Das Verzeichnis von Verarbeitungstätigkeiten nach Art 30 DSGVO vollständig erklärt

Das Verzeichnis von Verarbeitungstätigkeiten ist eines der wichtigsten Dokumente, die Sie im Unternehmen vorhalten sollten, um auch im Jahr 2021 DSGVO konform zu sein. Es hilft dem Verantwortlichen seine Rechenschaftspflichten nach Art. 5 Abs. 2 einzuhalten und ist die Grundlage für eine strukturierte Datenschutzdokumentation.

Dieser Artikel soll Ihnen einen vollständigen Überblick über die Erstellung, die Inhalte und die Best Practices zum Thema DSGVO und Verzeichnis von Verarbeitungstätigkeiten geben.

Zusammenfassung im Video – das Verzeichnis von Verarbeitungstätigkeiten kurz erklärt.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO führen?

Vorab ist zu sagen, dass Sie mit sehr hoher Wahrscheinlichkeit ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Sobald Sie in (geschäftlichen) Kontakt mit Menschen treten, verarbeiten Sie deren Daten und sind damit von der DSGVO betroffen.

Die gesetzlichen Grundlagen

Das Gesetz bindet die Pflicht ein Verzeichnis aller Verarbeitungstätigkeiten zu führen daran, ob eine Verarbeitung stattfindet. Wenn diese stattfindet, so muss sie im Verzeichnis nach Art. 30 DSGVO dokumentiert werden. Eine Verarbeitung im Sinne der Datenschutzgesetzgebung wiederum findet dann statt, wenn personenbezogene Daten manuell oder automatisch verarbeitet werden. Das Gesetz zählt die Tätigkeiten umfassend auf:

[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.

Damit ist also eine große Anzahl an Unternehmen verpflichtet ein Verzeichnis zu führen, sogar wenn keine automatische Verarbeitung erfolgt. Inklusive Vereine, Einzelkaufleute und Handwerker. Darüber hinaus muss auch ein Auftragsdatenverarbeiter ein Verzeichnis führen, wenn also z.B. im Auftrag Kundendaten analysiert werden oder Plattformen bereit gestellt werden. Die DS-GVO gilt für alle EU-Bürger, d.h. selbst wenn der Mutterkonzern in den USA sitzt, ist die EU-DSGVO anwendbar (Marktortprinzip).

Wer muss kein VVT führen, wer ist befreit?

So schön es wäre, kein Verzeichnis führen zu müssen, so ist die Ausnahme doch recht selten anzuwenden. Auf den ersten Blick scheint es so, als wären viele kleine Unternehmen ausgenommen. Dies ist aber ein Trugschluss.

Es gilt die Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dann muss das Verzeichnis nicht aufgestellt werden, allerdings nur, wenn einige zusätzliche Kriterien zutreffen.

[…] es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Art. 30 (5) DSGVO

Während die ersten drei Kriterien bei vielen Unternehmen zutreffen können, werden nur die wenigsten gelegentlich personenbezogene Daten verarbeiten. Eine Webseite oder eine Lohnabrechnung reichen schon aus, damit die Verarbeitung regelmäßig stattfindet.

Beispiele für Unternehmen und Einzelpersonen, die ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen

• Die A GmbH mit 20 Mitarbeitern führt ihre Lohnabrechnung digital durch.
  • Eine Pflicht zur Aufstellung eines Verfahrensverzeichnisses besteht, da die A GmbH personenbezogene Daten nicht nur gelegentlich verarbeitet.
  • Die 250-Personen Grenze gilt hier nicht.
• Der Marketingdienstleister mit 2 Mitarbeitern analysiert die Daten seiner Kunden über Google Analytics.
  • Auch hier muss ein Verzeichnis erstellt werden, da personenbezogene Daten von vielen Kunden verarbeitet werden.
  • Nicht nur der Dienstleister muss ein Verfahrensverzeichnis führen, sondern wahrscheinlich auch die Kunden.
• Der Friseur hat eine Kundenkartei, in der jeder Angestellte nach jedem Schnitt Daten wie Name, Telefonnummer und Haarschnitt notiert.
  • Die Verarbeitung erfolgt manuell, dies ist aber unerheblich, da die Verarbeitung regelmäßig erfolgt.
  • Auch hier muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden, gleichwohl dies nur wenige Einträge hat.
  • Wenn der Friseur noch Mitarbeiter hat, würde die regelmäßige Lohnabrechnung auch ausreichen, ein Verzeichnis nach DSGVO führen zu müssen.

