Verzeichnis von Verarbeitungstätigkeiten (VVT)

Die Datenschutzgrundverordnung (DSGVO, Art. 30) schreibt Unternehmen vor, das so genannte Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen, ähnlich wie das Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG-alt). Wer also schon vor Inkrafttreten der DSGVO ein Verfahrensverzeichnis geführt hat, kann auf dessen Grundlage das Verzeichnis von Verarbeitungstätigkeiten weiter ausbauen. Wir erklären in diesem Beitrag wer ein VVT führen muss, was in einem VVT enthalten sein muss und wie es grundsätzlich aufgebaut ist.

Wann muss ein VVT erstellt werden und wer ist dazu verpflichtet?

Zunächst stellt sich die Frage, wer ein Verzeichnis von Verarbeitungstätigkeiten erstellen und im Falle einer Anfrage der Aufsichtsbehörden vorlegen muss.

Grundsätzlich müssen alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, im Verzeichnis von Verarbeitungstätigkeiten aufgeführt werden. Das VVT ist Teil des Datenschutzkonzeptes.

Personenbezogene Daten sind solche, die sich auf eine natürliche Person beziehen und diese somit identifizierbar machen. Hierzu zählen unter anderem der Name und die Adresse einer Person, aber auch seine IP-Adresse.

Der Art. 30 (DSGVO) geht grundsätzlich davon aus, dass in diesen Fällen ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden muss. Sowohl der Verantwortliche für Datenverarbeitungsvorgänge als auch ein möglicher Auftragsverarbeiter (Subunternehmer, etc.) müssen gemäß DSGVO ein solches Verzeichnis anlegen.

Verantwortlicher ist immer derjenige, der – allein oder gemeinsam mit anderen – über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. I.d.R. ist dies der oder die Geschäftsführer bzw. bei Einzelunternehmen der Inhaber. Auftragsverarbeiter ist, wer im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, wobei durch den Verantwortlichen Mittel und Zwecke der Verarbeitung festgelegt werden. Der Auftragsverarbeiter hat keinerlei Entscheidungsbefugnis über die Daten und verfolgt mit diesen keine eigenen Geschäftszwecke. Zum Beispiel: Cloud-Anbieter oder Callcenter. Auch Subunternehmer zählen hierzu.

Pflichtbefreiung - gibt es die?

Im Art. 30, Abs. 5 (DSGVO) wird eine eingeschränkte Ausnahme von der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemacht. Diese gilt bei Einrichtungen mit weniger als 250 Mitarbeitern. Allerdings werden an diese Ausnahme Einschränkungen geknüpft:

  • Es darf kein Risiko für die Rechte und Freiheiten der betroffenen Person bestehen (z. B. Videoüberwachung).
  • Die Verarbeitung darf nur gelegentlich erfolgen.
  • Es darf keine Verarbeitung von personenbezogenen Daten der besonderen Kategorien nach Art. 9 DSGVO erfolgen (z. B. Gesundheitsdaten).

Allein aufgrund dieser Einschränkungen werden sich Unternehmen auch mit weniger als 250 Mitarbeitern nur schwer von der Pflicht zum Erstellen eines VVT befreien können. Grund hierfür ist die Tatsache, dass die meisten Verarbeitungstätigkeiten eben nicht nur gelegentlich, sondern regelmäßig erfolgen.

Beispiele hierfür: Das Führen von Personalakten, das Verwalten einer Kundendatenbank oder der Versand von Newslettern.

Deshalb sind i.d.R. auch beispielsweise Selbstständige, Handwerker und Arztpraxen zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten verpflichtet.

Fazit: In den meisten Unternehmen ist ein VVT erforderlich.

Was droht, wenn kein VVT vorhanden oder dieses unvollständig ist?

Hier beschreibt Art. 83 Abs. 4.a (DSGVO) ganz klar die Folgen bei fehlender bzw. unvollständiger Führung oder fehlender Vorlage des VVT (also einem Verstoß gegen Art. 30 DSGVO): Bußgelder von bis zu 10 Mio. Euro oder bei Unternehmen in Höhe von bis zu 2 Prozent des gesamten, weltweiten Vorjahresumsatzes. Hier zählt im übrigen die jeweils höhere Berechnung.

Fazit: Unterschätzen Sie das VVT nicht, sondern schenken Sie diesem Teil des Datenschutzkonzeptes besondere Beachtung.

Was sind eigentlich Verarbeitungstätigkeiten?

Eine Verarbeitungstätigkeit ist ein Vorgang oder Prozess, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Unter Verarbeitung versteht man jeden, mit oder ohne Hilfe automatisierter Verfahren durchgeführten, Vorgang im Zusammenhang mit personenbezogenen Daten.

Die DSGVO gibt hier insbesondere folgende Beispiele an:
Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln, Verbreiten, Bereitstellen, Abgleichen oder Verknüpfen von Daten.

Typische Verarbeitungsprozesse, die i.d.R. in jedem Unternehmen vorkommen, sind:

  • Bewerbermanagement
  • Personalverwaltung
  • Lohn– und Gehaltsabrechnung

Muss das VVT aktualisiert und überprüft werden?

Aktualität ist das Wichtigste beim Verzeichnis von Verarbeitungstätigkeiten. Hierzu muss das VVT regelmäßig gepflegt und aktuell gehalten werden. Immer wenn eine neue Verarbeitungstätigkeit mit personenbezogenen Daten hinzukommt oder wegfällt, muss auch das VVT entsprechend aktualisiert werden.

Darüber hinaus sollten Änderungen am VVT mit einer Speicherfrist von einem Jahr nachvollziehbar gehalten werden. So kommen Sie der Rechenschaftspflicht aus der DSGVO entsprechend nach. Sinnvoll zum Beispiel wenn sich der Verantwortliche in der Zwischenzeit geändert hat.

Hat das VVT weitere sinnvolle Ziele?

Neben der gesetzlichen Verpflichtung, ein VVT zu führen und es auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen, hilft es auch dabei, wenn betroffene Personen Auskunftsrechte gemäß Art. 15-21 DSGVO geltend machen. Abgesehen davon wird bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten der gesamte Betrieb unter die Lupe genommen und so kann mancher Prozess optimiert oder gar entfernt werden. Dies steigert die Effizienz Ihres Unternehmens.

Haben Sie noch Fragen zum Verzeichnis von Verarbeitungstätigkeiten oder benötigen Sie Hilfe bei der Erstellung eines VVT? Gerne stehen wir Ihnen als externer Datenschutzbeauftragter hierbei zur Seite.

^