Datenschutz-Akademie » Datenschutz-Wiki » Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten oder Verarbeitungsverzeichnis

Datenschutz gemäß DSGVO

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen zur Dokumentation aller Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Vorgänge, bei denen personenbezogener Daten verarbeitet werden. Alle Verarbeitungstätigkeiten müssen in einem Verzeichnis, dem Verzeichnis von Verarbeitungstätigkeiten – auch bekannt als Verfahrensverzeichnis – dokumentiert werden. In diesem Artikel klären wir, wer ein Verzeichnis der Verarbeitungstätigkeiten führen muss und welche Informationen dieses enthalten sollte.

Wichtigste Informationen über das Verzeichnis von Verarbeitungstätigkeiten

  • Laut Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen
  • Das VVT dokumentiert alle Verarbeitungstätigkeiten eines Unternehmens
  • Verarbeitungstätigkeiten sind Vorgänge, bei denen personenbezogener Daten verarbeitet werden
  • Die gesetzlichen Bestimmungen zum Verzeichnis der Verarbeitungstätigkeiten sind in Artikel 30 DSGVO geregelt
  • Vor dem Inkrafttreten der DSGVO hieß das Verzeichnis der Verarbeitungstätigkeiten „Verfahrensverzeichnis“

Was sind Verarbeitungstätigkeiten und was ist ein Verarbeitungsverzeichnis?

Das Verzeichnis der Verarbeitungstätigkeiten (kurz Verarbeitungsverzeichnis oder VVT) ist eine schriftliche Dokumentation aller Verarbeitungstätigkeiten von personenbezogenen Daten gemäß Art. 30 DSGVO. Dabei stellen Verarbeitungstätigkeiten Prozesse dar, bei denen personenbezogene Daten erhoben, verarbeitet und gespeichert werden.

Gibt es Unterschiede zwischen dem Verarbeitungsverzeichnis und dem Verfahrensverzeichnis?

Der Begriff „Verfahrensverzeichnis“ stammt aus dem BDSG und meint eine Übersicht der eingesetzten Verfahrensweisen. Mit Ablösen des BDSG 2018 durch die DSGVO erfolgte eine Umbenennung sowie kleinere Anpassungen.

Ein Unterschied liegt darin, dass die Differenzierung zwischen dem internen und öffentlichen Verzeichnis, wie das BDSG es vor sah wegfiel. Zudem besteht seit der DSGVO nicht mehr die Pflicht das Verzeichnis Betroffenen zugänglich zu machen, stattdessen müssen diese über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Im wesentlichen meinen also Verfahrensverzeichnis und Verarbeitungsverzeichnis das Gleiche.

Wer muss ein Verarbeitungsverzeichnis gemäß DSGVO führen?

Die DSGVO sieht vor, dass sowohl Verantwortliche als auch die Auftragsverarbeiter jeweils ein VVT anlegen. In Art. 30 Abs.1 der DSGVO ist geregelt, welche Angaben Verantwortliche in ihrem Verarbeitungsverzeichnis führen müssen.

Als Verantwortliche gelten jene Personen, welche allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

Aber auch die Auftragsverarbeiter, welche die personenbezogenen Daten im Auftrag eines Verantwortlichen verarbeiten müssen ein VVT erstellen. Dabei müssen sie sich an die Regelungen des Art. 30 Abs. 2 DSGVO halten.

Gibt es Ausnahmen von der Pflicht, das Verzeichnis der Verarbeitungstätigkeiten zu führen?

Art. 30 Abs. 5 der DSGVO sieht von der Pflicht zur Führung eines Verarbeitungsverzeichnisses ab, wenn Unternehmen oder Einrichtungen weniger als 250 Mitarbeiter beschäftigen und

  • die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung nur gelegentlich erfolgt,
  • keine Verarbeitung besonderer Datenkategorien nach Artikel 9 (z.B. Gesundheitsdaten) oder personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10  stattfindet

Was ist der Zweck des Verzeichnisses von Verarbeitungstätigkeiten?