Wer ist im Unternehmen verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und zu führen?

Im Unternehmen ist laut Gesetz der Verantwortliche verpflichtet das Verfahrensverzeichnis aufzustellen und zu pflegen. Verantwortlicher für das Verzeichnis ist demnach beim Einzelunternehmer z.B. der Inhaber oder aber bei der GmbH der Vertretungsberechtigte, also z.B. der oder die Geschäftsführer.

In der Praxis jedoch ist oft der Datenschutzbeauftragte intern dafür zuständig, das Verzeichnis zu führen und zu erstellen, wenngleich die Verantwortung bei dem Verantwortlichen bleibt. Der Verantwortliche ist es auch, der das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss.

Mustergliederung und Inhalte für das Verzeichnis von Verarbeitungstätigkeiten

Ein Verfahrensverzeichnis (jetzt: Verzeichnis von Verarbeitungstätigkeiten, kurz VVT im Datenschutz) besteht aus bestimmten, im Gesetz geregelten Punkten. Diese sollten alle eingehalten werden, um das Verzeichnis von Verarbeitungstätigkeiten formal korrekt aufzustellen.

Die Inhalte für das Verarbeitungsverzeichnis gemäß Art. 30 DSGVO

Die DSGVO benennen sieben Pflichtbestandteile (Buchstaben a) – e) im Gesetz) eines Verzeichnisses von Verarbeitungstätigkeiten, welche grundsätzlich alle aufzunehmen sind.

Das Vorwort oder Hauptblatt

den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

Art. 30 (1) a) DSGVO

Hier müssen die Kontaktdaten des Verantwortlichen angegeben werden, also die Adresse des Unternehmens und deren Vertreter, bzw. Niederlassung oder Zweigstelle. Sollte kein Hauptsitz in der EU bestehen, so muss ein Vertreter in der EU benannt werden. Dessen Adresse muss auch angegeben werden.
Darüber hinaus muss ein externer oder interner Datenschutzbeauftragter angegeben werden, insofern er bestellt ist. Sollte keiner bestellt worden sein (dies ist auch nicht immer nötig), so ist der Verantwortliche für die Einhaltung des Datenschutzes verantwortlich.

Das eigentliche Verarbeitungsverzeichnis

Ab hier beginnt das eigentliche Verzeichnis der Verarbeitungen.

Im Folgenden werden die einzelnen gesetzlichen Formulierungen zitiert, dies dient dem besseren Verständnis. Beispiele zu typischen Verarbeitungstätigkeiten finden Sie weiter unten.

die Zwecke der Verarbeitung;

Art. 30 (1) b) DSGVO

Es muss der Zweck angegeben werden. Z.B. das Verfahren Reisekostenabrechnung hat den Zweck „Abrechnung und Verwaltung von Dienstreisen“. Hier soll geprüft werden, ob das Verfahren auch zweckmäßig und angemessen ist.

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

Art. 30 (1) c) DSGVO

Das Gesetz verlangt hier Kategorien von Betroffenen und Daten zu nennen, d.h. es muss keine Einzelaufstellung von Betroffenen und Daten durchgeführt werden. Für das Reisekosten-Beispiel wäre es also ausreichend als Betroffenenkategorie nur “Beschäftigte” anzugeben und als Datenkategorien “Reisedaten” und “Arbeitnehmerstammdaten“ aufzunehmen. In der Praxis wäre es allerdings angeraten, die personenbezogenen Daten genau zu benennen, dies erleichtert das Datenschutzmanagement erheblich.

