02.07.2024

Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Leitfaden & Checkliste

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

Ihr ISiCO-Experte für das Thema:
Dr. Philipp Siedenburg
Director Datenschutz

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Die Datenschutz-Grundverordnung (DSGVO) sieht für Unternehmen und Einrichtungen die Pflicht vor, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen (Art. 30 DSGVO). Bereits das deutsche Datenschutzrecht vor der DSGVO sah im alten Bundesdatenschutzgesetz (BDSG) die Verpflichtung zur Führung eines sogenannten Verfahrensverzeichnisses vor. Viele durch Art. 30 DSGVO Verpflichtete konnten hierauf bei Umsetzung der DSGVO aufbauen und ein bereits geführtes Verzeichnis weiterentwickeln.

Das sogenannte VVT ist wichtiger Bestandteil eines jeden Datenschutzmanagementsystems (DSMS). Ein sauber aufgebautes und gepflegtes Verzeichnis erlaubt Unternehmen und Einrichtungen, die ihrer Zuständigkeit unterliegenden Verarbeitungsvorgänge personenbezogener Daten zu überblicken, zu kontrollieren, auf ihre Zulässigkeit hin zu überprüfen. Damit können alle verbundenen Risiken bewertet sowie diesbezüglichen Handlungsbedarf erkannt und in angemessener Art umgesetzt werden.

Sinn und Zweck von Art. 30 DSGVO ist zum einen dem Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO bzw. Art. 24 Abs. 1 DSGVO Rechnung zu tragen, der jeder Verantwortliche unterliegt. Ein sauber geführtes VVT ermöglicht den Verantwortlichen einer Datenverarbeitung eine rechtskonforme und effizientere Erfüllung zahlreicher datenschutzrechtlicher Verpflichtungen. Dazu zählen insbesondere die vereinfachte Beantwortung von Betroffenenanfragen oder der vereinfachte und strukturierte Zugriff auf relevante Informationen bei der Durchführung einer Datenschutz-Folgenabschätzung.

Auch die datenschutzrechtlichen Aufsichtsbehörden können ihre Kontrollaufgaben durch die verpflichtende Führung eines VVT und die damit gewonnene Transparenz hinsichtlich der Verarbeitungsvorgänge personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter effektiver erfüllen.

Zum Leitfaden mit Beispiel & Checkliste

Wer ist zur Führung eines VVT verpflichtet?

Art. 30 DSGVO bestimmt die grundsätzliche Pflicht von Verantwortlichen und Auftragsverarbeitern, ein Verzeichnis von Verarbeitungstätigkeiten personenbezogener Daten zu erstellen und zu führen. Die VVT-Bestimmungen für Verantwortliche finden sich in Art. 30 Abs 1. DSGVO, während die Regelungen für Auftragsverarbeiter in Art. 30 Abs. 2 DSGVO nachzulesen sind.

Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

Auftragsverarbeiter sind nach Art. 4 Nr. 8 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des jeweiligen Verantwortlichen gemäß dessen Weisungen verarbeiten, wobei der Verantwortliche Mittel und Zweck der Verarbeitung festlegt. Der Auftragsverarbeiter hat keine Entscheidungsbefugnis über die Verarbeitungszwecke und -mittel und verfolgt mit diesen keine eigenen Geschäftszwecke; beispielhaft können hier etwa Cloud-Anbieter und Callcenter genannt werden.

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Hierzu zählen primär der Name und die Adresse, aber auch die IP-Adresse einer betroffenen Person.

Zum Leitfaden mit Beispiel & Checkliste

Wann ist man von der VVT-Pflicht befreit?

Ausgenommen von der grundsätzlichen Pflicht zur Führung eines VVT nach Art. 30 Abs 5 DSGVO sind solche Unternehmen oder Einrichtungen, die weniger als 250 Beschäftigte verfügen.

Das gilt allerdings nicht, wenn Unternehmen oder Einrichtungen mit weniger als 250 Beschäftigten eine Verarbeitung durchführen, die alternativ entweder

  1. ein Risiko für Rechte und Freiheiten der Betroffenen birgt (z. B Scoring oder Überwachungsmaßnahmen),
  2. nicht nur gelegentlich erfolgt (z. B. bei regelmäßiger Verarbeitung von Kundendaten) oder
  3. eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (z. B. Religions- oder Gesundheitsdaten) bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten i. S. d. Art. 10 DSGVO beinhaltet.

