25. Juli 2019

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Tipps und Checklisten

Die Datenschutz-Grundverordnung (DSGVO) schreibt Unternehmen vor, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen (Art. 30 DSGVO). Dieses Verzeichnis ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG-alt). Wer also bereits vor der Geltung der DSGVO ein Verfahrensverzeichnis geführt hat, kann auf dessen Grundlage das Verzeichnis von Verarbeitungstätigkeiten aufbauen und weiterentwickeln. In diesem Artikel soll insbesondere geklärt werden, wer ein VVT führen muss, was in ein VVT gehört und wie es aufgebaut wird. Außerdem beinhaltet er praxisnahe Tipps, Beispiele und eine Checkliste für ein gelungenes Verzeichnis von Verarbeitungstätigkeiten.

Wer ist verpflichtet und wann muss ein VVT erstellt werden?

Die wichtigste Frage ist zunächst, wer überhaupt ein Verzeichnis von Verarbeitungstätigkeiten erstellen und bei Anfrage der Aufsichtsbehörde vorlegen muss. Hierbei muss unterschieden werden, für welche Datenverarbeitungen ein solches vorgeschrieben ist und für welche Personen und Unternehmen die Pflicht besteht, ein VVT zu führen.

Grundsätzlich gehören alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, in das Verzeichnis von Verarbeitungstätigkeiten. Es ist Teil eines gelungenen Datenschutzmanagementsystems. Personenbezogene Daten sind solche, die sich auf eine natürliche Person beziehen und diese zumindest identifizierbar machen. Personenbezogene Daten sind beispielsweise der Name und die Adresse einer Person, aber ebenso seine IP-Adresse.

Artikel 30 DSGVO geht grundsätzlich davon aus, dass in solchen Fällen ein VVT erstellt werden muss. Sowohl der Verantwortliche für Datenverarbeitungsvorgänge als auch ein möglicher Auftragsverarbeiter müssen nach der Datenschutz-Grundverordnung ein solches Verzeichnis anlegen.

Verantwortlicher ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Auftragsverarbeiter ist, wer im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, wobei der Verantwortliche Mittel und Zwecke der Verarbeitung festlegt. Der Auftragsverarbeiter hat keine Entscheidungsbefugnis über die Daten und verfolgt mit diesen keine eigenen Geschäftszwecke; beispielsweise sind das Cloud-Anbieter oder Callcenter.

Wann ist man von der Pflicht befreit?

Von der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten wird eine eingeschränkte Ausnahme bei Einrichtungen mit weniger als 250 Mitarbeitern gemacht (Art. 30 Abs. 5 DSGVO). Folgende Einschränkungen werden an diese Ausnahme geknüpft:

  • Es darf kein Risiko für die Rechte und Freiheiten der betroffenen Person bestehen (z. B. Videoüberwachung).
  • Die Verarbeitung darf nur gelegentlich erfolgen.
  • Es darf keine Verarbeitung von personenbezogenen Daten der besonderen Kategorien nach Art. 9 DSGVO erfolgen (z. B. Gesundheitsdaten).

Aufgrund dieser Einschränkungen werden sich Unternehmen auch mit weniger als 250 Mitarbeitern kaum von der Pflicht zum Erstellen eines VVT befreien können. Denn die meisten Verarbeitungstätigkeiten erfolgen gerade nicht nur gelegentlich, sondern regelmäßig, wie etwa das Führen von Personalakten, das Verwalten einer Kundendatenbank oder der Versand von Newslettern. Deshalb sind in der Regel auch beispielsweise viele Selbstständige, Handwerker und Arztpraxen zum Führen eines VVT verpflichtet.
Es bleibt festzuhalten: In den meisten Unternehmen ist ein Verzeichnis von Verarbeitungstätigkeiten erforderlich.

Was passiert, wenn ich kein VVT habe oder es unvollständig ist?

Warum ein VVT wichtig ist und nicht unterschätzt werden sollte, zeigt ein Blick in den Artikel 83 DSGVO: Dort wird bei fehlender oder nicht vollständiger Führung oder Nichtvorlage des Verzeichnisses von Verarbeitungstätigkeiten, also einem Verstoß gegen Artikel 30 DSGVO, ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes angedroht.
Darum gilt: Das VVT sollte nicht unterschätzt, sondern besonders beachtet werden!

Wie wird das VVT grob aufgebaut?

Das Verzeichnis von Verarbeitungstätigkeiten gliedert sich idealerweise in zwei übergeordnete Blöcke:

  • Namen und Kontaktdaten
  • Die einzelnen Verarbeitungstätigkeiten

Im Folgenden werden wir uns vor allem mit dem VVT für den Verantwortlichen näher beschäftigen. Für Auftragsverarbeiter sind die Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten grundsätzlich etwas geringer.

Wie beginne ich das VVT?

