Mustergliederung Verzeichnis von Verarbeitungstätigkeiten

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Ein Verfahrensverzeichnis (jetzt: Verzeichnis von Verarbeitungstätigkeiten, kurz VVT) besteht aus bestimmten, im Gesetz geregelten Punkten. Diese sollten alle eingehalten werden, um das Verzeichnis von Verarbeitungstätigkeiten formal korrekt aufzustellen.

In diesem Artikel erfahren Sie:

  • Was sind die Mindestinhalte für ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO?
  • Wie fülle ich das Verfahrensverzeichnis in der Praxis aus?
  • Was sind zusätzliche Bestandteile, die Sie gleich mit abarbeiten können?
  • Die vier häufigsten Fragen zum Verarbeitungsverzeichnis nach DSGVO.

Die Inhalte gemäß Art. 30 DSGVO und § 70 neues BDSG

Die DSGVO und das neue BDSG benennen sieben Pflichtbestandteile (Buchstaben a) – e) im Gesetz) eines Verzeichnises von Verarbeitungstätigkeiten, welche grundsätzlich alle aufzunehmen sind.

Das Vorwort oder Hauptblatt

den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

Art. 30 (1) a) DSGVO

Hier müssen die Kontaktdaten des Verantwortlichen angegeben werden, also die Adresse des Unternehmens und deren Vertreter, bzw. Niederlassung oder Zweigstelle. Sollte kein Hauptsitz in der EU bestehen, so muss ein Vertreter in der EU benannt werden. Dessen Adresse muss auch angegeben werden.
Darüber hinaus muss ein externer oder interner Datenschutzbeauftragter angegeben werden, insofern er bestellt ist. Sollte keiner bestellt worden sein (dies ist auch nicht immer nötig), so ist der Verantwortliche für die Einhaltung des Datenschutzes verantwortlich.

Das eigentliche Verarbeitungsverzeichnis

Ab hier beginnt das eigentliche Verzeichnis der Verarbeitungen.

Im Folgenden werden die einzelnen gesetzlichen Formulierungen zitiert, dies dient dem besseren Verständnis. Einen umfangreichen Artikel mit Beispielen von Verarbeitungstätigkeiten nach EU-Datenschutz-Grundverordnung finden Sie hier.

die Zwecke der Verarbeitung;

Art. 30 (1) b) DSGVO

Es muss der Zweck angegeben werden. Z.B. das Verfahren Reisekostenabrechnung hat den Zweck „Abrechnung und Verwaltung von Dienstreisen“. Hier soll geprüft werden, ob das Verfahren auch zweckmäßig und angemessen ist.

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

Art. 30 (1) c) DSGVO

Das Gesetz verlangt hier Kategorien von Betroffenen und Daten zu nennen, d.h. es muss keine Einzelaufstellung von Betroffenen und Daten durchgeführt werden. Für das Reisekosten-Beispiel wäre es also ausreichend als Betroffenenkategorie nur “Beschäftigte” anzugeben und als Datenkategorien “Reisedaten” und “Arbeitnehmerstammdaten“ aufzunehmen. In der Praxis wäre es allerdings angeraten, die personenbezogenen Daten genau zu benennen, dies erleichtert das Datenschutzmanagement erheblich.

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

Art. 30 (1) d) und e) DSGVO

Dieser Abschnitt des Gesetzes behandelt die Empfänger der personenbezogenen Daten, also die Frage, wem die Daten „geschickt“ werden. Empfänger können innerhalb der Organisation liegen (z.B. gewisse Abteilungen) oder außerhalb (z.B. E-Mail Dienstleister, Zweigstellen). Darüber hinaus müssen Transfers in Drittländer besonders dokumentiert werden, denn grundsätzlich wird angenommen, dass in Ländern außerhalb der EU kein angemessenes Schutzniveau vorherrscht und deswegen geeignete Garantien ausgehandelt werden müssen.

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

Art. 30 (1) f) DSGVO

Das Löschen von Daten nimmt einen wichtigen Platz in der DSGVO ein. Das Recht auf Vergessenwerden, welches in der DSGVO verankert ist, kommt auch im Verfahrensverzeichnis zum Ausdruck. Es müssen also die üblichen Fristen für die Löschung der Daten festgehalten werden. Dies sollte für jedes Verfahren einzeln aufgeschlüsselt werden. So hat das Verfahren “Reisekostenabrechnung” (ggf. mehrere Jahre) andere Löschfristen als das Verfahren “Videoüberwachung” (meistens wenige Tage). Ein weiterer praktikabler Weg ist, auf ein umfangreiches Löschkonzept zu verweisen und im VVT direkt keine oder nur allgemeine Löschfristen aufzuführen.

