Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Das Verzeichnis von Verarbeitungstätigkeiten (abgekürzt auch „VVT“) ist ein wichtiges Dokument, das für Unternehmen gemäß der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben ist.

Art. 30 DSGVO definiert die Anforderungen, die ein VVT enthalten muss. Es dient dem Nachweis der Einhaltung der DSGVO und somit der Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

Es handelt sich um eine Liste aller Verarbeitungsvorgänge im Unternehmen, bei denen personenbezogene Daten verarbeitet werden.

Wann brauche ich ein VVT?

Die Pflicht zum Führen eines Verarbeitungsverzeichnisses besteht nach Art. 30 Abs. 5 DSGVO erst einmal nur für Unternehmen mit mehr als 250 Mitarbeitern. Diese Anforderung ist jedoch mit einem großen ABER verbunden: Die Verpflichtung zur Führung des VVT gilt auch für kleinere Unternehmen, wenn mindestens eine dieser drei Anforderungen erfüllt ist:

  • Verarbeitung birgt ein besonderes Risiko für die betroffenen Personen
  • Verarbeitung erfolgt „nicht nur gelegentlich“
  • Verarbeitung von besonderen Datenkategorien gemäß Art. 9 DSGVO, also z.B. Gesundheitsdaten

Zu den „nicht nur gelegentlichen“ Verarbeitungen gehört bereits eine regelmäßige Lohnabrechnung, der Betrieb einer Webseite oder die Nutzung eines Email-Programms.

Dementsprechend sind auch Kleinstunternehmen und Einzelunternehmer davon betroffen. Somit benötigen fast alle in der EU tätigen Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten.

Welche Angaben müssen in ein VVT?

Der Inhalt des Verzeichnisses der Verarbeitungstätigkeiten ist gesetzlich in Art. 30 DSGVO geregelt. Es muss alle wesentlichen Informationen über die Verarbeitung enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen
  • Beschreibung der Kategorien personenbezogener Daten
  • Kategorien von Empfängern
  • Übermittlung von personenbezogenen Daten in Drittländer
  • Löschfristen für die verschiedenen Datenkategorien
  • Beschreibung der technischen und organisatorischen Maßnahmen (TOM)

Welche Prozesse müssen ins VVT aufgenommen werden?

Alle Prozesse, bei denen Daten automatisch verarbeitet werden, entweder elektronisch oder in analoger Form, müssen in das Verarbeitungsverzeichnis einbezogen werden:

  • Elektronisch: Dies umfasst alle digitalen Verarbeitungen, bspw. die Arbeitszeiterfassung mit einer Zeiterfassungs-Software oder Excel-Listen.
  • Analog: Dies bedeutet, dass auch analoge, z. B. auf Papier geschriebene personenbezogene Daten unter die DSGVO fallen, wenn diese Informationen anschließend in einem Dateisystem gespeichert werden. Das Dateisystem kann auch analog sein und bedeutet eine strukturierte Ablage der Dokumente, z. B. ausgedruckte Personalakten in sortierten Ordnern, die in einem Schrank aufbewahrt werden.

Welche Form muss das VVT haben?

Die DSGVO schreibt keine bestimmte Form für das VVT vor, nur dass es schriftlich geführt werden muss. Dementsprechend kann das Verzeichnis auch in einer Excel- oder Word-Datei geführt werden.

Aufgrund der Verpflichtung, das Verarbeitungsverzeichnis den Aufsichtsbehörden auf Verlangen vorzulegen (Art. 30 Abs. 4 DSGVO), muss es jedoch möglich sein, das Verarbeitungsverzeichnis entweder elektronisch oder in ausgedruckter Form per Post an die Behörde zu senden.

Wer erstellt ein VVT?

Die Pflicht zur Führung eines Verzeichnisses der Datenverarbeitung obliegt dem für die Verarbeitung Verantwortlichen eines Unternehmens (Art. 30 Abs. 1 DSGVO), also in der Regel der Geschäftsführung.

Der Datenschutzbeauftragte hat eine beratende Funktion gem. Art. 37 DSGVO. Die Inhalte des VVT werden in der Regel von den einzelnen Abteilungen ausgefüllt, da meistens nur diese über detaillierte Kenntnisse der spezifischen Prozesse verfügen.

Änderungen in den Prozessen und damit im Verarbeitungsverzeichnis müssen immer sofort im VVT angepasst werden.

Wann und wem muss ich ein VVT vorzeigen?

Das Verarbeitungsverzeichnis muss auf Anfrage der Aufsichtsbehörde vorgezeigt werden, damit alle Verarbeitungsvorgänge überprüft werden können.

Dies geschieht in der Regel im Rahmen einer Überprüfung des Unternehmens nach einer gemeldeten Datenpanne, unzureichend beantworteter Betroffenenanfrage oder einer anlasslosen Überprüfung.

Was passiert, wenn ich kein VVT habe?

Das Fehlen eines VVT kann von der Aufsichtsbehörde mit einem hohen Bußgeld belegt werden. Diese Geldbuße kann bis zu 10 Mio. EUR oder bis zu 2 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist (Artikel 83 Absatz 4 DSGVO).

Wie oft muss ich ein VVT aktualisieren?

Das Verzeichnis der Verarbeitungstätigkeiten muss immer auf dem aktuellen Stand sein. Das bedeutet, dass Änderungen von Verarbeitungen unverzüglich im VVT angepasst werden müssen.

Ein Verarbeitungsverzeichnis sollte zudem in regelmäßigen Abständen auf Vollständigkeit und Aktualität überprüft werden.

Um den Rechenschaftspflichten der DSGVO gerecht zu werden, sollten die Änderungen im VVT versioniert nachvollziehbar sein, nicht zuletzt, um der Aufsichtsbehörde die Einhaltung des Datenschutzes nachweisen zu können.

Lassen Sie sich jetzt beraten!

Wir freuen uns darauf, Sie kennenzulernen.
Sie möchten ein kostenloses Angebot oder eine Erstberatung erhalten oder möchten sich einfach nur unverbindlich mit uns in Verbindung setzen?
Wir freuen uns auf Ihre Nachricht oder Ihren Anruf!
+49 (0) 89 215 281 07

Kostenlose Erstberatung oder
Angebot anfordern.

Datenschutz-Blog

Wissenswertes zum Datenschutz finden Sie in unseren Blog-Beiträgen.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Wie hoch sind die Bußgelder bei Datenschutzverstößen?

Wie hoch sind die Kosten für einen externen Datenschutzbeauftragten?

Vor- und Nachteile: interner vs. externer Datenschutzbeauftragter

Was ist die Datenschutz-Grundverordnung? Und wie kann ich sie einhalten?

Was sind technische und organisatorische Maßnahmen (TOMs)?

Ab wann muss ich einen Datenschutzbeauftragten (DSB) benennen?

Was ist eine Betroffenenanfrage und worauf muss ich unbedingt achten?

PrivacyPoint
envelope