Mit dem Verzeichnis von Verarbeitungstätigkeiten kommen Unternehmen ihrer Dokumentations- und Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nach. Ihr Unternehmen erreicht mit dem Führen eines Verarbeitungsverzeichnisses nicht nur Transparenz über die Verarbeitung personenbezogener Daten, sondern ist auch für den Fall einer Überprüfung durch die Datenschutz-Aufsichtsbehörden rechtlich abgesichert.

Welche Angaben gehören zu den einzelnen Verarbeitungstätigkeiten?

Gemäß Artikel 30 Abs. 1 der DSGVO ist die verantwortliche Person zu folgenden Angaben zur Verarbeitungstätigkeit verpflichtet:

  1. Dem Zweck der Verarbeitung
  2. Kategorien der betroffenen Personen (z.B. Bewerber, Kunden)
  3. Kategorien personenbezogener Daten (z.B. Kontakt-,Adressdaten), besonders dann, wenn es besondere Kategorien wie Gesundheitsdaten sind
  4. Kategorien von Empfängern personenbezogener Daten (z.B. Ämter)
  5. Bei Übermittlung in Drittländer: Angabe des Drittlandes oder der internationalen Organisation. Weitere Informationen dazu finden Sie HIER.
  6. Löschfristen, unter Beobachtung der Aufbewahrungsfristen
  7. Beschreibungen der technisch-organisatorischen Maßnahmen (TOMs) und/oder Verweis auf vorhandenes Sicherheitskonzept mit TOMs

Die verpflichtenden Angaben durch die Auftragsverarbeiter sind wesentlich reduzierter, sodass Angaben zum Zweck der Verarbeitung, sowie die Kategorien von Personen, Daten und der Empfänger entfallen. Stattdessen müssen Diese die Kategorien von Verarbeitungen angeben, welche im Auftrag von einer verantwortlichen Stelle durchgeführt wurden.

Muster für eine ausgefüllte Verarbeitungstätigkeit

BezeichnungE-Mail-Kommunikation
BeschreibungInterne und Externe Kommunikation via E-Mail
Gilt an StandortenMusterstadt 1, Musterstadt 2
Gilt in FunktionbereichenAlle Bereiche
VerantwortlicherName des Geschäftsführers
RechtsgrundlageArt. 6 Abs. 1 lit b – DSGVO Erfüllung des Vertragsgegenstandes
Art. 6 Abs. 1 lit c – DSGVO Erfüllung einer rechtlichen Verpflichtung
Art. 6 Abs. 1 lit f – DSGVO Wahrung der berechtigten Interessen
Begründung eines berechtigten InteressesKommunikation und Informationsaustausch mit Interessierten Parteien
BetroffeneInteressenten, Kunden, Mitarbeiter, Mitarbeiter eines externen Kontaktes, Bewerber uvm.
DatenartenE-Mail (allgemein), E-Mail-Postfächer, Anhang (mit personenbezogenen Daten)
DatenkategorienAdressdaten, E-Mail-Adresse, Name und Vorname, Telefonnummer uvm.
RisikobewertungNein
Technisch-organisatorische MaßnahmenEinsatz von Mailverschlüsselung

Beispiele für Verarbeitungstätigkeiten

Typische Verarbeitungen sind:

  • E-Mail-Kommunikation
  • Dokumentenmanagment
  • Controlling
  • Chat- und Messengerdienste
  • Kundenbeziehungsmanagement (CRM)
  • Mitarbeiterfotos in der Öffentlichkeitsarbeit
  • Personalabrechnung
  • Reisekostenabrechnung
  • Videoüberwachung
Hinweis

Die Robin Data Software enthält über 1000 ausgefüllte Verarbeitungstätigkeiten und erstellt das zugehörige Verzeichnis automatisch

Wie oft muss das Verzeichnis von Verarbeitungstätigkeiten aktualisiert und überprüft werden?