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Art. 30 (1) g) DSGVO

Zur Wahrung der Sicherheit der Verarbeitung gem. Artikel 32 (1) DSGVO sollten sog. technische und organisatorische Maßnahmen (TOM) ergriffen und kodifiziert werden. Diese sollten für alle Verarbeitungen gelten und ggf. für einzelne Verfahren angepasst bzw. erweitert werden. Meinstens bietet es sich hier an, einfach auf die TOM zu verweisen, welche an anderer zentraler Stelle verwaltet werden.

Zusätzliche Bestandteile

Zusätzlich zu den oben genannten Angaben, muss gem. neuem BDSG auch die Rechtsgrundlage genannt werden, auf die sich die Verarbeitung bezieht.

Mit den rein gesetzlichen Inhalten ist es aber theoretisch nicht getan. Es muss außerdem ein Datenschutzsystem nachgewiesen werden, also es muss auch dokumentiert werden, wie allgemein die Prozesse strukturiert sind im Unternehmen. Werden Mitarbeiter geschult? Was sind die Ziele bzgl. Datenschutz im Unternehmen?

Daten auf Bildschirm (Verfahrensverzeichnis)

Die Inhalte des Verfahrensverzeichnisses in der Praxis

Die gesetzlichen Regelungen sind natürlich bindend, allerdings kann es in der Praxis effizienter sein, das Verfahrensverzeichnis in fünf logische Teile aufzuspalten:

  • Hauptblatt
  • Das eigentliche Verzeichnis
  • Risikoanalyse
  • Technische und organisatorische Maßnahmen
  • Löschkonzept

Der Hauptblatt besteht demnach aus an sich unveränderlichen Informationen und sollte auf die erste Seite des Verzeichnisses von Verarbeitungstätigkeiten:

  • Anschrift und Vertreter der verantwortlichen Stelle
  • Ggf. Niederlassung in der EU
  • Informationen zum Datenschutzbeauftragten
  • Verweis auf die technischen und organisatorischen Maßnahmen
  • Grundsätzliches Datenlöschungskonzept, welches für alle Verfahren gilt
  • Grundsätzliches Vorgehen bei Übermittlungen in Drittstaaten

Danach kommt das eigentliche Verfahrensverzeichnis:

  • Bezeichnung des Verfahrens
  • Name der eingesetzten Tools oder Dienstleistung
  • Datum des Beginns der Nutzung des Verfahrens
  • Datum der letzten Überprüfung des Verfahrens
  • Verantwortliche Abteilung innerhalb des Unternehmens
  • Name und Kontaktdaten des Verantwortlichen innerhalb des Unternehmens
  • Zwecke der Verarbei­tungstätigkeit
  • Betroffenengruppen
  • Datenpunkte / -kategorien
  • Empfänger / Kategorien von Empfängern
  • Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage)
  • Übermittlung Drittstaaten
  • Spezielle Löschfristen
  • Spezielle technische und organisatorische Maßnahmen
  • Unterschrift des Verantwortlichen.

Im Anschluss wird jedes Verfahren einer Risikoanalyse unterzogen und einschätzt, ob eine Datenschutz-Folgenabschätzung nötig ist oder nicht.

Zum Schluss sollten die allgemeinen technischen und organisatorische Maßnahmen aufgeführt werden.

Auf das Löschkonzept wird ja bereits im Hauptteil hingewiesen.

Diese Vorgehensweise wirkt etwas über das gesetzliche Maß hinausgehend, erleichtert aber das Datenschutzmanagement ungemein.

Diese Bestandteile können Sie direkt bei der Erstellung mit abarbeiten

Wenn Sie Ihre Dokumente erstellen, bietet es sich an ein Paar zusätzlich Dokumente direkt mit zu erstellen.

  • Erfassung Ihrer Auftragsverarbeiter
  • Eigene Verarbeitungen im Auftrag
  • Eingegangene Betroffenenanfragen
  • Meldepflichtige und nicht-meldepflichtige Datenpannen
  • Datenschutzkonzept
  • Datenschutzrelevante Mitarbeiter, Standorte, DV-Anlagen, Software
  • Einwilligungsdatenbank
  • Schulungsnachweise

Was sind die Folgen, wenn kein VVT erstellt wird?