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

Art. 30 (1) d) und e) DSGVO

Dieser Abschnitt des Gesetzes behandelt die Empfänger der personenbezogenen Daten, also die Frage, wem die Daten „geschickt“ werden. Empfänger können innerhalb der Organisation liegen (z.B. gewisse Abteilungen) oder außerhalb (z.B. E-Mail Dienstleister, Zweigstellen). Darüber hinaus müssen Transfers in Drittländer besonders dokumentiert werden, denn grundsätzlich wird angenommen, dass in Ländern außerhalb der EU kein angemessenes Schutzniveau vorherrscht und deswegen geeignete Garantien ausgehandelt werden müssen.

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

Art. 30 (1) f) DSGVO

Das Löschen von Daten nimmt einen wichtigen Platz in der DSGVO ein. Das Recht auf Vergessenwerden, welches in der DSGVO verankert ist, kommt auch im Verfahrensverzeichnis zum Ausdruck. Es müssen also die üblichen Fristen für die Löschung der Daten festgehalten werden. Dies sollte für jedes Verfahren einzeln aufgeschlüsselt werden. So hat das Verfahren “Reisekostenabrechnung” (ggf. mehrere Jahre) andere Löschfristen als das Verfahren “Videoüberwachung” (meistens wenige Tage). Ein weiterer praktikabler Weg ist, auf ein umfangreiches Löschkonzept zu verweisen und im VVT direkt keine oder nur allgemeine Löschfristen aufzuführen.

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Art. 30 (1) g) DSGVO

Zur Wahrung der Sicherheit der Verarbeitung gem. Artikel 32 (1) DSGVO sollten sog. technische und organisatorische Maßnahmen (TOM) ergriffen und kodifiziert werden. Diese sollten für alle Verarbeitungen gelten und ggf. für einzelne Verfahren angepasst bzw. erweitert werden. Meinstens bietet es sich hier an, einfach auf die TOM zu verweisen, welche an anderer zentraler Stelle verwaltet werden.

Zusätzliche Bestandteile

Zusätzlich zu den oben genannten Angaben, muss gem. neuem BDSG auch die Rechtsgrundlage genannt werden, auf die sich die Verarbeitung bezieht.

Die Grundlagen können sein:

• Einwilligung der betroffenen Person,
• Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
• Erfüllung einer rechtlichen Verpflichtung,
• Schutz lebenswichtiger Interessen,
• Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt,
• Interessenabwägung.

Mit den rein gesetzlichen Inhalten ist es aber theoretisch nicht getan. Es muss außerdem ein Datenschutzsystem nachgewiesen werden, also es muss auch dokumentiert werden, wie allgemein die Prozesse strukturiert sind im Unternehmen. Werden Mitarbeiter geschult? Was sind die Ziele bzgl. Datenschutz im Unternehmen?

Die Inhalte des Verfahrensverzeichnisses in der Praxis

Die gesetzlichen Regelungen sind natürlich bindend, allerdings kann es in der Praxis effizienter sein, das Verfahrensverzeichnis in fünf logische Teile aufzuspalten:

• Hauptblatt
• Das eigentliche Verzeichnis
• Risikoanalyse
• Technische und organisatorische Maßnahmen
• Löschkonzept

Der Hauptblatt besteht demnach aus an sich unveränderlichen Informationen und sollte auf die erste Seite des Verzeichnisses von Verarbeitungstätigkeiten:

• Anschrift und Vertreter der verantwortlichen Stelle
• Ggf. Niederlassung in der EU
• Informationen zum Datenschutzbeauftragten
• Verweis auf die technischen und organisatorischen Maßnahmen
• Grundsätzliches Datenlöschungskonzept, welches für alle Verfahren gilt
• Grundsätzliches Vorgehen bei Übermittlungen in Drittstaaten