Um der Dokumentations- und Rechenschaftspflicht nachzukommen, ist es nötig das Verzeichnis für Verarbeitungstätigkeiten regelmäßig zu überprüfen und aktuell zu halten. Dementsprechend müssen neue Verarbeitungstätigkeiten stets ins Verarbeitungsverzeichnis eingepflegt werden.

Eine Kontrolle der Aktualität sollte in regelmäßigen Abständen stattfinden und alle Einträge überprüfen. Die Datenschutzkonferenz empfiehlt zudem Änderungen, welche im VVT vorgenommen worden sind mit einer Speicherfrist von einem Jahr nachvollziehbar zu machen.

Welche Sanktionen drohen bei fehlendem Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis für Verarbeitungstätigkeiten kann jederzeit von der zuständigen Aufsichtsbehörde angefordert werden. Wird dabei eine fehlende oder unvollständige Führung des VVT festgestellt drohen Bußgelder. Diese sind in Art. 83 DSGVO festgeschrieben und belaufen sich auf bis zu 10 Mio.€ beziehungsweise bis zu 2% des weltweiten Jahreseinkommens (Art. 83 Abs. 4a).

Zudem kann es passieren, dass ein Verstoß gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 angenommen wird. Dabei ist mit deutlich höheren Bußgeldern zu rechnen.

Umsetzung und Dokumentation des Verzeichnis von Verarbeitungstätigkeiten mit der Robin Data Software

Die Robin Data Software hilft Ihnen Ihr Verarbeitungsverzeichnis anzulegen. In 4 einfachen Schritten ist Ihr unternehmensspezifisches Verzeichnis datenschutzkonform angelegt und schnell mit Verarbeitungstätigkeiten gefüllt.


Sollten Sie sich für die Umsetzung und Dokumentation der Technisch Organisatorischen Maßnahmen mit der Robin Data Software interessieren, können Sie die einzelnen Artikel in unserem Hilfe-Center nachlesen oder unsere kostenfreien Online-Demos besuchen.

1. Branche auswählen

Auf Basis Ihrer Branche wird das Verzeichnis für Verarbeitungstätigkeiten für Ihr Unternehmen automatisch vorkonfiguriert. Das bedeutet, dass bereits jetzt ein Großteil der Arbeit erledigt ist, denn die für Ihre Branche wichtigsten Angaben sind schon hinterlegt.

2. Verarbeitungstätigkeiten auswählen

Wählen Sie aus der Liste an Verarbeitungstätigkeiten diejenigen aus, die in Ihrem Unternehmen durchgeführt werden. Nichtzutreffende können Sie ganz einfach löschen sowie fehlende ergänzen.

3. Verarbeitungstätigkeiten bearbeiten

Die für Ihre Branche hinterlegten Verarbeitungstätigkeiten können Sie ganz einfach bearbeiten. Ein Großteil der nach Artikel 30 DSGVO erforderlichen Informationen ist schon hinterlegt. Den Rest ergänzen Sie einfach mit Hilfe von einer großen Auswahl an Daten.

4. Verarbeitungstätigkeiten ergänzen

Neue Verarbeitungstätigkeiten die häufig in Ihrer Branche vorkommen, werden Ihnen regelmäßig vorgeschlagen. So ist Ihr Verzeichnis immer up-to-date.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Verzeichnis für Verarbeitungstätigkeiten
Verzeichnis von Verarbeitungstätigkeit nach Art. 30 DSGVO. Schritt für Schritt erklärt mit umfangreichen Informationen. Datenschutz einfach gemacht.
Datenschutzbeauftragter
Alle Informationen zu den Technisch Organisatorischen Maßnahmen nach DSGVO. Was müssen Verantwortliche bei der Umsetzung und Dokumentation beachten?
Dokumentationspflichten
Alle Informationen zum Auftragsverarbeitungsvertrag nach DSGVO. Was müssen Verantwortliche bei der Erstellung und Verwaltung beachten?