Die Folgen, wenn kein korrektes Verfahrensverzeichnis nach Anfrage der Behörde vorgelegt werden kann, sind verheerend. So können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Dies ist umso ärgerlicher, wenn man bedenkt, wie leicht ein Verfahrensverzeichnis erstellt werden kann.

Die wichtigsten Fragen zum Muster Verzeichnis von Verarbeitungstätigkeiten

Wie umfangreich muss ein Verzeichnis von Verarbeitungstätigkeiten sein?

Es müssen tatsächlich alle Verarbeitungstätigkeiten aufgeführt werden, welche in Ihrem Unternehmen vorkommen. Dies können bei kleinen Unternehmen wenige sein, bei großen bis zu 100.
Gehen Sie hier ruhig ins Detail, dies macht sich bei einer Prüfung positiv bemerkbar.

Muss ich mein Verzeichnis von Verarbeitungstätigkeiten ausdrucken und unterschreiben?

Grundsätzlich nicht. Das Gesetz schreibt dies nicht vor. Sie können Ihr Verzeichnis von Verarbeitungstätigkeiten z.B. komplett in Excel oder Word führen.
Es bietet sich aber an, dass die Verantwortlichen durch Ihre Unterschrift noch einmal auf die Wichtigkeit des Themas eingeschworen werden.

Reicht es, wenn ich nur ein Verzeichnis von Verarbeitungstätigkeiten führe und alles andere weg lasse?

Eigentlich nicht. Sie haben umfangreiche Rechenschaftspflichten lt. DSGVO, diese können Sie am besten einhalten, wenn Sie ausführlich dokumentieren, was Sie für den Datenschutz tun.

Wie lange benötige ich zum Erstellen eines VVT?

Das hängt maßgeblich von der Größe Ihres Unternehmens ab. Mit Recherche, Abstimmung mit anderen Abteilungen und Freigabeprozess kann dies monate dauern. Mit vorausgefüllten Vorlagen nur wenige Stunden.
Wenn Sie z.B. ein Kleinstbetrieb ohne Mitarbeiter sind, dauert es wahrscheinlich nur wenige Stunden.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Ein Verzeichnis von Verarbeitungstätigkeiten ist das Verzeichnis aller datenschutzrechtlich relevanten Verarbeitungstätigkeiten, welches der Verantwortliche nach DSGVO zu führen hat. Das Verzeichnis von Verarbeitungstätigkeiten wird in Art 30 DSGVO definiert.

Was ist ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis ist lediglich ein anderes Wort für das in Art 30 DSGVO definierte Verzeichnis von Verarbeitungstätigkeiten.

Was ist ein Verfahrensverzeichnis?

Als Verfahrensverzeichnis wird das Verzeichnis aller DSGVO-relevanten Verarbeitungstätigkeiten (kurz: Verfahren) bezeichnet. Es ist lediglich eine andere Bezeichnung für das Verzeichnis von Verarbeitungstätigkeiten.

Welche Arten von Daten gibt es?

Arten von Daten werden gemäß DS-GVO in sog. Datenkategorien geordnet. Es gibt sehr viele Arten von Daten, wie z.B. Kundendaten, Metadaten, Nutzungsdaten, Textdaten, Sprachdaten, Leistungsdaten, Geburtsdaten.

Wer führt das Verfahrensverzeichnis?

Der Verantwortliche ist für das Führen des Verfahrensverzeichnisses zuständig. Er steht auch für die Korrektheit ein und muss es auf Verlangen der Datenschutzbehörde aushändigen können. Ein Irrglaube ist, der Datenschutzbeauftragte sei für die Erstellung und die Aktualisierung verantwortlich.

Resümee: das Verzeichnis von Verarbeitungstätigkeiten nach Datenschutzrecht und neuem BDSG ist umfangreich, aber machbar.

Wenn Sie sich an die im Gesetz geschaffenen Vorgaben halten und einige praktische Tipps befolgen, sind Sie auf einem guten Weg, Ihre Dokumentation nach DSGVO und damit auch Ihr Verzeichnis von Verarbeitungstätigkeiten gut zu erstellen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

https://dsgvo-gesetz.de/bdsg-neu/70-bdsg-neu/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto