Data Protection Academy » Data Protection Wiki » Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten oder Verarbeitungsverzeichnis

Datenschutz gemäß DSGVO

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen zur Dokumentation aller Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Vorgänge, bei denen personenbezogener Daten verarbeitet werden. Alle Verarbeitungstätigkeiten müssen in einem Verzeichnis, dem Verzeichnis von Verarbeitungstätigkeiten – auch bekannt als Verfahrensverzeichnis – dokumentiert werden. In diesem Artikel klären wir, wer ein Verzeichnis der Verarbeitungstätigkeiten führen muss und welche Informationen dieses enthalten sollte.

Wichtigste Informationen über das Verzeichnis von Verarbeitungstätigkeiten

  • Laut Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen
  • Das VVT dokumentiert alle Verarbeitungstätigkeiten eines Unternehmens
  • Verarbeitungstätigkeiten sind Vorgänge, bei denen personenbezogener Daten verarbeitet werden
  • Die gesetzlichen Bestimmungen zum Verzeichnis der Verarbeitungstätigkeiten sind in Artikel 30 DSGVO geregelt
  • Vor dem Inkrafttreten der DSGVO hieß das Verzeichnis der Verarbeitungstätigkeiten „Verfahrensverzeichnis“

Inhalt zum Verzeichnis von Verarbeitungstätigkeiten:

Whitepaper Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen

Whitepaper von Robin Data mit Verzeichnis der Verarbeitungstätigkeiten Muster

Im Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen finden Sie:

  • Get information on the Verzeichnis der Verarbeitungstätigkeiten and to Processing operations and personal data
  • Lernen Sie wer ein Verzeichnis der Verarbeitungstätigkeiten führen muss
  • Learn which Information according to DSGVO im Verzeichnis enthalten sein müssen
  • Including Beispielen für Verarbeitungstätigkeiten
  • Inklusive ausführlichem Muster für eine ausgefüllte Verarbeitungstätigkeit

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Was sind Verarbeitungstätigkeiten und was ist ein Verarbeitungsverzeichnis?

The Verzeichnis der Verarbeitungstätigkeiten (kurz Verarbeitungsverzeichnis oder VVT) ist eine schriftliche Dokumentation aller Verarbeitungstätigkeiten von personal data. gemäß Art. 30 GDPR. Dabei stellen Verarbeitungstätigkeiten Prozesse dar, bei denen personenbezogene Daten erhoben, verarbeitet und gespeichert werden.

Are there differences between the record of processing activities and the procedure directory?

Der Begriff „procedure directory“ stammt aus dem BDSG. und meint eine Übersicht der eingesetzten Verfahrensweisen. Mit Ablösen des BDSG 2018 durch die GDPR a renaming and minor adjustments were made.

Ein Unterschied liegt darin, dass die Differenzierung zwischen dem internen und öffentlichen Verzeichnis, wie das BDSG es vor sah wegfiel. Zudem besteht seit der DSGVO nicht mehr die Pflicht das Verzeichnis Betroffenen zugänglich zu machen, stattdessen müssen diese über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Im wesentlichen meinen also procedure directory and the record of processing activities are the same thing.

Wer muss ein Verarbeitungsverzeichnis gemäß DSGVO führen?

Die DSGVO sieht vor, dass sowohl Verantwortliche als auch die Auftragsverarbeiter jeweils ein VVT anlegen. In Art. 30 Abs.1 der DSGVO ist geregelt, welche Angaben Verantwortliche in ihrem Verarbeitungsverzeichnis führen müssen.

As controller gelten jene Personen, welche allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

Aber auch die Auftragsverarbeiter, welche die personenbezogenen Daten im Auftrag eines Verantwortlichen verarbeiten müssen ein VVT erstellen. Dabei müssen sie sich an die Regelungen des Art. 30 para. 2 GDPR.

Gibt es Ausnahmen von der Pflicht, das Verzeichnis der Verarbeitungstätigkeiten zu führen?