Danach kommt das eigentliche Verzeichnis von Verarbeitungstätigkeiten:

• Bezeichnung der Verarbeitungstätigkeit
• Name der eingesetzten Tools oder Dienstleistung
• Datum des Beginns der Nutzung des Verfahrens
• Datum der letzten Überprüfung des Verfahrens
• Verantwortliche Abteilung innerhalb des Unternehmens
• Name und Kontaktdaten des Verantwortlichen innerhalb des Unternehmens
• Zwecke der Verarbei­tungstätigkeit
• Betroffenengruppen
• Datenpunkte / -kategorien
• Empfänger / Kategorien von Empfängern
• Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage)
• Übermittlung Drittstaaten (inkl. Erfassung der Grundlage der Übertragung)
• Spezielle Löschfristen
• Spezielle technische und organisatorische Maßnahmen
• Unterschrift des Verantwortlichen.

Im Anschluss wird jedes Verfahren einer Risikoanalyse unterzogen und einschätzt, ob eine Datenschutz-Folgenabschätzung nötig ist oder nicht.

Zum Schluss sollten die allgemeinen technischen und organisatorische Maßnahmen aufgeführt werden.

Auf das Löschkonzept wird ja bereits im Hauptteil hingewiesen.

Form und Sprache für das Verzeichnis der Verarbeitungstätigkeiten

Grundsätzlich muss das Verzeichnis gem. Art. 30 Abs. (3) DSGVO schriftlich geführt werden, dabei wird ausdrücklich die elektronische Form erlaubt. Wichtig hierbei zu wissen ist allerdings, dass die Aufsichtsbehörden entscheiden dürfen, in welchem Format das Verarbeitungsverzeichnis vorzulegen ist. Z.B. wäre es möglich, dass Sie Ihr VVT für eine Behörde ausdrucken müssen.

Der Verantwortliche sollte in der Lage sein, das Verzeichnis deutschen Aufsichtsbehörden auch in deutscher Sprache vorzulegen.

Tipps zur Umsetzung des VVT in der Praxis

Nun sind die gesetzlichen Inhalte des Verzeichnisses von Verarbeitungstätigkeiten bekannt. Leider ergeben sich in der Praxis einige Hürden bei der Umsetzung. Hier sollen einige Hilfen gegeben werden, die bei der Transferierung in die Praxis helfen können:

• Identifizierung der personenbezogenen Daten
  • Ermitteln, wo und wie personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern gesammelt und verarbeitet werden.
  • Auflistung aller Anwendungen und Tools im Unternehmen, die personenbezogene Daten speichern.
• Ermittlung und Mapping der Datenflüsse
  • Durchführung eines Datenmappings (Zuordnung) zur Visualisierung der Datenflüsse im Unternehmen.
  • Erstellung von Datenflussdiagrammen, um insbesondere bei komplexen oder umfangreichen Datenstrukturen einen klaren Überblick zu erhalten.
• Erstellung des eigentlichen Verarbeitungsverzeichnisses
  • Aufteilung des Verzeichnisses in mehrere Teilbereiche für unterschiedliche Verarbeitungstätigkeiten (Abstraktion).
  • Berücksichtigung der Unternehmensgröße und der Anzahl der digitalen Prozesse bei der Entscheidung wie detailliert man vorgehen möchte.
• Gesetzliche und regulatorische Empfehlungen sichten
  • Dokumentation interner Rechtmäßigkeitsprüfungen für kritische oder umfangreiche Datenverarbeitungen.
  • Integration zusätzlicher Schutzmaßnahmen in das Verzeichnis zum Nachweis der Compliance und zur Vorwegnahme behördlicher Prüfungen.
• Verwendung von Tools und Vorlagen zur Arbeitserleichterung
  • Verwendung von Mustervorlagen für Verarbeitungsverzeichnisse
  • Nutzung von Datenschutzmanagementsoftware zur digitalen Erstellung und Pflege des Verzeichnisses, insbesondere bei großen Organisationen.
• Kommunikation der Bedeutung und Beteiligung an der Erstellung
  • Mitarbeiter und Manager aktiv in den Prozess der Datenerhebung und Dokumentation einbeziehen und Zuständigen klären.
  • Verdeutlichen, wie wichtig ein präzises Verarbeitungsverzeichnis für die Einhaltung der Datenschutzgesetze und den Schutz des Unternehmens ist.

