Verzeichnis von Verarbeitungstätigkeiten

Mit wenigen Ausnahmen ist gemäß Art. 30 DSGVO jedes Unternehmen verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen. In diesem werden alle personenbezogenen Datenverarbeitungen eines Unternehmens dargestellt. Dies kann man sich auch wie eine Auflistung von datenschutzrelevanten Geschäftsprozessen vorstellen.

Neben allgemeinen Angaben zum Verantwortlichen und zum Datenschutzbeauftragten sollte jede Verarbeitungstätigkeit gem. Art. 30 Abs. 1 DSGVO mit folgenden Angaben beschrieben werden:

  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Der erste Schritt für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten ist die Identifizierung aller im Unternehmen vorgenommenen Verarbeitungen von personenbezogenen Daten. Hierbei können wir Sie natürlich unterstützen. Zusätzlich können wir Ihnen Vorlagen für typische Verarbeitungstätigkeiten / Geschäftsprozesse bereitstellen, wie sie in den meisten Unternehmen in ähnlicher Form vorhanden sind.

Dazu zählen beispielsweise:

  • Personalverwaltung / HR
  • Verkauf/ Vertrieb
  • Lohn und Finanzverwaltung
  • Marketing

Ist Ihr Unternehmen zusätzlich Auftragsverarbeiter, so muss ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO gepflegt werden. In diesem werden die Verarbeitungstätigkeiten von personenbezogenen Daten dargestellt, welche Sie für Ihre Kunden im Auftrag durchführen.

Dazu können beispielsweise zählen:

  • Cloud-Computing und Bereitstellung einer Software as a Service (SaaS)
  • Fernwartung und externer Support, wenn dabei Zugriff auf personenbezogene Daten besteht
  • Datenträgervernichtung und -entsorgung
  • Betrieb von Webseiten

Auch bei der Beschreibung von sehr individuellen Verarbeitungstätigkeiten unterstützen wir Sie gerne und prüfen die Anpassungen und Ergänzungen in Ihrem Verzeichnis von Verarbeitungstätigkeiten.

Häufige Fragen zum VVT

Eine Verarbeitung, bzw. Verarbeitungstätigkeit ist jeder Vorgang, bei dem personenbezogene Daten erhoben, gespeichert, verändert, gelöscht oder übermittelt werden. Dies kann zum einen bei kompletten Geschäftsprozessen oder auch bei einzelner eingesetzter Software erfolgen. Das Abstraktionsniveau ist hierbei durch die DSGVO nicht vorgeschrieben. Klassische Verarbeitungstätigkeiten, wie Sie in nahezu jedem Unternehmen vorkommen, sind: Bewerbermanagement, Betrieb von Webseiten, Personalverwaltung, Projektverwaltung und Zeiterfassung. Folgende Angaben muss ein VVT enthalten:

  • Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland
  • Fristen für die Löschung der verschiedenen Datenkategorien
  • Beschreibung der technischen und organisatorischen Maßnahmen

Gem. Art. 30 Abs. 1 DSGVO muss jeder Verantwortliche, also jedes Unternehmen, welches personenbezogene Daten verarbeitet, ein VVT führen. Die Geschäftsführung als rechtlicher Vertreter des verantwortlichen Unternehmen kann diese Aufgabe an einen Beschäftigten delegieren. In der Praxis hat es sich durchgesetzt, dass der Datenschutzbeauftragte bei der Erstellung und Pflege des VVT eingebunden wird. Wir als externe Datenschutzbeauftragte können Ihnen Vorlagen für gängige Verarbeitungstätigkeiten bereitstellen, diese gemeinsam mit Ihnen auf Ihre konkreten Geschäftsprozesse abstimmen und das VVT in regelmäßigen Abständen evaluieren.

Grundsätzlich spricht nichts dagegen, wenn jeder Beschäftigte des Unternehmens das VVT einsehen kann. Auf diesem Wege können Impulse und Anregungen der Beschäftigten erfolgen und aufgenommen werden, bspw. wenn ein Geschäftsprozess ermittelt wird, welcher bisher noch nicht in Ihrem VVT beschrieben ist. Mindestens die Geschäftsführung und der Datenschutzbeauftragte sollten das VVT in regelmäßigen Abständen einsehen und die Aktualität beurteilen. Das VVT wird gem. Art. 30 Abs. 4 DSGVO den Datenschutz-Aufsichtsbehörden auf Anfrage zur Verfügung gestellt. Es ist unüblich, das VVT auch Kunden und/oder Lieferanten bereitzustellen, hierzu besteht keine rechtliche Verpflichtung.

Auftragsverarbeiter führen gem. Art. 30 Abs. 2 DSGVO ein zusätzliches Verzeichnis. Dieses können Sie sich wie eine datenschutzrechtliche Kundenliste vorstellen, bei denen sämtliche Kategorien von Verarbeitungen und potentielle Datenübermittlungen, die Sie für Ihre Kunden durchführen, aufgelistet werden. Auch dieses Verzeichnis muss auf Anfrage den Datenschutz-Behörden zur Verfügung gestellt werden.

Kundenbewertung
[Gesamt: 53 Durchschnitt: 4.7]