Die datenschutzrechtlichen Bestimmungen schreiben Unternehmen vor, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen. Das Verzeichnis ist für jedes Unternehmen individuell zu erstellen und führt sämtliche Verarbeitungstätigkeiten mit personenbezogenen Daten auf.
In der Praxis werden Unternehmen durch das VVT vor drei Herausforderungen gestellt:
- Existenz
Sollte die zuständige Aufsichtsbehörde nachhaken, muss das Unternehmen sein VVT vorlegen können. Andernfalls droht die Verhängung eines Bußgeldes. Das VVT ist ein zwingend notwendiger Teil des internen Datenschutzmanagements eines Unternehmens. - Vollständigkeit
Aufbau und Gestaltung des Dokuments können formfrei erfolgen, doch ein breit gefächertes Spektrum konkreter Angaben darf im Dokument nicht fehlen. - Aktualität
Die Erstellung des VVT ist keine einmalige Angelegenheit. Sollten sich Geschäftsabläufe ändern oder neue Abläufe hinzukommen, ist eine Aktualisierung des Dokuments vorzunehmen.
Gründe, das Verzeichnis von Verarbeitungstätigkeiten zu führen
Die Pflicht zur Führung eines VVT geht aus Art. 30 DSGVO hervor. Sollte die zuständige Aufsichtsbehörde eine Datenschutzkontrolle durchführen, kann sie sich anhand des VVT einen guten Überblick hinsichtlich der Verarbeitungstätigkeiten, deren Umfang und Tragweite verschaffen.
Darüber hinaus ist das Dokument auch dem Unternehmen selbst dienlich. Das VVT kann hilfreich dabei sein, Umfang und Inhalte von Datenschutzschulungen abzustecken. Ebenso ist es ein hilfreiches Instrument, den Rechten der Betroffenen, bei beispielsweise Auskunftsersuchen, vollumfänglich nachkommen zu können.
Exkurs: Was unter Verarbeitungstätigkeiten zu verstehen ist
Bevor die Erstellung des VVT beginnen kann, müssen alle im Unternehmen existierenden Verarbeitungstätigkeiten bekannt sein. Dies sind Vorgänge, bei denen personenbezogene Daten verarbeitet werden. Die DSGVO führt folgende Beispiele auf: Abfragen, Abgleichen, Anpassen, Auslesen, Bereitstellen, Erfassen, Erheben, Ordnen, Organisieren, Speichern, Verändern, Verbreiten, Verknüpfen, Verwenden, und Übermitteln von Daten mit Personenbezug.
Für eine vollständige Erfassung empfiehlt sich daher eine gründliche Analyse, in deren Rahmen die verschiedenen organisatorischen Bereiche des Unternehmens unter die Lupe genommen werden. Zu solchen Unternehmensbereichen zählen beispielsweise Human Resources, Vertrieb und Service.
Aufbau des VVT
Die allgemeine Empfehlung lautet, das VVT in zwei Bereiche zu untergliedern.
1. Bereich: Namen und Kontaktdaten
Zunächst werden die Verantwortlichen aufgeführt, die über die einzelnen Datenverarbeitungen entscheiden. Hierbei kann es sich um eine einzelne Person handeln, je nach Situation kann auch die Notwendigkeit bestehen, mehrere Personen oder auch Unternehmen aufzuführen.
Sofern die Benennung eines Datenschutzbeauftragten (egal ob intern oder extern) erfolgt ist, so ist dieser ebenfalls aufzuführen. Alternativ empfiehlt es sich bei ausbleibender Bestellpflicht, einen internen Ansprechpartner / Fachbereich für Datenschutzanfragen zu benennen.
2. Bereich: Die Verarbeitungstätigkeiten
In diesem Bereich werden sämtliche Verarbeitungstätigkeiten aufgeführt. Hierbei sind zwei Aspekte von Bedeutung. Zunächst ist es entscheidend, sämtliche Verarbeitungstätigkeiten zu erfassen. Darüber hinaus genügt eine simple Auflistung nicht aus. Stattdessen sind detaillierte Angaben zu den Verarbeitungstätigkeiten zu machen. Gemäß Art. 30 Abs. 1 DSGVO sind dies:
- Zwecke der Verarbeitung
- Kategorien der betroffenen Personen (z.B. Bewerber, Kunden pder Mitarbeiter)
- Kategorien der personenbezogenen Daten (z. B. Adressdaten, Daten zu Umsätzen oder Gesundheitsdaten)
- Kategorien von Empfängern der personenbezogenen Daten, sowohl intern als auch extern (z.B. Konzernmutter oder Finanzamt)
- Angaben zu Drittlandsübermittlungen in Nicht- EU Länder
- Löschfristen
- Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)
Besonderheiten für Auftragsverarbeiter
Ist ein Unternehmen als Auftragsverarbeiters tätig, so genügt es nicht, im Verzeichnis von Verarbeitungstätigkeiten die Namen und Kontaktdaten aus den eigenen Reihen sowie einen etwaigen Datenschutzbeauftragten zu nennen. Darüber hinaus ist es notwendig, den Auftraggeber und dessen Vertreter anzugeben.
Aktualisierung bedenken
Mit der einmaligen Erstellung des eigentlichen Dokuments ist das Thema VVT nicht dauerhaft vom Tisch. Sobald Prozesse, die mit der Verarbeitung personenbezogener Daten in Verbindung stehen, sich ändern oder neue Prozesse hinzukommen, kann eine Aktualisierung der VVT notwendig sein. Am besten werden solche Änderungen von den jeweiligen Fachabteilungen proaktiv gemeldet, damit eine umgehende Prüfung erfolgen kann.
Bei den Verarbeitungstätigkeiten müssen Auftragsverarbeiter nur die Kategorien von Verarbeitungen, die im Auftrag durchgeführt werden, aufführen.
Fragen & Antworten zum Thema
Was ist die Konsequenz, wenn kein VVT geführt wird?
Zunächst ist zu klären, ob die Verpflichtung zum Führen eines Verzeichnis von Verarbeitungstätigkeiten besteht. Sollte dies der Fall sein und kein VVT existieren, kann die zuständige Aufsichtsbehörde ein Bußgeld verhängen. Die Bußgeldhöhe richtet sich vor allem nach dem Unternehmensumsatz und kann sich daher auf einen stattlichen Betrag belaufen.
Muss das Dokument in ausgedruckter Form vorliegen?
Es ist zulässig, das Verzeichnis von Verarbeitungstätigkeiten in elektronischer Form zu führen. Wenn die zuständige Aufsichtsbehörde das Dokument einsehen möchte, kann sie auf Vorlage eines ausgedruckten Dokuments bestehen.