Da allerdings fast alle Unternehmen oder Einrichtungen regelmäßig und nicht nur gelegentlich personenbezogene Daten verarbeiten, ist die Ausnahme des Art. 30 Abs. 5 DSGVO in der Praxis fast nie einschlägig. In der Regel findet zumindest etwa ein Personal- oder Kundenmanagement statt, welches das Führen von Personalakten, das Verwalten einer Kundendatenbank oder den Versand von Newslettern umfasst. Damit liegt dann eigentlich immer eine regelmäßige Verarbeitung von personenbezogenen Daten vor, in der Praxis sind so z.B. auch viele Selbstständige, Handwerker und Arztpraxen zum Führen eines VVT verpflichtet. Die Vorschrift des Art. 30 Abs. 5 DSGVO läuft in den meisten Fällen ins Leere.

Zum Leitfaden mit Beispiel & Checkliste

Welche Strafen drohen bei fehlendem oder unvollständigem VVT?

Ein Verstoß gegen die Pflicht zur Führung eines VVT stellt nach Art. 83 Abs. 4 lit. a DSGVO eine Ordnungswidrigkeit dar und ist damit bußgeldbewehrt. Die Vorschrift erlaubt den zuständigen Behörden die Verhängung von Bußgeldern in Höhe von bis zu 10 Millionen Euro, im Falle eines Unternehmens kann die Sanktionierung sogar bis zu 2 Prozent des gesamten im vorangegangenen Jahr weltweit erzielten Jahresumsatzes betragen. Die in Art. 83 Abs. 4 DSGVO definierten Höchstbeträge sind alternativ zu verstehen, es gilt der jeweils höhere Betrag.

Wie beginne ich mit der Erstellung eines VVT?

Im Folgenden liegt das Augenmerk auf den Anforderungen eines VVT für einen Verantwortlichen (Art. 30 Abs. 1 DSGVO). Dieser hat nach Art. 24 Abs. 1 DSGVO die Pflicht, organisatorische Maßnahmen umzusetzen, um sicherzustellen und nachzuweisen, dass die Verarbeitung durch den Auftragsverarbeiter gemäß der DSGVO erfolgt; hierzu gehören auch adäquate Weisungen. Aufgrund dieser Weisungsgebundenheit gelten die Anforderungen an das VVT für Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO lediglich in reduzierter Form.

Welche Pflichtangaben müssen in einem VVT stehen?

Die (Mindest-)Pflichtinhalte eines VVT sind in der DSGVO abschließend geregelt. Dem Verantwortlichen ist es selbst überlassen, zur weiteren internen Strukturierung zusätzliche Angaben an adäquater Stelle einzubauen.

Vom Verantwortlichen fordert Art. 30 Abs. 1 S. 2 DSGVO die folgenden Angaben:

  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen (z. B. Beschäftigte, Bewerber, Kunden, Patienten, Minderjährige)
  • Kategorien personenbezogener Daten (z. B. Kontaktdaten, Adressdaten, Umsatzdaten), insbesondere, ob es besondere Kategorien sind (z. B. Gesundheitsdaten)
  • Kategorien von Empfängern der personenbezogenen Daten (z. B. bei Lohn- und Gehaltsabrechnung: Banken, Sozialversicherungsträger, Finanzamt)
  • Angabe des Drittlands oder internationaler Organisation bei Übermittlung ins Nicht-EU-Ausland, ggf. samt geeigneter Garantien eines gleichwertigen Datenschutzniveaus
  • Löschfristen, auch unter Beachtung von Aufbewahrungspflichten
  • Beschreibung der technischen und organisatorischen Maßnahmen (TOM) und/oder Verweis auf vorhandenes Sicherheitskonzept mit TOM

Zum Leitfaden mit Beispiel & Checkliste

In welcher Form und Sprache muss das VVT geführt werden?

Das VVT ist schriftlich zu führen. Dies kann auch in einem elektronischen Format, etwa einer spezialisierten Datenschutzmanagement-Software oder auch einer Excel-Tabelle erfolgen (Art. 30 Abs. 3 DSGVO). Betroffenen Personen muss nicht Einsicht in das VVT gewährt und es muss auch nicht öffentlich verfügbar gehalten werden.

