Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

Die Datenschutz-Grundverordnung (DSGVO) sieht für Unternehmen und Einrichtungen die Pflicht vor, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen (Art. 30 DSGVO). Bereits das vor der durch die DSGVO harmonisierte deutsche Datenschutzrecht sah im alten BDSG die Verpflichtung zur Führung eines sogenannten Verfahrensverzeichnisses vor. Viele durch Art. 30 DSGVO Verpflichtete konnten hierauf bei Umsetzung der DSGVO aufbauen und ein bereits etwaig geführtes Verzeichnis weiterentwickeln.

Das sogenannte VVT ist integraler Bestandteil eines jeden Datenschutzmanagementsystems (DSMS). Ein sauber aufgebautes und gepflegtes Verzeichnis erlaubt Unternehmen und Einrichtungen, die ihrer Zuständigkeit unterliegenden Verarbeitungsvorgänge personenbezogener Daten zu überblicken, zu kontrollieren, auf ihre Zulässigkeit hin zu überprüfen und damit alle verbundenen Risiken zu bewerten sowie diesbezüglichen Handlungsbedarf zu erkennen und in angemessener Art umzusetzen. Sinn und Zweck von Art. 30 DSGVO ist zum einen dem Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO bzw. Art. 24 Abs. 1 DSGVO Rechnung zu tragen, der jeder Verantwortliche unterliegt. Ein sauber geführtes VVT ermöglicht den Verantwortlichen einer Datenverarbeitung eine rechtskonforme und effizientere Erfüllung zahlreicher datenschutzrechtlicher Verpflichtungen, insbesondere etwa die vereinfachte Beantwortung von Betroffenenanfragen oder den vereinfachten und strukturierten Zugriff auf relevante Informationen bei der Durchführung einer Datenschutz-Folgenabschätzung. Auch die datenschutzrechtlichen Aufsichtsbehörden können ihre Kontrollaufgaben durch die verpflichtende Führung eines VVT und die damit gewonnene Transparenz hinsichtlich der Verarbeitungsvorgänge personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter effektiver erfüllen.

In diesem Artikel soll insbesondere geklärt werden, wer nach der DSGVO ein VVT führen muss, welche verpflichtenden Inhalte dieses umfasst und wie es aufgebaut wird. Ferner werden praxisnahe Tipps, Beispiele und eine Checkliste für ein gelungenes VVT an die Hand gegeben.

Wer ist zur Führung eines VVT verpflichtet?

Art. 30 DSGVO bestimmt die grundsätzliche Pflicht von Verantwortlichen und Auftragsverarbeitern, ein Verzeichnis von Verarbeitungstätigkeiten personenbezogener Daten zu erstellen und zu führen. Die das Verarbeitungsverzeichnis von Verantwortlichen treffenden Bestimmungen sind in Art. 30 Abs. 1 DSGVO zu finden und unterscheiden sich von den in Art. 30 Abs. 2 DSGVO getroffenen, die das durch Auftragsverarbeiter über die im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führende Verarbeitungsverzeichnis betreffen. Zur Definition des verpflichtenden Inhalts eines VVT sowie der sonstigen dafür relevanten Bezeichnungen bezieht sich die DSGVO maßgeblich auf die Legaldefinitionen des Art. 4 DSGVO.

Personenbezogene Daten, über deren Verarbeitungstätigkeiten das VVT geführt werden muss, sind nach Art. 4 Nr. 1 DSGVO Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Hierzu zählen primär der Name und die Adresse, aber auch die IP-Adresse einer betroffenen Person.

Die durch Art. 30 Abs. 1 DSGVO adressierten Verantwortlichen einer Datenverarbeitung sind nach Art. 4 Nr. 7 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Die ebenso in Art. 30 Abs. 2 DSGVO verpflichteten Auftragsverarbeiter sind nach Art. 4 Nr. 8 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des jeweiligen Verantwortlichen gemäß dessen Weisungen verarbeiten, wobei der Verantwortliche Mittel und Zweck der Verarbeitung festlegt. Der Auftragsverarbeiter hat keine Entscheidungsbefugnis über die Verarbeitungszwecke und -mittel und verfolgt mit diesen keine eigenen Geschäftszwecke; beispielhaft können hier etwa Cloud-Anbieter und Callcenter genannt werden.