Das VVT beginnt mit den Namen und Kontaktdaten des Verantwortlichen und seines Vertreters.
Sollte der Verantwortliche mit einem anderen gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden, so müssen auch diese anderen Verantwortlichen mit Namen und Kontaktdaten aufgeführt und mit der entsprechenden Verarbeitungstätigkeit verknüpft werden.
Gemeinsame Verantwortlichkeit („Joint Control“) liegt etwa vor, wenn ein Arbeitgeber mit einem Personalvermittlungs-Dienstleister zusammenarbeitet, der für diesen Bewerber sichtet und ggf. erste Gespräche führt. Sie kann nach der Rechtsprechung aber auch schon auf den Betreiber einer Facebook-Fanpage zutreffen.

Darüber hinaus muss, sofern ein Datenschutzbeauftragter benannt wurde, dessen Name und Kontaktdaten im Verzeichnis von Verarbeitungstätigkeiten aufgeführt werden.
Ein Datenschutzbeauftragter ist übrigens nötig, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder – vereinfacht gesagt – die Kerntätigkeit des Unternehmens die Verarbeitung personenbezogener Daten umfasst. Kerntätigkeit eines Onlineshops ist beispielsweise der Verkauf, während Auskunfteien personenbezogene Daten in ihrer Kerntätigkeit verarbeiten. Mehr über typische Fragen zum Datenschutzbeauftragten und die größten DSGVO-Mythen erfahren Sie in einem anderen Blogartikel.

Auftragsverarbeiter müssen Namen und Kontaktdaten von sich und ihrer Vertreter, aller Auftraggeber und ihrer Vertreter sowie eines etwaigen Datenschutzbeauftragten nennen.

 

 

 

 

 

 

 

 

Was sind Verarbeitungstätigkeiten und welche gibt es?

Eine Verarbeitungstätigkeit ist ein Vorgang, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Unter einer Verarbeitung versteht man jeden mit oder ohne Hilfe automatisierter Verfahren durchgeführten Vorgang im Zusammenhang mit personenbezogenen Daten.

Die Datenschutz-Grundverordnung nennt hierfür insbesondere folgende Beispiele: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln, Verbreiten, Bereitstellen, Abgleichen oder Verknüpfen von Daten.

Möchte man mit der Eintragung der einzelnen Verarbeitungstätigkeiten beginnen, muss man sich also zuerst darüber bewusst werden, welche im Unternehmen überhaupt existieren. Dafür kann es hilfreich sein, das Unternehmen im Vorfeld in organisatorische Bereiche einzuteilen und dann jeden Bereich nacheinander abzuarbeiten.

Hierzu muss auch geklärt werden, welche Software verwendet wird, und welche davon personenbezogenen Daten beispielsweise automatisch verarbeitet. Oftmals wird auch auf US-Dienstleister als Auftragsverarbeiter zurückgegriffen. Beides darf bei der Auflistung der Verarbeitungstätigkeiten auf jeden Fall nicht vergessen werden.

Typische Verarbeitungsprozesse, die in eigentlich jedem Unternehmen vorkommen, sind etwa:

  • Personalverwaltung
  • Lohn- und Gehaltsabrechnung
  • Bewerbermanagement

Es kann auch sinnvoll sein, die Verarbeitungstätigkeiten in übergeordnete Gruppen einzuteilen, etwa:

  • Buchhaltung
  • Personal
  • Marketing
  • Kunden
  • IT

Dann wird das Verzeichnis von Verarbeitungstätigkeiten übersichtlicher. Es soll sich nämlich auch am Aufbau und der Komplexität des Unternehmens orientieren und strukturiert sein.

Welche Angaben gehören zu den einzelnen Verarbeitungstätigkeiten?

Der Inhalt und die erforderlichen Angaben der einzelnen Verarbeitungstätigkeiten ergeben sich für den Verantwortlichen aus Art. 30 Abs. 1 DSGVO. Demnach gehören zu jeder Verarbeitungstätigkeit:

  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen (z. B. Beschäftigte, Bewerber, Kunden, Patienten, Minderjährige)
  • Kategorien personenbezogener Daten (z. B. Kontaktdaten, Adressdaten, Umsatzdaten), insbesondere, ob es besondere Kategorien sind (z. B. Gesundheitsdaten)
  • Kategorien von Empfängern der personenbezogenen Daten (z. B. bei Lohn- und Gehaltsabrechnung: Banken, Sozialversicherungsträger, Finanzamt)
  • Angabe des Drittlands oder internationaler Organisation bei Übermittlung ins Nicht-EU-Ausland, ggf. samt geeigneter Garantien eines gleichwertigen Datenschutzniveaus
  • Löschfristen, auch unter Beachtung von Aufbewahrungspflichten
  • Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) und/oder Verweis auf vorhandenes Sicherheitskonzept mit TOMs

Hilfreich kann es sein, innerhalb des VVT auf bereits vorhandene Dokumente wie ein Datenschutzkonzept, eine Übersicht über die technischen und organisatorischen Maßnahmen (Sicherheitskonzept), eine Datenschutz-Folgenabschätzung oder ein Löschkonzept zu verweisen, wo bereits Informationen für die VVT enthalten sind.

