Datenschutz-Akademie » Datenschutz-Wiki » Verzeichnis von Verarbeitungstätigkeiten
Datenschutz gemäß DSGVO
Verzeichnis von Verarbeitungstätigkeiten
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen zur Dokumentation aller Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Vorgänge, bei denen personenbezogener Daten verarbeitet werden. Alle Verarbeitungstätigkeiten müssen in einem Verzeichnis, dem Verzeichnis von Verarbeitungstätigkeiten – auch bekannt als Verfahrensverzeichnis – dokumentiert werden. In diesem Artikel klären wir, wer ein Verzeichnis der Verarbeitungstätigkeiten führen muss und welche Informationen dieses enthalten sollte.
Wichtigste Informationen über das Verzeichnis von Verarbeitungstätigkeiten
- Laut Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen
- Das VVT dokumentiert alle Verarbeitungstätigkeiten eines Unternehmens
- Verarbeitungstätigkeiten sind Vorgänge, bei denen personenbezogener Daten verarbeitet werden
- Die gesetzlichen Bestimmungen zum Verzeichnis der Verarbeitungstätigkeiten sind in Artikel 30 DSGVO geregelt
- Vor dem Inkrafttreten der DSGVO hieß das Verzeichnis der Verarbeitungstätigkeiten “Verfahrensverzeichnis”
Inhalt zum Verzeichnis von Verarbeitungstätigkeiten:
Whitepaper Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen
Im Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen finden Sie:
- Erhalten Sie Informationen zum Verzeichnis der Verarbeitungstätigkeiten sowie zu Verarbeitungen und personenbezogenen Daten
- Lernen Sie wer ein Verzeichnis der Verarbeitungstätigkeiten führen muss
- Erfahren Sie welche Angaben laut DSGVO im Verzeichnis enthalten sein müssen
- Inklusive Beispielen für Verarbeitungstätigkeiten
- Inklusive ausführlichem Muster für eine ausgefüllte Verarbeitungstätigkeit
Was sind Verarbeitungstätigkeiten und was ist ein Verarbeitungsverzeichnis?
Das Verzeichnis der Verarbeitungstätigkeiten (kurz Verarbeitungsverzeichnis oder VVT) ist eine schriftliche Dokumentation aller Verarbeitungstätigkeiten von personenbezogenen Daten gemäß Art. 30 DSGVO. Dabei stellen Verarbeitungstätigkeiten Prozesse dar, bei denen personenbezogene Daten erhoben, verarbeitet und gespeichert werden.
Gibt es Unterschiede zwischen dem Verarbeitungsverzeichnis und dem Verfahrensverzeichnis?
Der Begriff „Verfahrensverzeichnis“ stammt aus dem BDSG und meint eine Übersicht der eingesetzten Verfahrensweisen. Mit Ablösen des BDSG 2018 durch die DSGVO erfolgte eine Umbenennung sowie kleinere Anpassungen.
Ein Unterschied liegt darin, dass die Differenzierung zwischen dem internen und öffentlichen Verzeichnis, wie das BDSG es vor sah wegfiel. Zudem besteht seit der DSGVO nicht mehr die Pflicht das Verzeichnis Betroffenen zugänglich zu machen, stattdessen müssen diese über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Im wesentlichen meinen also Verfahrensverzeichnis und Verarbeitungsverzeichnis das Gleiche.
Wer muss ein Verarbeitungsverzeichnis gemäß DSGVO führen?
Die DSGVO sieht vor, dass sowohl Verantwortliche als auch die Auftragsverarbeiter jeweils ein VVT anlegen. In Art. 30 Abs.1 der DSGVO ist geregelt, welche Angaben Verantwortliche in ihrem Verarbeitungsverzeichnis führen müssen.
Als Verantwortliche gelten jene Personen, welche allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Aber auch die Auftragsverarbeiter, welche die personenbezogenen Daten im Auftrag eines Verantwortlichen verarbeiten müssen ein VVT erstellen. Dabei müssen sie sich an die Regelungen des Art. 30 Abs. 2 DSGVO halten.