Wann ist man von der Pflicht befreit?

Ausgenommen sind von der grundsätzlich in Art. 30 Abs. 1, 2 DSGVO festgeschriebenen Pflicht zur Führung eines VVT nach Art. 30 Abs 5 DSGVO solche Unternehmen oder Einrichtungen, die weniger als 250 Beschäftigte verfügen.

Rückausnahmen von Art. 30 Abs. 5 DSGVO bestehen, wenn Verantwortliche eine Verarbeitung durchführen, die alternativ entweder

1. ein Risiko für Rechte und Freiheiten der Betroffenen birgt (z. B Scoring oder Überwachungsmaßnahmen),
2. nicht nur gelegentlich erfolgt (z. B. bei regelmäßiger Verarbeitung von Kundendaten) oder
3. eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (z. B. Religions- oder Gesundheitsdaten) bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten i. S. d. Art. 10 DSGVO beinhaltet.

Ist auch nur eine der genannten gesetzlichen Rückausnahmen einschlägig, so müssen auch Verantwortliche und Auftragsverarbeiter mit weniger als 250 Beschäftigten ein VVT führen. Da allerdings fast alle Unternehmen oder Einrichtungen regelmäßig und nicht nur gelegentlich personenbezogene Daten verarbeiten, ist die Ausnahme des Art. 30 Abs. 5 DSGVO in praxi fast nie einschlägig. In der Regel findet zumindest etwa ein Personal- oder Kundenmanagement statt, welches das Führen von Personalakten, das Verwalten einer Kundendatenbank oder den Versand von Newslettern umfasst. Damit liegt dann eigentlich immer eine regelmäßige Verarbeitung von personenbezogenen Daten vor, in der Praxis sind so auch z.B. viele Selbstständige, Handwerker und Arztpraxen zum Führen eines VVT verpflichtet, die Vorschrift des Art. 30 Abs. 5 DSGVO läuft in den meisten Fällen ins Leere.

Was passiert, wenn trotz Verpflichtung kein oder nur ein unvollständiges VVT vorliegt?

Ein Verstoß gegen die Pflicht zur Führung eines VVT stellt nach Art. 83 Abs. 4 lit. a DSGVO eine Ordnungswidrigkeit dar und ist damit bußgeldbewehrt. Die Vorschrift erlaubt den zuständigen Behörden die Verhängung von Bußgeldern in Höhe von bis zu 10 Millionen Euro, im Falle eines Unternehmens kann die Sanktionierung sogar bis zu 2 Prozent des gesamten im vorangegangenen Jahr weltweit erzielten Jahresumsatzes betragen. Die in Art. 83 Abs. 4 DSGVO definierten Höchstbeträge sind alternativ zu verstehen, es gilt der jeweils höhere Betrag.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Vielen Dank für Ihre Anmeldung. Wir haben Ihnen eine E-Mail zur Bestätigung gesendet. Bitte bestätigen Sie Ihre Anmeldung über den Link in dieser E-Mail.

Es ist ein Fehler aufgetreten.

Abonnieren

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wie beginne ich mit der Erstellung eines VVT?

Im Folgenden liegt das Augenmerk auf den Anforderungen eines VVT für einen Verantwortlichen (Art. 30 Abs. 1 DSGVO). Dieser hat nach Art. 24 Abs. 1 DSGVO die Pflicht, organisatorische Maßnahmen umzusetzen, um sicherzustellen und nachzuweisen, dass die Verarbeitung durch den Auftragsverarbeiter gemäß der DSGVO erfolgt; hierzu gehören auch adäquate Weisungen. Aufgrund dieser Weisungsgebundenheit gelten die Anforderungen an das VVT für Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO lediglich in reduzierter Form.