Der Aufsichtsbehörde muss das VVT jedoch auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO). Ihr obliegt dann das Wahlrecht, das VVT entweder in elektronisch oder in gedruckter Form anzufordern. Der Detaillierungsgrad des VVT ist nicht durch die DSGVO bestimmt. Es sollte der Aufsichtsbehörde aber „so einfach wie möglich“ eine erste Prüfung ermöglichen. Dafür empfiehlt es sich, die jeweiligen Informationen geordnet nach den Kategorien von Verarbeitungstätigkeiten bereitzuhalten.

Das VVT sollte zudem in deutscher Sprache geführt werden. Andernfalls müsste das VVT für die Behörde auf deren Anforderung gemäß § 23 Abs. 1 und Abs. 2 Satz 1 VwVfG ins Deutsche übersetzt werden.

Wie oft muss das VVT aktualisiert und überprüft werden?

Das VVT muss regelmäßig gepflegt und aktuell gehalten werden. Wann immer eine neue Verarbeitungstätigkeit mit personenbezogenen Daten hinzukommt, muss auch das VVT aktualisiert werden. Zusätzlich sollte das VVT auch in regelmäßigen Abständen auf die Aktualität aller Einträge überprüft werden. Auch hierfür ist ein gutes DSMS hilfreich und sinnvoll.

Darüber hinaus empfiehlt die Datenschutzkonferenz, Änderungen in dem VVT mit einer Speicherfrist von einem Jahr nachverfolgbar zu machen, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu entsprechen. Dies ist vor allem dann wichtig, wenn es in der Zwischenzeit Änderungen hinsichtlich etwa des Verantwortlichen oder auch nur des Datenschutzbeauftragten gab.

Download weiterführender Infos und VVT-Checkliste

Gerne stellen wir Ihnen ein Dokument mit weiterführenden praktischen Informationen zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten zur Verfügung.

Im Dokument finden sich ausführlichere Hilfestellungen zum Aufbau eines VVT, etwa Ausführungen zur Bestimmung der zu nennenden Ansprechpartner:innen in verschiedenen Konstellation sowie zu den im Verzeichnis aufzulistenden und darzustellenden Verarbeitungstätigkeiten. Im entsprechenden Dokument findet sich zudem ein beispielhaft befüllter VVT-Eintrag sowie eine Checkliste, die Verantwortliche und Auftragsverarbeiter bei der initialen Erstellung sowie bei der Prüfung und Überarbeitung eines bereits bestehenden Verzeichnisses über Verarbeitungstätigkeiten begleitet und unterstützt.

Leitfaden VVT direkt in Ihr Postfach

Lassen Sie sich unseren umfangreichen Leitfaden zum Thema Verzeichnis von Verarbeitungstätigkeiten (VVT) kostenfrei zuschicken. Sie erhalten darin wertvolle und praxisnahe Informationen zum Aufbau, Inhalt sowie eine hilfreiche Checkliste.

*Ihre Einwilligung für den Versand unseres Newsletters umfasst auch die aggregierte Nutzungsanalyse (Öffnungsrate & Linkklicks). Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung

Fazit

Das VVT dient nicht nur der Erfüllung der entsprechenden in Art. 30 DSGVO vorgesehenen Pflicht. Es kommt auch als probate Grundlage für Auskunftsrechte betroffener Personen in Betracht. Auch unterstützt es dabei, die Datenschutzerklärung etwa auf einer Website vollständig zu halten, indem abgeglichen werden kann, welche Verarbeitungsvorgänge existieren. So kann den Informationspflichten leichter nachgekommen werden.

Wer sich unsicher ist, ob und wie man ein VVT erstellen muss, sollte im Zweifel professionelle Beratung in Anspruch nehmen. Wir können Sie mit unserem hauseigenen Musterverzeichnis unterstützen und Ihnen zu einem gelungenen Datenschutzmanagement verhelfen. Die IT- und Rechtsexperten der ISiCO Datenschutz GmbH weisen langjährige Erfahrung im Erstellen von VVT auf. Unsere Mandanten kommen aus vielen verschiedenen Branchen zu uns – vertrauen Sie uns! Wir freuen uns auf eine erfolgreiche Zusammenarbeit mit Ihnen in allen Fragen des Datenschutzes!

Weitere Neuigkeiten

10.09.2024

Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern

Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.

Weiterlesen …