Gibt es Ausnahmen von der Pflicht, das Verzeichnis der Verarbeitungstätigkeiten zu führen?
Art. 30 Abs. 5 der DSGVO sieht von der Pflicht zur Führung eines Verarbeitungsverzeichnisses ab, wenn Unternehmen oder Einrichtungen weniger als 250 Mitarbeiter beschäftigen und
- die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
- die Verarbeitung nur gelegentlich erfolgt,
- keine Verarbeitung besonderer Datenkategorien nach Artikel 9 (z.B. Gesundheitsdaten) oder personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 stattfindet
Was ist der Zweck des Verzeichnisses von Verarbeitungstätigkeiten?
Mit dem Verzeichnis von Verarbeitungstätigkeiten kommen Unternehmen ihrer Dokumentations- und Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nach. Ihr Unternehmen erreicht mit dem Führen eines Verarbeitungsverzeichnisses nicht nur Transparenz über die Verarbeitung personenbezogener Daten, sondern ist auch für den Fall einer Überprüfung durch die Datenschutz-Aufsichtsbehörden rechtlich abgesichert.
Welche Angaben gehören zu den einzelnen Verarbeitungstätigkeiten?
Gemäß Artikel 30 Abs. 1 der DSGVO ist die verantwortliche Person zu folgenden Angaben zur Verarbeitungstätigkeit verpflichtet:
- Dem Zweck der Verarbeitung
- Kategorien der betroffenen Personen (z.B. Bewerber, Kunden)
- Kategorien personenbezogener Daten (z.B. Kontakt-,Adressdaten), besonders dann, wenn es besondere Kategorien wie Gesundheitsdaten sind
- Kategorien von Empfängern personenbezogener Daten (z.B. Ämter)
- Bei Übermittlung in Drittländer: Angabe des Drittlandes oder der internationalen Organisation. Weitere Informationen dazu finden Sie im Artikel Datenübertragung in Drittländer.
- Löschfristen, unter Beobachtung der Aufbewahrungsfristen
- Beschreibungen der technisch-organisatorischen Maßnahmen (TOMs) und/oder Verweis auf vorhandenes Sicherheitskonzept mit TOMs
Die verpflichtenden Angaben durch die Auftragsverarbeiter sind wesentlich reduzierter, sodass Angaben zum Zweck der Verarbeitung, sowie die Kategorien von Personen, Daten und der Empfänger entfallen. Stattdessen müssen Diese die Kategorien von Verarbeitungen angeben, welche im Auftrag von einer verantwortlichen Stelle durchgeführt wurden.
Muster für eine ausgefüllte Verarbeitungstätigkeit
Bezeichnung | E-Mail-Kommunikation |
---|---|
Beschreibung | Interne und Externe Kommunikation via E-Mail |
Gilt an Standorten | Musterstadt 1, Musterstadt 2 |
Gilt in Funktionbereichen | Alle Bereiche |
Verantwortlicher | Name des Geschäftsführers |
Rechtsgrundlage | Art. 6 Abs. 1 lit b – DSGVO Erfüllung des Vertragsgegenstandes Art. 6 Abs. 1 lit c – DSGVO Erfüllung einer rechtlichen Verpflichtung Art. 6 Abs. 1 lit f – DSGVO Wahrung der berechtigten Interessen |
Begründung eines berechtigten Interesses | Kommunikation und Informationsaustausch mit Interessierten Parteien |
Betroffene | Interessenten, Kunden, Mitarbeiter, Mitarbeiter eines externen Kontaktes, Bewerber uvm. |
Datenarten | E-Mail (allgemein), E-Mail-Postfächer, Anhang (mit personenbezogenen Daten) |
Datenkategorien | Adressdaten, E-Mail-Adresse, Name und Vorname, Telefonnummer uvm. |
Risikobewertung | Nein |
Technisch-organisatorische Maßnahmen | Einsatz von Mailverschlüsselung |
Beispiele für Verarbeitungstätigkeiten
Typische Verarbeitungen sind:
- E-Mail-Kommunikation
- Dokumentenmanagement
- Controlling
- Chat- und Messengerdienste
- Kundenbeziehungsmanagement (CRM)
- Mitarbeiterfotos in der Öffentlichkeitsarbeit
- Personalabrechnung
- Reisekostenabrechnung
- Videoüberwachung
Wie oft muss das Verzeichnis von Verarbeitungstätigkeiten aktualisiert und überprüft werden?