Auftragsverarbeiter müssen im Gegensatz dazu statt Zwecke der Verarbeitung und Kategorien von Personen, Daten und Empfänger nur die Kategorien von Verarbeitungen, die im Auftrag eines Verantwortlichen durchgeführt werden, aufführen (Art. 30 Abs. 2 DSGVO). Zudem müssen sie keine Löschfristen in ihrem VVT haben.

In welcher Form und Sprache muss das VVT geführt werden?

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen, wozu auch ein elektronisches Format, etwa eine Excel-Tabelle, gezählt wird. Die Aufsichtsbehörde kann, wenn das VVT vorgelegt werden muss, jedoch entscheiden, ob sie es elektronisch oder ausgedruckt verlangt. Das VVT muss in deutscher Sprache geführt werden.

Wie oft muss das VVT aktualisiert und überprüft werden?

Das VVT muss regelmäßig gepflegt und aktuell gehalten werden. Wann immer eine neue Verarbeitungstätigkeit mit personenbezogenen Daten hinzukommt, muss auch das Verzeichnis von Verarbeitungstätigkeiten aktualisiert werden. Zusätzlich sollte das VVT auch in regelmäßigen Abständen auf die Aktualität aller Einträge überprüft werden. Auch hierfür ist ein gutes Datenschutzmanagementsystem (DSMS) hilfreich und sinnvoll.

Darüber hinaus empfiehlt die Datenschutzkonferenz Änderungen in dem VVT mit einer Speicherfrist von einem Jahr nachverfolgbar zu machen, um der Rechenschaftspflicht aus der DSGVO nachzukommen. Dies ist vor allem deshalb wichtig, wenn sich beispielsweise der Verantwortliche in der Zwischenzeit geändert hat.

Warum ist ein VVT außerdem sinnvoll?

Neben der gesetzlichen Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen und es auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen, hilft das VVT auch dabei, wenn betroffene Personen Auskunftsrechte geltend machen. Auch unterstützt es dabei, die Datenschutzerklärung etwa auf einer Website vollständig zu halten, indem abgeglichen werden kann, welche Verarbeitungsvorgänge existieren. So kann den Informationspflichten leichter nachgekommen werden.

Wie sieht ein Beispiel für eine Verarbeitungstätigkeit im VVT aus?

Im Folgenden soll anhand eines Beispiels des Bewerbungsmanagements eine übliche Verarbeitungstätigkeit im VVT dargestellt werden:

  • Zweck: Personalbeschaffung (Finden und Auswahl passender Bewerber)
  • Kategorien personenbezogener Daten: Vorname, Nachname, Adressdaten, Kontaktdaten, Daten über Leistungen und Fähigkeiten, Bewerbungsunterlagen (Anschreiben, Lebenslauf, Zeugnisse)
  • Kategorien betroffener Personen: Bewerber
  • Kategorien von Empfängern: Personalabteilung, Betriebsrat
  • Übermittlung an Drittland oder internationale Organisation: keine
  • Löschfristen: bis zu 6 Monate nach Beendigung des Bewerbungsverfahrens oder 2 Jahre bei Einwilligung zur weiteren Speicherung im Bewerberdatenpool
  • Technische und organisatorische Maßnahmen (TOMs): siehe Sicherheitskonzept

Checkliste – An alles gedacht?

  • Bin ich Verantwortlicher oder Auftragsverarbeiter?
  • Brauche ich ein VVT oder falle ich unter die Ausnahme?
  • Nenne ich die Namen und Kontaktdaten aller erforderlichen Personen?
  • Habe ich alle Verarbeitungstätigkeiten meines Unternehmens im VVT aufgeführt?
  • Als Verantwortlicher: Gebe ich die Zwecke der Verarbeitung, die Kategorien betroffener Personen, Daten und Empfänger an? Gebe ich Löschfristen an? Verarbeite ich Daten der besonderen Kategorien (Art. 9 DSGVO)?
  • Als Auftragsverarbeiter: Gebe ich die Kategorien von Verarbeitungen an?
  • Übermittle ich Daten ins Nicht-EU-Ausland, etwa indem ich US-Dienstleister nutze, und führe das im VVT aus?
  • Werden die TOMs beschrieben und/oder auf ein Sicherheitskonzept verwiesen?
  • Ist das VVT auch in Deutsch verfügbar und kann im Zweifel ausgedruckt werden?
  • Aktualisiere und prüfe ich das VVT regelmäßig?

Wer sich unsicher ist, ob und wie er ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen muss, sollte im Zweifel professionelle Beratung in Anspruch nehmen. Wir können Sie mit unserem hauseigenen Musterverzeichnis voranbringen und zu einem gelungenen Datenschutzmanagement beitragen. Die IT- und Rechtsexperten der ISiCO Datenschutz GmbH weisen langjährige Erfahrung im Erstellen von VVTs auf. Unsere Mandanten kommen aus vielen verschiedenen Branchen zu uns – vertrauen auch Sie uns! Wir freuen uns auf eine Zusammenarbeit mit Ihnen in allen Fragen des Datenschutzes!

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!