Das Verarbeitungsverzeichnis​

Das Verzeichnis der Verarbeitungstätigkeiten (auch: Verarbeitungsverzeichnis, kurz: VVT) gehört zwingend zu fast jeder Datenschutz-Dokumentation. Nachfolgend erfahren Sie die Einzelheiten.

Was ist ein Verarbeitungsverzeichnis?

Das "Verzeichnis von Verarbeitungstätigkeiten" (VVT), wie das Verarbeitungsverzeichnis nach dem Wortlaut von Art. 30 Abs. 1 DSGVO offiziell heißt, ist eine Übersicht, in der ein Unternehmen detailliert alle Tätigkeiten beschreibt, bei denen es im eigenen Verantwortungsbereich selbst personenbezogene Daten verarbeitet oder verarbeiten lässt oder als Auftragsverarbeiter für einen Auftraggeber personenbezogene Daten verarbeitet.

Wer benötigt ein Verarbeitungsverzeichnis?

Laut Art. 30 Abs. 1 DSGVO hat grundsätzlich jeder Verantwortliche ein VVT für die Verarbeitungstätigkeiten in seiner Zuständigkeit zu führen. Unternehmen, die als Auftragsverarbeiter für andere tätig sind, haben nach Art. 30 Abs. 2 DSGVO zusätzlich noch ein Verzeichnis zu diesen Verarbeitungstätigkeiten zu führen.

Gibt es Ausnahmen?

Ja. Eine Ausnahmen von der Pflicht, ein VVT zu führen, ist in Art. 30 Abs. 5 DSGVO aufgeführt. Demnach sind Unternehmen befreit, die weniger als 250 Mitarbeiter beschäftigen. ABER: Die Ausnahme gilt nur sehr begrenzt. Wenn nämlich die genutzten Verarbeitungstätigkeiten ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen, die Verarbeitung mehr als nur gelegentlich erfolgt oder besondere Datenkategorien gem. Art. 9 DSGVO bzw. Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO verarbeitet werden, greift sie nicht. Da jedes Unternehmen, dass Kunden und Mitarbeiter hat, personenbezogene Daten mehr als nur gelegentlich verarbeitet, greift die Ausnahme fast nie.

Was gilt als "Verarbeitungstätigkeit"?

In das VVT ist laut der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) eine Beschreibung für jede einzelne Verarbeitungstätigkeit aufzunehmen. Was als Verarbeitungstätigkeit gilt, definiert die DSGVO nicht. Einige Landesbehörden geben hilfreiche Hinweise. Laut dem Tätigkeitsbericht 2018 des Landesbeauftragten für Datenschutz in Baden-Württemberg (S. 11) wird als Verarbeitungstätigkeit "ein spezieller, eigenständiger Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab.."

...Datenschutz

einfach machen

Wozu dient das Verarbeitungsverzeichnis?

Über den Zweck des VVT gibt Erwägungsgrund 82 zur DSGVO nähere Auskunft. Demnach ist das Verzeichnis zum Nachweis der Einhaltung der DSGVO zu führen. Es muss der zuständigen Aufsichtsbehörde auf Anfrage vorgelegt werden können, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Daneben soll das VVT auch unternehmensintern einen jederzeitigen Überblick über die genutzten Verarbeitungsprozesse ermöglichen.

Was muss das Verarbeitungsverzeichnis enthalten?

Für die inhaltliche Ausgestaltung des VVT schreibt die DSGVO konkrete Mindestvorgaben vor. Für das VVT eines Verantwortlichen sind diese in Art. 30 Abs. 1 aufgeführt. Demnach sind u.a. Namen und Kontaktdaten verschiedener Personen, die Zwecke der Verarbeitung, die Kategorien der betroffenen Daten, Personen und Empfänger sowie nach Möglichkeit Löschfristen und eingesetzte Sicherheitsmaßnahmen aufzuführen.Die Mindestanforderungen an das VVT eines Auftragsverarbeiters finden sich in Art. 30 Abs. 2 .

Wenn Sie Ihr Verarbeitungsverzeichnis selbst erstellen möchten, finden Sie in diesem Dokument der Datenschutzkonferenz (DSK) umfangreiche Hinweise dazu. Außerdem hat die DSK bereits im Jahr 2018 zwei VVT-Muster (eines für Verantwortliche und eines für Auftragsverarbeiter) veröffentlicht. Diese können Sie über folgende Links abrufen:

DSK-Muster Verantwortlicher
DSK-Muster Auftragsverarbeiter

Bei KDSB haben wir nach dem Vorbild der DSK-Muster umfangreiche eigene VVT-Muster erstellt. Im Vergleich zu den üblichen “Blanko-Mustern” bieten unsere Muster den Vorteil, dass bei den einzelnen Verarbeitungstätigkeiten bereits die nach unserer Erfahrung jeweils üblichen Angaben “vorausgefüllt” sind.  Sie müssen die Muster daher nicht mehr vollständig selbst ausfüllen, sondern lediglich die bereits enthaltenen, üblichen Angaben darauf prüfen, ob sie auch bei Ihnen zutreffend sind. Eventuell erforderliche Ergänzungen oder Änderungen können bequem direkt in die Vorlagen eingearbeitet werden. Ein Beispiel ist nachfolgend abgebildet.

Sie haben weitere Fragen, wollen unsere Vorlagen der Verarbeitungsverzeichnisse nutzen oder sind an sonstigen unserer Leistungen interessiert? Schreiben Sie uns einfach!

Bewertung
[Stimmen: 0 | ∅: 0]
KDSB Service GmbH
Sie erreichen uns unter folgenden Kontaktdaten:
  • 0341 221 71 069
  • info@kdsb.gmbh
  • Grimmaische Str. 23,
    04109 Leipzig

Wir sind Teilnehmer der Allianz für Cybersicherheit sowie Mitglied des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V. (BvD) und der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)