Ein VVT ist eine gesetzlich vorgeschriebene Dokumentation, die alle Datenverarbeitungsprozesse eines Unternehmens detailliert erfasst. Es gibt an, welche personenbezogenen Daten verarbeitet werden, zu welchem Zweck, wer beteiligt ist und welche Schutzmaßnahmen ergriffen werden. Unternehmen müssen dies gemäß der Datenschutz-Grundverordnung (DSGVO) führen.
Laut DSGVO müssen fast alle Unternehmen, die personenbezogene Daten verarbeiten, ein VVT führen. Ausnahmen bestehen für Unternehmen mit weniger als 250 Mitarbeitern, es sei denn, die Datenverarbeitung ist nicht gelegentlich, betrifft sensible Daten oder birgt ein Risiko für die Rechte und Freiheiten von Personen.
Das VVT muss detaillierte Angaben zu folgenden Punkten enthalten:
- Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- Empfänger der Daten (intern und extern)
- Übermittlungen an Drittländer oder internationale Organisationen
- Löschfristen für die verschiedenen Datenkategorien
- Beschreibung der technischen und organisatorischen Schutzmaßnahmen
Ein VVT wird in vier Schritten erstellt:
- Identifikation aller Datenverarbeitungsprozesse
- Sammlung und Erfassung relevanter Informationen zu diesen Prozessen
- Strukturierte Dokumentation der Informationen
- Regelmäßige Aktualisierung des VVT bei Änderungen in den Verarbeitungsprozessen
Das Fehlen eines VVT kann schwerwiegende rechtliche Folgen haben. Die Datenschutzbehörden können im Falle einer Prüfung oder eines Vorfalls empfindliche Geldstrafen verhängen. Zudem verliert das Unternehmen den Überblick über seine Datenverarbeitungsprozesse, was das Risiko für Datenschutzverletzungen erhöht.