Art. 30 Abs. 5 der DSGVO sieht von der Pflicht zur Führung eines Verarbeitungsverzeichnisses ab, wenn Unternehmen oder Einrichtungen weniger als 250 Mitarbeiter beschäftigen und

  • die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • the processing is only occasional,
  • keine Verarbeitung besonderer Datenkategorien nach Article 9 (e.g. health data) or personal data. über strafrechtliche Verurteilungen und Straftaten im Sinne des Article 10  stattfindet

Was ist der Zweck des Verzeichnisses von Verarbeitungstätigkeiten?

Mit dem Verzeichnis von Verarbeitungstätigkeiten kommen Unternehmen ihrer documentation and accountability gemäß Art. 5 para. 2 GDPR. nach. Ihr Unternehmen erreicht mit dem Führen eines Verarbeitungsverzeichnisses nicht nur Transparenz über die Verarbeitung personenbezogener Daten, sondern ist auch für den Fall einer Überprüfung durch die Datenschutz-Aufsichtsbehörden rechtlich abgesichert.

Welche Angaben gehören zu den einzelnen Verarbeitungstätigkeiten?

Gemäß Article 30(1) of the GDPR ist die verantwortliche Person zu folgenden Angaben zur Verarbeitungstätigkeit verpflichtet:

  1. The purpose of the processing
  2. Categories of data subjects (e.g. applicants, customers)
  3. Categories personal data (e.g. contact, address data), especially if they are special categories such as health data.
  4. Kategorien von Empfängern personenbezogener Daten (z.B. Ämter)
  5. Bei Übermittlung in Drittländer: Angabe des Drittlandes oder der internationalen Organisation. Weitere Informationen dazu finden Sie im Artikel Datenübertragung in Drittländer.
  6. Löschfristen, unter Beobachtung der Aufbewahrungsfristen
  7. Descriptions of the technisch-organisatorischen Maßnahmen (TOMs) and/or reference to existing safety concept with TOMs

Die verpflichtenden Angaben durch die Auftragsverarbeiter sind wesentlich reduzierter, sodass Angaben zum Zweck der Verarbeitung, sowie die Kategorien von Personen, Daten und der Empfänger entfallen. Stattdessen müssen Diese die Kategorien von Verarbeitungen angeben, welche im Auftrag von einer verantwortlichen Stelle durchgeführt wurden.

Muster für eine ausgefüllte Verarbeitungstätigkeit

DesignationE-mail communication
DescriptionInternal and external communication via e-mail
Applies at locationsSample city 1, sample city 2
Applies in functional areasAll areas
The ControllerName des Geschäftsführers
Legal basisArt. 6 Abs. 1 lit b – DSGVO Erfüllung des Vertragsgegenstandes
Art. 6 Abs. 1 lit c – DSGVO Erfüllung einer rechtlichen Verpflichtung
Art. 6 para. 1 lit f - GDPR Protection of legitimate interests
Begründung eines berechtigten InteressesCommunication and exchange of information with interested parties
Parties concernedProspective customers, customers, employees, employees of an external contact, applicants and many more.
Data typesE-Mail (allgemein), E-Mail-Postfächer, Anhang (mit personenbezogenen Daten)
Categories of dataAddress data, e-mail address, surname and first name, telephone number, etc.
Risk assessmentNo
Technisch-organisatorische MaßnahmenEinsatz von Mailverschlüsselung

Beispiele für Verarbeitungstätigkeiten

Typical processes are:

  • E-mail communication
  • Document management
  • Controlling
  • Chat and messenger services
  • Customer Relationship Management (CRM)
  • Mitarbeiterfotos in der Öffentlichkeitsarbeit
  • Payroll
  • Travel expense report
  • Videoüberwachung
Note

Das Robin Data ComplianceOS® enthält über 1000 ausgefüllte Verarbeitungstätigkeiten und erstellt das zugehörige Verzeichnis automatisch

Book a demo

Wie oft muss das Verzeichnis von Verarbeitungstätigkeiten aktualisiert und überprüft werden?

