Das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO
Das VVT dient hauptsächlich zum Nachweis der Einhaltung der DSGVO und ist damit ein Instrument der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
Die Rechenschaftspflicht gem. Art 5 Abs. 2 DSGVO ist umfassend und legt dem Verantwortlichen die Verpflichtung auf, alle Grundsätze des Art. 5 Abs. 1 DSGVO (Rechtmäßigkeit der Verarbeitung, Speicherbegrenzung, Integrität und Vertraulichkeit) einzuhaltenund diese nachzuweisen. Auch das Vorhandensein von Einwilligungen, die Ordnungsmäßigkeit der gesamten Verarbeitung und das Ergebnis von Datenschutz-Folgenabschätzungen muss der Verantwortliche durch Dokumentationen belegen können.
Das Verzeichnis ist auf Anfrage der Aufsichtsbehörde vorzulegen, damit Verarbeitungsvorgänge kontrolliert werden können. Das VVT darf in elektronischer Form geführt werden. Wegen der Vorlagepflicht gegenüber der Aufsichtsbehörde gemäß Art. 30 Abs. 4 DSGVO muss es in elektronischer oder gedruckter Form exportierbar sein.
Wann muss ein VVT geführt werden?
Die Pflicht zur Führung eines VVT beschränkt sich zwar gem. Art 30 Abs. 5 DSGVO auf Unternehmen mit einer Größe ab 250 Mitarbeitern; allerdings gibt es Ausnahmen.
Die Pflicht zur Führung des VVT besteht auch bei kleineren Unternehmen, wenn eine dieser drei genannten Gegenausnahmen zutrifft:
- die Verarbeitung mit einem besonderen Risiko verbunden ist
- sensible Daten (Art. 9 und 10 DSGVO) verarbeitet werden (z.B. rassische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten etc.)
- personenbezogene Datennicht nur gelegentlichverarbeitet werden.
Bei regelmäßiger Verarbeitung von personenbezogenen Daten ist die Mitarbeiterstärke also unabhängig!
Was muss im VVT erfasst werden?
- den Namen und Kontaktdaten des Verantwortlichen (ggf. des gemeinsam mit ihm Verantwortlichen; ggf. des Vertreters in der EU; ggf. des Datenschutzbeauftragten)
- die Zwecke der Verarbeitung
- die Kategorien betroffener Personen (die Daten welcher Personen werden verarbeitet?)
- die Kategorien personenbezogener Daten (was für Daten werden verarbeitet?)
- die Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden
- ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
- vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM = welche Maßnahmen werden ergriffen, um die Sicherheit personenbezogener Daten zu gewährleisten; Art. 32 DSGVO)
Mittlerweile haben viele Aufsichtsbehörden Hinweise und Muster als Hilfestellung für Unternehmen veröffentlicht.
Wir haben eine eigene Lösung entwickelt - das Datenschutz-Tool.
Das Tool soll Ihnen das Datenschutzmanagement leichter machen und deckt u.a. folgende Prozesse und Erforderlichkeiten ab:
- Audit
- VVT
- Erfassung von Datenweitergaben und deren Status
- Erfassung von Auftragsverarbeitungen und deren Status
- Erzeugen diverser interner und externer Berichte zur Dokumentation des Datenschutzmanagement
- Erfassen von Tätigkeiten für den Tätigkeitsbericht
- Zuordnung eigener Audit Berichte (z.B. QM, GoBD, etc.)
Wir stellen Ihnen gerne eine kostenlose Testversion zur Verfügung. Diese können Sie über Datenschutz-Tool.de herunterladen. Die Lizenzierung des Tools ist jederzeit möglich.
Für Rückfragen diesbezüglich stehen wir Ihnen gerne zur Verfügung.
FAQ im Zusammenhang
Was genau versteht die DSGVO eigentlich unter „Verarbeitung von personenbezogenen Daten“?
„Verarbeitung“ ist jeder Vorgang, der mit oder ohne HilfeautomatisierterVerfahren erfolgt. Damit ist das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung sowie das Löschen oder Vernichtung gemeint.
Was sind personenbezogene Daten?
Gemäß Art. 4 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Unter „identifizierbar“ versteht man eine Zuordnung zu einer Kennung.
Hier einige Beispiele:
- Name
- Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer etc.)
- Standortdaten
- E-Mail-Adresse
- Telefonnummer
- Kontonummern
- Online-Daten (IP-Adresse, Standortdaten etc.)
- Besitzermerkmale (Kfz-Kennzeichen, Zulassungsdaten, Grundbucheintragungen etc.)
- Kundendaten (Bestellungen, Adressdaten, Kontodaten etc.)
Tätigkeit des Datenschutzbeauftragten in Bezug auf das VVT
Da der Datenschutzberater (DSB) nur beratend tätig ist, können ihm bezüglich des VVT nur administrative Funktionen übertragen werden; d.h. die Verantwortung für das VVT kann nicht auf den DSB übertragen werden. Die Erstellung und Pflege der Verarbeitungsmeldungen bleibt eine Bringschuld des Verantwortlichen. Der DSB überwacht die Erstellung, Pflege und Kontrolle der Verfahrensmeldung auf der Ebene der Fachprozesse durch die Fachbereiche, Zentrale Führung des VVT, Aktualität und Vollständigkeit.
Auftragsverarbeitung
„Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch Dritte im Auftrag des Verantwortlichen (Art. 28 DSGVO)“
(Fast) immer, wenn andere Unternehmen Zugriff auf personenbezogene Daten (z.B. auf Daten von Kunden) bekommen, handelt es sich um eine Datenweitergabe und sind im Bereich der Auftragsverarbeitung. Somit muss ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen werden.
Auftragsverarbeiter kann eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet sein. Charakteristisch für die Auftragsverarbeitung ist, dass der Auftraggeber einen externen Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Der externe Dienstleister wird nur „unterstützend“ tätig. Die Verantwortung für die ordnungsgemäße Datenverarbeitung bleibt dabei beim Auftraggeber!
Alle Auftragsverarbeitungen/Datenweitergaben sind im Verzeichnis von Verarbeitungstätigkeiten zu erfassen.