Warum ein VVT führen?

VVT
Teile diesen Blogbeitrag

Die Bestimmungen der DSGVO schreiben Unternehmen und Organisationen vor, seit Mai 2018 ein Verzeichnis von Verarbeitungstätigkeiten, kurz VVT, zu erstellen und zu pflegen. Dabei wird dieses VVT von jedem Unternehmen individuell angefertigt und ausgefüllt. Es führt alle Verarbeitungstätigkeiten, welche personenbezogene Daten beinhalten, innerhalb des Unternehmens auf. Diese Aufgaben wird oft zusammen mit dem internen oder externen Datenschutzbeauftragten vorgenommen.

Was sind überhaupt Verarbeitungstätigkeiten?

Verarbeitungstätigkeiten sind alle Vorgänge im Unternehmen, in denen personenbezogene Daten verarbeitet werden. Das können Unternehmensprozesse sein, wie zum Beispiel das Bewerbermanagement. Die Verarbeitung, die hier im Verzeichnis aufgeführt werden würde, würde sich rund um das Suchen und Finden von neuen Mitarbeitenden drehen. Um diese Liste der Verarbeitungstätigkeiten wirklich genau herauskristallisieren zu können, wird empfohlen, dass Unternehmen eine individuelle Analyse durchführen. So kann identifizieret werden, bei welchen Prozesse des Unternehmens personenbezogene Daten verarbeitet werden. 

Was muss beim Verzeichnis der Verarbeitungstätigkeiten beachtet werden?

Da die DSGVO jedem Unternehmen vorgibt ein Verzeichnis zu führen, ist es wichtig, dass Sie folgende Dinge so schnell wie möglich überprüfen.

a) Vorhandensein des Verzeichnis der Verarbeitungstätigkeiten

Wenn die Aufsichtsbehörde bei dem jeweiligen Unternehmen nachhakt, ob dieses ein VVT führt, muss das Unternehmen dies unbedingt vorlegen können. Typischerweise wird das Verzeichnis in Microsoft Word, Excel oder einer Software geführt. Excel bietet sich vor allem deswegen an, da das VVT wie eine Art Matrix aufgebaut ist. Vertikal werden die Prozesse geführt, horizontal alle erforderlichen Informationen.

b) Vollständigkeit des Verzeichnis der Verarbeitungstätigkeiten

Das Dokument darf formlos erstellt werden. Allerdings müssen alle Abläufe innerhalb des Dokuments vermerkt sein. Darüber hinaus sollten alle erforderlichen Informationen pro Verarbeitung nicht fehlen. Auszuweisen ist z.B. die Kategorie der personenbezogenen Daten, die Kategorie der betroffenen Personen, die Empfänger der Daten, die Information, ob Daten in ein unsicheres Drittland übermittelt werden, Löschfristen, die technischen und organisatorischen Maßnahmen etc. 

c) Aktualität des Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten muss regelmäßig aktualisiert und gepflegt werden. Für die regelmäßige Überprüfung und Aktualisierung ist unter anderem der Datenschutzbeauftragte zuständig. Mindestens einmal pro Jahr sollte das VVT auf Veränderungen überprüft werden. Dies kann zum Beispiel durch ein Audit abgefragt werden. 

Gute Gründe zum Führen des VVT

Die Grundlage für das VVT bildet der Art. 30 DSGVO. Bei einer Kontrolle der Aufsichtsbehörde kann das VVT zur Hilfe herangezogen werden, da innerhalb dessen alle Verarbeitungstätigkeiten nachvollziehbar dargestellt werden müssen. Vor allem im Falle einer Datenpanne, kann das Verzeichnis der Verarbeitungstätigkeiten helfen, um nachzuweisen, dass Prozesse und die Verarbeitung der personenbezogenen Daten im Rahmen des Prozesses ausreichend geschützt waren. Die Dokumentation und damit verbundenen Nachweise können teure Bußgelder abwenden.

Aufbau des Dokuments

Obwohl das VVT eigentlich formlos erfolgen kann, wird dennoch eine Aufteilung empfohlen. Wir haben oben schon grob beschrieben, was in einem Verzeichnis der Verarbeitungstätgkeiten nicht fehlen darf. Hier findest du von einer Aufsichtsbehörde zusätzlich einen potenziellen Aufbau für ein Verzeichnis von Verarbeitungstätigkeiten. Ihr könntet euch daran orientieren. Generell empfehlen wir und die Behörden das VVT in zwei Bereiche einzuteilen: 

  1. Zunächst sollten, übergeordnet, generelle Informationen zum Verantwortlichen gemacht werden. Über das eigentliche VVT könnte der Namen und die Kontaktdaten des Verantwortlichen aufgeführt werden. Sofern diese existiert, sollten die Kontaktdaten der Datenschutzbeauftragten nicht fehlen. Außerdem könnte der Stand des Verzeichnisses sowie das Datum und die Kontaktdaten der letzten Prüfung bzw. des letzten Prüfenden gemacht werden. Wir haben dir auf Youtube außerdem noch ein Video über das VVT aufgenommen. Dieses findest du hier.
  2. Der zweite Bereich umfasst die Verarbeitungstätigkeiten. Hierbei werden also alle Verarbeitungstätigkeiten aufgelistet. Am besten vertikal und nummeriert. Hier müssen nach Art. 30 Abs. 1 DSGVO detaillierte Angaben zu Verarbeitungstätigkeiten gemacht werden. Dazu zählt u.a. der Zweck der Verarbeitung, Löschfristen aber auch die Beschreibung der technischen und organisatorischen Maßnahmen. Falls du dazu noch mehr wissen möchtest, kannst du in diesem Artikel mehr über die TOMs erfahren. 

Datenschutzbeauftragung

Brauchst du Hilfe in der Bearbeitung der oben genannten Themen? Oder sucht ihr schon länger nach einem externen Datenschutzbeauftragten, der euch monatlich unterstützt?
Melde dich hier!

Dein eigenes Onlinetraining!

Möchtest du dir die Dinge lieber in deiner eigenen Zeit und auf effiziente sowie strukturierte Art beibringen? Dann buche unser DSGVO-Onlinetraining ab 249 Euro.
Buche deinen Kurs hier!
Mehr Blogbeiträge
EU/USA Datenabkommen
DSGVO

EU/USA Datenabkommen

Das Wichtige vorab: Bis Juli 2020 war es möglich, dass personenbezogene Daten auf der Grundlage des Privacy-Shield Abkommens in die USA übermittelt werden konnten. Anschließend

24/02/2023
Datenschutz-Folgeabschätzung
DSGVO

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgeabschätzung ist ein Instrument der DSGVO. Es bedeutet, dass ein Verantwortlicher vor Verarbeitung von sensiblen Daten eine Abschätzung der Folgen vornehmen muss und diese

17/02/2023

Möchtest du dein Unternehmen Datenschutzkonform aufstellen?

Wir helfen dir gerne!

Kontaktiere uns