Welche Angaben gehören zu den einzelnen Verarbeitungstätigkeiten?

Die (Mindest-)Pflichtinhalte eines VVT sind in der DSGVO abschließend geregelt. Dem Verantwortlichen ist es anheimgestellt, zur weiteren internen Strukturierung zusätzliche Angaben an adäquater Stelle einzubauen.

Vom Verantwortlichen fordert Art. 30 Abs. 1 S. 2 DSGVO die folgenden Angaben:

• Zwecke der Verarbeitung
• Kategorien betroffener Personen (z. B. Beschäftigte, Bewerber, Kunden, Patienten, Minderjährige)
• Kategorien personenbezogener Daten (z. B. Kontaktdaten, Adressdaten, Umsatzdaten), insbesondere, ob es besondere Kategorien sind (z. B. Gesundheitsdaten)
• Kategorien von Empfängern der personenbezogenen Daten (z. B. bei Lohn- und Gehaltsabrechnung: Banken, Sozialversicherungsträger, Finanzamt)
• Angabe des Drittlands oder internationaler Organisation bei Übermittlung ins Nicht-EU-Ausland, ggf. samt geeigneter Garantien eines gleichwertigen Datenschutzniveaus
• Löschfristen, auch unter Beachtung von Aufbewahrungspflichten
• Beschreibung der technischen und organisatorischen Maßnahmen (TOM) und/oder Verweis auf vorhandenes Sicherheitskonzept mit TOM

In welcher Form und Sprache muss das VVT geführt werden?

Das VVT ist schriftlich zu führen. Dies kann auch in einem elektronischen Format, etwa einer spezialisierten Datenschutzmanagement-Software oder auch einer Excel-Tabelle erfolgen (Art. 30 Abs. 3 DSGVO). Betroffenen Personen muss nicht Einsicht in das VVT gewährt und es muss auch nicht öffentlich verfügbar gehalten werden. Der Aufsichtsbehörde muss das VVT jedoch auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO). Ihr obliegt dann das Wahlrecht, das VVT entweder in elektronisch oder in gedruckter Form anzufordern. Der Detaillierungsgrad des VVT ist nicht durch die DSGVO bestimmt. Es sollte der Aufsichtsbehörde aber „so einfach wie möglich“ eine erste Prüfung ermöglichen. Dafür empfiehlt es sich, die jeweiligen Informationen geordnet nach den Kategorien von Verarbeitungstätigkeiten bereitzuhalten. Das VVT sollte zudem in deutscher Sprache geführt werden. Andernfalls müsste das VVT für die Behörde auf deren Anforderung gemäß § 23 Abs. 1 und Abs. 2 Satz 1 VwVfG ins Deutsche übersetzt werden.

Wie oft muss das VVT aktualisiert und überprüft werden?

Das VVT muss regelmäßig gepflegt und aktuell gehalten werden. Wann immer eine neue Verarbeitungstätigkeit mit personenbezogenen Daten hinzukommt, muss auch das VVT aktualisiert werden. Zusätzlich sollte das VVT auch in regelmäßigen Abständen auf die Aktualität aller Einträge überprüft werden. Auch hierfür ist ein gutes DSMS hilfreich und sinnvoll.

Darüber hinaus empfiehlt die Datenschutzkonferenz, Änderungen in dem VVT mit einer Speicherfrist von einem Jahr nachverfolgbar zu machen, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu entsprechen. Dies ist vor allem dann wichtig, wenn es in der Zwischenzeit Änderungen hinsichtlich etwa des Verantwortlichen oder auch nur des Datenschutzbeauftragten gab.

In welcher Form und Sprache muss das VVT geführt werden?