Um der Dokumentations- und Rechenschaftspflicht nachzukommen, ist es nötig das Verzeichnis für Verarbeitungstätigkeiten regelmäßig zu überprüfen und aktuell zu halten. Dementsprechend müssen neue Verarbeitungstätigkeiten stets ins Verarbeitungsverzeichnis eingepflegt werden.
Eine Kontrolle der Aktualität sollte in regelmäßigen Abständen stattfinden und alle Einträge überprüfen. Die Datenschutzkonferenz empfiehlt zudem Änderungen, welche im VVT vorgenommen worden sind mit einer Speicherfrist von einem Jahr nachvollziehbar zu machen.
Welche Sanktionen drohen bei fehlendem Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis für Verarbeitungstätigkeiten kann jederzeit von der zuständigen Aufsichtsbehörde angefordert werden. Wird dabei eine fehlende oder unvollständige Führung des VVT festgestellt drohen Bußgelder. Diese sind in Art. 83 DSGVO festgeschrieben und belaufen sich auf bis zu 10 Mio.€ beziehungsweise bis zu 2% des weltweiten Jahreseinkommens (Art. 83 Abs. 4a).
Zudem kann es passieren, dass ein Verstoß gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 angenommen wird. Dabei ist mit deutlich höheren Bußgeldern zu rechnen.
Umsetzung und Dokumentation des Verzeichnis von Verarbeitungstätigkeiten mit der Robin Data Software
Die Robin Data Software hilft Ihnen Ihr Verarbeitungsverzeichnis anzulegen. In 4 einfachen Schritten ist Ihr unternehmensspezifisches Verzeichnis datenschutzkonform angelegt und schnell mit Verarbeitungstätigkeiten gefüllt.
Sollten Sie sich für die Umsetzung und Dokumentation der Technisch Organisatorischen Maßnahmen mit der Robin Data Software interessieren, können Sie die einzelnen Artikel in unserem Hilfe-Center nachlesen oder unsere kostenfreien Online-Demos besuchen.
1. Branche auswählen
Auf Basis Ihrer Branche wird das Verzeichnis für Verarbeitungstätigkeiten für Ihr Unternehmen automatisch vorkonfiguriert. Das bedeutet, dass bereits jetzt ein Großteil der Arbeit erledigt ist, denn die für Ihre Branche wichtigsten Angaben sind schon hinterlegt.
2. Verarbeitungstätigkeiten auswählen
Wählen Sie aus der Liste an Verarbeitungstätigkeiten diejenigen aus, die in Ihrem Unternehmen durchgeführt werden. Nichtzutreffende können Sie ganz einfach löschen sowie fehlende ergänzen.
3. Verarbeitungstätigkeiten bearbeiten
Die für Ihre Branche hinterlegten Verarbeitungstätigkeiten können Sie ganz einfach bearbeiten. Ein Großteil der nach Artikel 30 DSGVO erforderlichen Informationen ist schon hinterlegt. Den Rest ergänzen Sie einfach mit Hilfe von einer großen Auswahl an Daten.
4. Verarbeitungstätigkeiten ergänzen
Neue Verarbeitungstätigkeiten die häufig in Ihrer Branche vorkommen, werden Ihnen regelmäßig vorgeschlagen. So ist Ihr Verzeichnis immer up-to-date.
- Internes Kontrollsystem - 10. September 2024
- TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten - 8. Januar 2024
- Audit-Management: Audits effizienter umsetzen - 26. Oktober 2023