Mustergliederung Verzeichnis von Verarbeitungstätigkeiten

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Ein Verfahrensverzeichnis (jetzt: Verzeichnis von Verarbeitungstätigkeiten, kurz VVT) besteht aus bestimmten, im Gesetz geregelten Punkten. Diese sollten alle eingehalten werden, um das Verzeichnis von Verarbeitungstätigkeiten formal korrekt aufzustellen.

In diesem Artikel erfahren Sie:

  • Was sind die Mindestinhalte für ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO?
  • Wie fülle ich das VVT in der Praxis aus?
  • Was sind zusätzliche Bestandteile, die Sie gleich mit abarbeiten können?
  • Die vier häufigsten Fragen zum Verarbeitungsverzeichnis nach DSGVO.

Die Inhalte gemäß Art. 30 DSGVO und § 70 neues BDSG

Die DSGVO und das neue BDSG benennen sieben Pflichtbestandteile (Buchstaben a) – e) im Gesetz) eines VVTs, welche grundsätzlich alle aufzunehmen sind.

Das Vorwort oder Hauptblatt

den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
Art. 30 (1) a) DSGVO

Hier müssen die Kontaktdaten des Verantwortlichen angegeben werden, also die Adresse des Unternehmens und deren Vertreter, bzw. Niederlassung oder Zweigstelle. Sollte kein Hauptsitz in der EU bestehen, so muss ein Vertreter in der EU benannt werden. Dessen Adresse muss auch angegeben werden.
Darüber hinaus muss ein externer oder interner Datenschutzbeauftragter angegeben werden, insofern er bestellt ist. Sollte keiner bestellt worden sein (dies ist auch nicht immer nötig), so ist der Verantwortliche für die Einhaltung des Datenschutzes verantwortlich.

Das eigentliche Verarbeitungsverzeichnis

Ab hier beginnt das eigentliche Verzeichnis der Verarbeitungen.

Im Folgenden werden die einzelnen gesetzlichen Formulierungen zitiert, dies dient dem besseren Verständnis. Einen umfangreichen Artikel mit Beispielen von Verarbeitungstätigkeiten nach DSGVO finden Sie hier.

die Zwecke der Verarbeitung;
Art. 30 (1) b) DSGVO

Es muss der Zweck angegeben werden. Z.B. das Verfahren Reisekostenabrechnung hat den Zweck „Abrechnung und Verwaltung von Dienstreisen“. Hier soll geprüft werden, ob das Verfahren auch zweckmäßig und angemessen ist.

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
Art. 30 (1) c) DSGVO

Das Gesetz verlangt hier Kategorien von Betroffenen und Daten zu nennen, d.h. es muss keine Einzelaufstellung von Betroffenen und Daten durchgeführt werden. Für das Reisekosten-Beispiel wäre es also ausreichend als Betroffenenkategorie nur “Beschäftigte” anzugeben und als Datenkategorien “Reisedaten” und “Arbeitnehmerstammdaten“ aufzunehmen. In der Praxis wäre es allerdings angeraten, die personenbezogenen Daten genau zu benennen, dies erleichtert das Datenschutzmanagement erheblich.

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
Art. 30 (1) d) und e) DSGVO

Dieser Abschnitt des Gesetzes behandelt die Empfänger der personenbezogenen Daten, also die Frage, wem die Daten „geschickt“ werden. Empfänger können innerhalb der Organisation liegen (z.B. gewisse Abteilungen) oder außerhalb (z.B. E-Mail Dienstleister, Zweigstellen). Darüber hinaus müssen Transfers in Drittländer besonders dokumentiert werden, denn grundsätzlich wird angenommen, dass in Ländern außerhalb der EU kein angemessenes Schutzniveau vorherrscht und deswegen geeignete Garantien ausgehandelt werden müssen.

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
Art. 30 (1) f) DSGVO

Das Löschen von Daten nimmt einen wichtigen Platz in der DSGVO ein. Das Recht auf Vergessenwerden, welches in der DSGVO verankert ist, kommt auch im Verfahrensverzeichnis zum Ausdruck. Es müssen also die üblichen Fristen für die Löschung der Daten festgehalten werden. Dies sollte für jedes Verfahren einzeln aufgeschlüsselt werden. So hat das Verfahren “Reisekostenabrechnung” (ggf. mehrere Jahre) andere Löschfristen als das Verfahren “Videoüberwachung” (meistens wenige Tage). Ein weiterer praktikabler Weg ist, auf ein umfangreiches Löschkonzept zu verweisen und im VVT direkt keine Löschfristen aufzuführen.

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Art. 30 (1) g) DSGVO

Zur Wahrung der Sicherheit der Verarbeitung gem. Artikel 32 (1) DSGVO sollten sog. technische und organisatorische Maßnahmen (TOM) ergriffen und kodifiziert werden. Diese sollten für alle Verarbeitungen gelten und ggf. für einzelne Verfahren angepasst bzw. erweitert werden. Meinstens bietet es sich hier an, einfach auf die TOM zu verweisen, welche an anderer zentraler Stelle verwaltet werden.

Zusätzliche Bestandteile

Zusätzlich zu den oben genannten Angaben, muss gem. neuem BDSG auch die Rechtsgrundlage genannt werden, auf die sich die Verarbeitung bezieht.

Mit den rein gesetzlichen Inhalten ist es aber theoretisch nicht getan. Es muss außerdem ein Datenschutzsystem nachgewiesen werden, also es muss auch dokumentiert werden, wie allgemein die Prozesse strukturiert sind im Unternehmen. Werden Mitarbeiter geschult? Was sind die Ziele bzgl. Datenschutz im Unternehmen?