Das VVT ist schriftlich zu führen. Dies kann auch in einem elektronischen Format, etwa einer Excel-Tabelle, erfolgen (Art. 30 Abs. 3 DSGVO). Betroffenen Personen muss nicht Einsicht in das VVT gewährt und es muss auch nicht öffentlich verfügbar gehalten werden. Der Aufsichtsbehörde muss das VVT jedoch auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO). Ihr obliegt dann das Wahlrecht, das VVT entweder in elektronisch oder in gedruckter Form anzufordern. Der Detaillierungsgrad des VVT ist nicht durch die DSGVO bestimmt. Es sollte der Aufsichtsbehörde aber „so einfach wie möglich“ eine erste Prüfung ermöglichen. Dafür empfiehlt es sich, die jeweiligen Informationen geordnet nach den Kategorien von Verarbeitungstätigkeiten bereitzuhalten. Das VVT sollte zudem in deutscher Sprache geführt werden. Andernfalls müsste das VVT für die Behörde auf deren Anforderung gemäß § 23 Abs. 1 und Abs. 2 Satz 1 VwVfG ins Deutsche übersetzt werden.

Wie oft muss das VVT aktualisiert und überprüft werden?

Das VVT muss regelmäßig gepflegt und aktuell gehalten werden. Wann immer eine neue Verarbeitungstätigkeit mit personenbezogenen Daten hinzukommt, muss auch das VVT aktualisiert werden. Zusätzlich sollte das VVT auch in regelmäßigen Abständen auf die Aktualität aller Einträge überprüft werden. Auch hierfür ist ein gutes DSMS hilfreich und sinnvoll.
Darüber hinaus empfiehlt die Datenschutzkonferenz, Änderungen in dem VVT mit einer Speicherfrist von einem Jahr nachverfolgbar zu machen, um der Rechenschaftspflicht aus der DSGVO nachzukommen. Dies ist vor allem dann wichtig, wenn es in der Zwischenzeit Änderungen und Wechsel des Verantwortlichen gab.

Download weiterführender Infos und VVT-Checkliste

Gerne stellen wir Ihnen ein Dokument mit weiterführenden praktischen Informationen zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten zur Verfügung.

Im Dokument finden sich ausführlichere Hilfestellungen zum Aufbau eines VVT, etwa Ausführungen zur Bestimmung der zu nennenden Ansprechpartner:innen in verschiedenen Konstellation sowie zu den im Verzeichnis aufzulistenden und darzustellenden Verarbeitungstätigkeiten. Im entsprechenden Dokument findet sich zudem ein beispielhaft befüllter VVT-Eintrag sowie eine Checkliste, die Verantwortliche und Auftragsverarbeiter bei der initialen Erstellung sowie bei der Prüfung und Überarbeitung eines bereits bestehenden Verzeichnisses über Verarbeitungstätigkeiten begleitet und unterstützt.

Fazit

Das VVT dient nicht nur der Erfüllung der entsprechenden in Art. 30 DSGVO vorgesehenen Pflicht, es kommt auch als probate Grundlage für Auskunftsrechte betroffener Personen in Betracht. Auch unterstützt es dabei, die Datenschutzerklärung etwa auf einer Website vollständig zu halten, indem abgeglichen werden kann, welche Verarbeitungsvorgänge existieren. So kann den Informationspflichten leichter nachgekommen werden.

Wer sich unsicher ist, ob und wie man ein VVT erstellen muss, sollte im Zweifel professionelle Beratung in Anspruch nehmen. Wir können Sie mit unserem hauseigenen Musterverzeichnis unterstützen und Ihnen zu einem gelungenen Datenschutzmanagement verhelfen. Die IT- und Rechtsexperten der ISiCO Datenschutz GmbH weisen langjährige Erfahrung im Erstellen von VVT auf. Unsere Mandanten kommen aus vielen verschiedenen Branchen zu uns – vertrauen Sie uns! Wir freuen uns auf eine erfolgreiche Zusammenarbeit mit Ihnen in allen Fragen des Datenschutzes!