Das Verzeichnis von Verarbeitungstätigkeiten (VVT)

26.04.2021 Datenschutz Esther Rosenberg-Brandt

Für die meisten Unternehmen ist die Führung des Verzeichnisses von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO Pflicht.

Die Erstellung erscheint jedoch oft schwierig und langwierig.

Mit diesem Beitrag beschäftigen wir uns mit dem Verzeichnis von Verarbeitungstätigkeiten.

Vielen Datenschutzbeauftragt:innen ist nicht bewusst, dass das Verzeichnis von Verarbeitungstätigkeiten (VVT) auch als das „Herzstück des Datenschutzmanagements“ bezeichnet werden kann. Das Verzeichnis dient dem Nachweis der Einhaltung der Datenschutzgrundverordnung (DSGVO).

Datenschutz Coaching

Als interne/r Datenschutzbeauftragte/r liegen unzählige Aufgaben vor Ihnen. Mit unserer Blog-Reihe „Coaching für Datenschutzbeauftragte“ erhalten Sie praktische Tipps für die Umsetzung.

Sie haben noch mehr Fragen? Gerne bieten wir Ihnen ein individuelles 1:1 Datenschutz Coaching an, in dem wir alle relevanten Themen detailliert besprechen und gemeinsam Lösungen für die direkte Umsetzung in Ihrem Unternehmen ausarbeiten.

Unser Angebot für Sie.

Tätigkeit des/der Datenschutzbeauftragten (DSB) in Bezug auf das Verzeichnis von Verarbeitungstätigkeiten (VVT)

Der/die Datenschutzbeauftragte/r ist nur beratend tätig.
Demnach können ihm/ihr bezüglich des Verzeichnisses nur administrative Funktionen übertragen werden; d.h. die Verantwortung für das Verzeichnis von Verarbeitungstätigkeiten kann nicht auf den/die Datenschutzbeauftragte/n übertragen werden.

Der/die Datenschutzbeauftragte wirkt auf ein vollständiges und aktuelles Verzeichnis für Verarbeitungstätigkeiten (VVT) hin, da dies ein wesentlicher Dokumentationsschwerpunkt zur Erfüllung von Aufgaben ist.

Bezüglich der Umsetzung entstehen oft Fragen:

Wir als externe Datenschutzbeauftragte der werning.com GmbH haben für unsere Kund:innen eine Vorgehensweise entwickelt, um die Führung und Pflege des Verzeichnisses zu vereinfachen.

Hierfür nutzen wir unser eigens entwickeltes Datenschutz-Tool.
Mit diesem Tool werden viele erforderliche Schritte für ein geordnetes Datenschutzmanagement abgedeckt; von dem Verzeichnis von Verarbeitungstätigkeiten bis hin zur Risikobeurteilung.

https://datenschutz-tool.de/

Woher bekomme ich als Datenschutzbeauftragte/r notwendige Informationen und wie gehe ich weiter vor?

Im ersten Schritt erhält die Geschäftsführung eine Übersicht, in der „Standard-Verfahren“ (die einzelnen Verarbeitungsvorgänge nennen sich Verfahren) aufgelistet sind.

Diese Liste ist dann von der Geschäftsleitung oder von dem/der verantwortlichen Person um fehlende Verfahren zu ergänzen und die verfahrensverantwortlichen Personen (inklusive zugehöriger Abteilung) sind zu benennen.

Durch das Benennen von verfahrensverantwortlichen Personen wird die Geschäftsleitung nicht von der Verantwortung zur Einhaltung der Datenschutzgrundverordnung (DSGVO) entbunden!

Die verantwortliche Stelle ist in der Datenschutzgrundverantwortung (DSGVO) definiert und wird von der Geschäftsleitung entsprechend vertreten.

Nachdem die Verantwortlichkeiten je Verfahren festgelegt sind, werden die einzelnen verantwortlichen Personen mittels eines „Erfassungsbogens“ gebeten die Verarbeitungsvorgänge zu beschreiben.

Aus diesem Bogen muss u.a. hervorgehen:

Verfahrensverantwortliche Person inkl. zugehöriger Abteilung
Zweck der Datenverarbeitung: Wie und warum werden die Daten verarbeitet
Datenkategorien die verarbeitet werden
Betroffene Personengruppen
Speicherort
Datenweitergaben
Aufbewahrungsfristen
Technisch-organisatorische Maßnahmen (TOM = welche Maßnahmen wurden getroffen, um die personenbezogenen Daten zu schützen)

Anschließend werden diese Informationen in das Verzeichnis von Verarbeitungstätigkeiten eingearbeitet; bei evtl. fehlenden Angaben wird bei der zuständigen verantwortlichen Person nachgefasst.

Sobald alle Angaben vorliegen wird eine Risikobewertung durchgeführt.
Hier wird das Schadenspotenzial anhand der Datenkategorien geprüft (Einteilung der Datenkategorien in Schutzstufen, um die Schwere von möglichen Folgen ermitteln zu können, wenn die benannten verarbeiteten Daten nicht ausreichend geschützt werden).
Im gleichen Schritt wird die Eintrittswahrscheinlichkeit des Schadens aufgrund der angegebenen und angewendeten technisch organisatorischen Maßnahmen (kurz TOM) beurteilt.
Die ist erforderlich, um die Angemessenheit der Datenverarbeitung und des Schutzes zu bewerten.

Im nächsten Schritt werden alle Datenweitergaben geprüft (auf Rechtsgrundlagen sowie auf Erforderlichkeit, Vollständigkeit und Vorhandensein von evtl. Verträgen).

Nähere Informationen und Tipps zur Überprüfung der Datenweitergaben erhalten Sie in einem unserer nächsten Blog-Beiträge.

Das Verzeichnis ist regelmäßig durch die Verfahrensverantwortlichen zu prüfen und ggf. zu aktualisieren.

Überblick der Vorgehensweise:

Zuordnung der vorhandenen Verfahren sowie verfahrensverantwortlichen Personen
Erfassung aller notwendigen Angaben zu den einzelnen Verfahren mittels Erfassungsbögen durch die verfahrensverantwortlichen Personen
Eingabe der Informationen in das VVT
Prüfung der Datenweitergaben
Durchführung der Risikobeurteilung
Handlungsempfehlungen

Wann ist ein Verzeichnis von Verarbeitungstätigkeiten vollständig?

Das Verzeichnis von Verarbeitungstätigkeiten ist vollständig, wenn alle o.g. Angaben erfasst wurden.
Es ist jedoch wichtig, das Verzeichnis in regelmäßigen Abständen zu aktualisieren und ggf. bei Änderungen zu ergänzen.

Wir empfehlen Ihnen, die Mitarbeitenden einmal jährlich um die Überprüfung der einzelnen Verfahren zu bitten und Ihnen eventuelle Neuerungen mitzuteilen.

Grundsätzlich sind Verarbeitungen (und auch wesentliche Änderungen) vor der Umsetzung auf Datenschutzkonfomität zu prüfen und zu bewerten.

Haben Sie weitere Fragen oder gar Themenwünsche, die wir in unserer Reihe „Coaching für Datenschutzbeauftragte“ aufnehmen sollten?

Melden Sie sich gerne oder besuchen Sie auch unsere regelmäßige offene Datenschutzsprechstunde.

Vielleicht sehen wir uns auch bei einem 1:1 Datenschutzcoaching?

Zurück zur Übersicht