Um der Dokumentations- und Rechenschaftspflicht nachzukommen, ist es nötig das Verzeichnis für Verarbeitungstätigkeiten regelmäßig zu überprüfen und aktuell zu halten. Dementsprechend müssen neue Verarbeitungstätigkeiten stets ins Verarbeitungsverzeichnis eingepflegt werden.

Eine Kontrolle der Aktualität sollte in regelmäßigen Abständen stattfinden und alle Einträge überprüfen. Die Datenschutzkonferenz empfiehlt zudem Änderungen, welche im VVT vorgenommen worden sind mit einer Speicherfrist von einem Jahr nachvollziehbar zu machen.

Welche Sanktionen drohen bei fehlendem Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis für Verarbeitungstätigkeiten kann jederzeit von der zuständigen Aufsichtsbehörde angefordert werden. Wird dabei eine fehlende oder unvollständige Führung des VVT festgestellt drohen Bußgelder. Diese sind in Art. 83 GDPR. festgeschrieben und belaufen sich auf bis zu 10 Mio.€ beziehungsweise bis zu 2% des weltweiten Jahreseinkommens (Art. 83 Abs. 4a).

Zudem kann es passieren, dass ein Verstoß gegen die Rechenschaftspflicht gemäß Art. 5 para. 2 angenommen wird. Dabei ist mit deutlich höheren Bußgeldern zu rechnen.

Umsetzung und Dokumentation des Verzeichnis von Verarbeitungstätigkeiten mit der Robin Data Software

Die Robin Data Software hilft Ihnen Ihr Verarbeitungsverzeichnis anzulegen. In 4 einfachen Schritten ist Ihr unternehmensspezifisches Verzeichnis datenschutzkonform angelegt und schnell mit Verarbeitungstätigkeiten gefüllt.


Sollten Sie sich für die Umsetzung und Dokumentation der Technisch Organisatorischen Maßnahmen mit der Robin Data Software interessieren, können Sie die einzelnen articles in our Help Center or book free initial meetings .

1. Branche auswählen

Auf Basis Ihrer Branche wird das Verzeichnis für Verarbeitungstätigkeiten für Ihr Unternehmen automatisch vorkonfiguriert. Das bedeutet, dass bereits jetzt ein Großteil der Arbeit erledigt ist, denn die für Ihre Branche wichtigsten Angaben sind schon hinterlegt.

2. Verarbeitungstätigkeiten auswählen

Wählen Sie aus der Liste an Verarbeitungstätigkeiten diejenigen aus, die in Ihrem Unternehmen durchgeführt werden. Nichtzutreffende können Sie ganz einfach löschen sowie fehlende ergänzen.

3. Verarbeitungstätigkeiten bearbeiten

Die für Ihre Branche hinterlegten Verarbeitungstätigkeiten können Sie ganz einfach bearbeiten. Ein Großteil der nach Article 30 GDPR erforderlichen Informationen ist schon hinterlegt. Den Rest ergänzen Sie einfach mit Hilfe von einer großen Auswahl an Daten.

4. Verarbeitungstätigkeiten ergänzen
Neue Verarbeitungstätigkeiten die häufig in Ihrer Branche vorkommen, werden Ihnen regelmäßig vorgeschlagen. So ist Ihr Verzeichnis immer up-to-date.

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

Erfahren Sie alles über Vorlagen, Aufbau und Umsetzung eines DSGVO-konformen Datenschutz-Management-System (DSMS).
Read more
künstliche intelligenz
Erfahren Sie, wie Künstliche Intelligenz DSGVO-konform eingesetzt werden kann. Ein praxisnaher Leitfaden.
Read more
Vorlagen, Whitepaper und Umsetzung des Tätigkeitsbericht nach DSGVO. In wenigen Schritten automatisiert den Tätigkeitsbericht erstellen.
Read more

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.