Daten auf Bildschirm (Verfahrensverzeichnis)

Die Inhalte des Verfahrensverzeichnisses in der Praxis

Die gesetzlichen Regelungen sind natürlich bindend, allerdings kann es in der Praxis effizienter sein, das Verfahrensverzeichnis in fünf logische Teile aufzuspalten:

  • Hauptblatt
  • Das eigentliche Verzeichnis
  • Risikoanalyse
  • Technische und organisatorische Maßnahmen
  • Löschkonzept

Der Hauptblatt besteht demnach aus an sich unveränderlichen Informationen und sollte auf die erste Seite des Verzeichnisses von Verarbeitungstätigkeiten:

  • Anschrift und Vertreter der verantwortlichen Stelle
  • Ggf. Niederlassung in der EU
  • Informationen zum Datenschutzbeauftragten
  • Verweis auf die technischen und organisatorischen Maßnahmen
  • Grundsätzliches Datenlöschungskonzept, welches für alle Verfahren gilt
  • Grundsätzliches Vorgehen bei Übermittlungen in Drittstaaten

Danach kommt das eigentliche Verfahrensverzeichnis:

  • Bezeichnung des Verfahrens
  • Name der eingesetzten Tools oder Dienstleistung
  • Datum des Beginns der Nutzung des Verfahrens
  • Datum der letzten Überprüfung des Verfahrens
  • Verantwortliche Abteilung innerhalb des Unternehmens
  • Name und Kontaktdaten des Verantwortlichen innerhalb des Unternehmens
  • Zwecke der Verarbei­tungstätigkeit
  • Betroffenengruppen
  • Datenpunkte / -kategorien
  • Empfänger / Kategorien von Empfängern
  • Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage)
  • Übermittlung Drittstaaten
  • Spezielle Löschfristen
  • Spezielle technische und organisatorische Maßnahmen
  • Unterschrift des Verantwortlichen.

Im Anschluss wird jedes Verfahren einer Risikoanalyse unterzogen und einschätzt, ob eine Datenschutz-Folgenabschätzung nötig ist oder nicht.

Zum Schluss sollten die allgemeinen technischen und organisatorische Maßnahmen aufgeführt werden.

Auf das Löschkonzept wird ja bereits im Hauptteil hingewiesen.

Diese Vorgehensweise wirkt etwas über das gesetzliche Maß hinausgehend, erleichtert aber das Datenschutzmanagement ungemein.

Diese Bestandteile können Sie direkt bei der Erstellung mit abarbeiten

Wenn Sie Ihre Dokumente erstellen, bietet es sich an ein Paar zusätzlich Dokumente direkt mit zu erstellen.

  • Erfassung Ihrer Auftragsverarbeiter
  • Eigene Verarbeitungen im Auftrag
  • Eingegangene Betroffenenanfragen
  • Meldepflichtige und nicht-meldepflichtige Datenpannen
  • Datenschutzkonzept
  • Datenschutzrelevante Mitarbeiter, Standorte, DV-Anlagen, Software
  • Einwilligungsdatenbank
  • Schulungsnachweise

Was sind die Folgen, wenn kein VVT erstellt wird?

Die Folgen, wenn kein korrektes Verfahrensverzeichnis nach Anfrage der Behörde vorgelegt werden kann, sind verheerend. So können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Dies ist umso ärgerlicher, wenn man bedenkt, wie leicht ein Verfahrensverzeichnis erstellt werden kann.

Die wichtigsten Fragen zum Muster Verzeichnis von Verarbeitungstätigkeiten

Wie umfangreich muss ein Verzeichnis von Verarbeitungstätigkeiten sein?

Es müssen tatsächlich alle Verarbeitungstätigkeiten aufgeführt werden, welche in Ihrem Unternehmen vorkommen. Dies können bei kleinen Unternehmen wenige sein, bei großen bis zu 100.

Gehen Sie hier ruhig ins Detail dies macht sich bei einer Prüfung positiv bemerkbar.

Muss ich mein Verzeichnis von Verarbeitungstätigkeiten ausdrucken und unterschreiben?

Grundsätzlich nicht. Das Gesetz schreibt dies nicht vor. Sie können Ihr Verzeichnis von Verarbeitungstätigkeiten z.B. komplett in Excel oder Word führen.

Es bietet sich aber an, dass die Verantwortlichen durch Ihre Unterschrift noch einmal auf die Wichtigkeit des Themas eingeschworen werden.

Reicht es, wenn ich nur ein Verzeichnis von Verarbeitungstätigkeiten führe und alles andere weg lasse?

Eigentlich nicht. Sie haben umfangreiche Rechenschaftspflichten lt. DSGVO, diese können Sie am besten einhalten, wenn Sie ausführlich dokumentieren, was Sie für den Datenschutz tun.

Wie lange benötige ich zum Erstellen eines VVT?

Das hängt maßgeblich von der Größe Ihres Unternehmens ab. Mit Recherche, Abstimmung mit anderen Abteilungen und Freigabeprozess kann dies monate dauern. Mit vorausgefüllten Vorlagen nur wenige Stunden.

Wenn Sie z.B. ein Kleinstbetrieb ohne Mitarbeiter sind, dauert es wahrscheinlich nur wenige Stunden.

Resümee: das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO und neuem BDSG ist umfangreich, aber machbar.

Wenn Sie sich an die im Gesetz geschaffenen Vorgaben halten und einige praktische Tipps befolgen, sind Sie auf einem guten Weg, Ihre Dokumentation nach DSGVO und damit auch Ihr Verzeichnis von Verarbeitungstätigkeiten gut zu erstellen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

https://dsgvo-gesetz.de/bdsg-neu/70-bdsg-neu/