfG
    • Chronologische Führung einer Änderungshistorie zur Nachvollziehbarkeit
  • Welche inhaltlichen großen Anforderungen gibt es?
    • Art. 30 Abs. 1 lit. a): Name und Kontaktdaten des Verantwortlichen, sowie des etwaigen Datenschutzbeauftragten (E-Mail-Adresse)
    • 30 Abs. 1 lit. b): Zwecke der Verarbeitung (z.B. Überweisung des Lohns für Kontodaten)
    • 30 Abs. 1 lit. c): Beschreibung der Kategorien der betroffenen Person und der personenbezogenen Daten
    • 30 Abs. 1 lit. d): Kategorien der Empfänger, der die personenbezogenen Daten offengelegt worden oder noch offengelegt werden, einschließlich Drittlands-Empfänger
    • 30 Abs. 1 lit. e): Übermittlungen von personenbezogenen Daten an Drittländer, sowie die dazugehörige Dokumentation der geeigneten Garantie gem. Art. 49 Abs. 1
    • 30 Abs. 1 lit. f): Wenn möglich, Löschfrist der verschiedenen Datenkategorien
    • 30 Abs. 1 lit. g): Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1

Diese Angaben sind auch von Auftragsverarbeitern in angepasster Form zu dokumentieren.

Was sollte noch Wichtiges beachtet werden?     

Ein vollumfängliches und ordentlich geführtes  VVT kann viel Arbeit sparen, wenn es zu Offenlegungspflichten bei der Aufsichtsbehörde. Zudem bietet es Rechtssicherheit für den Verantwortlichen und führt langfristig zur Prozessoptimierung. Sollte es zu Nachfragen vonseiten einer Aufsichtsbehörde kommen, können Fehler im VVT erhebliche Folgen nach sich ziehen. Es ist daher dringend zu empfehlen das VVT auf eine gewissenhafte Art und Weise zu führen.

Um der Gewissenhaftigkeit Rechnung zu tragen, können weitere Maßnahmen ergriffen werden.  Ebenfalls kann ein VVT weiter ausgeführt werden, indem ein Nachweis über die technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO, sowie die Einhaltung der Betroffenenrechte gem. Art. 12 DSGVO dargelegt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

    Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

    Persönliche Angaben

    Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

    Zusätzliche Informationen

    Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

     
    ANGEBOT ERHALTEN