Verarbeitungstätigkeiten nach DSGVO – Beispiele und Definition

Bei der Beantwortung der Frage, was eine Verarbeitungstätigkeit ausmacht und wie sie zu definieren ist, ist die DSGVO nicht eindeutig. Allerdings ist es wichtig eine Verarbeitungstätigkeit zu identifizieren, um sie später in das gesetzlich vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.

Die gesetzliche Definition einer Verarbeitungstätigkeit

Die DSGVO verpflichtet jeden, der personenbezogene Daten in seinem Unternehmen verarbeitet, all diese Verarbeitungsprozesse innerhalb des Unternehmens zu dokumentieren (Artikel 30 DSGVO). Es gibt dabei bestimmte Pflichtbestandteile, welche in ein Verzeichnis von Verarbeitungstätigkeiten müssen.

Der Begriff Verarbeitungstätigkeit ist als solcher in der EU-Datenschutz-Grundverordnung nicht konkret definiert. Auf Grund dessen muss auf Art. 4 Nr. 2. DSGVO zurückgegriffen werden, welcher das Wort „Verarbeitung“ definiert.

[…] jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Art. 4 Nr. 2 DSGVO

Demnach müssen als wichtigstes Kriterium personenbezogene Daten verarbeitet werden. Dabei unterscheidet das Gesetz nicht zwischen manueller oder automatisierter Verarbeitung. Eine Kartei, welche händisch beschrieben wird, ist also genauso zu behandeln, wie eine Excel Tabelle, die jeden Tag automatisiert befüllt wird. Darüber hinaus zählt die DSGVO noch konkret auf, welche Arten der Verarbeitung eingeschlossen sind.

Dieser Katalog ist nicht allumfassend, das bedeutet, dass selbst wenn die Tätigkeit nicht aufgezählt ist, davon auszugehen ist, dass es sich um eine Verarbeitung im Sinne des Datenschutzrechts handelt.

Art und Zweck der Datenverarbeitung allgemeines Beispiel

Nach Datenschutzgesetz müssen die Zwecke der Verarbeitung angegeben werden. Grundsätzlich ist hier zu beachten, dass die Zwecke der Datenverarbeitung klar und auch für einen Dritten verständlich beschrieben werden. Allerdings muss die Beschreibung auch nicht zu sehr ausufern, es reicht eine kurze und knappe Beschreibung.

Beispiel Zweck der Datenverarbeitung positiv: Kommunikation zwischen Mitarbeitern und Kunden und Stammdatenpflege.

Beispiel Zweck der Datenverarbeitung negativ: Speicherung von Daten.

10 Bsp. für typische Verarbeitungstätigkeiten nach DSGVO

Welche Verarbeitungstätigkeiten kommen in Betracht? Wo werden personenbezogene Daten verarbeitet? Der folgende Abschnitt soll Ihnen genau das anhand von 10 typischen Beispielen für Verarbeitungstätigkeiten erläutern, die wohl in jedem Unternehmen eine Rolle spielen. Zu jeder Verarbeitungstätigkeit wird auch ein Zweck der Datenverarbeitung als Beispiel genannt.

Typische Verarbeitungstätigkeit 1: Elektronischer Zahlungsverkehr

Der elektronische Zahlungsverkehr ist überall anzutreffen. Besonders im betrieblichen Kontext werden so gut wie alle Transaktionen elektronisch abgewickelt, weswegen dieses Verfahren in jedes Verzeichnis von Verarbeitungstätigkeiten gehört.

Betreiben Sie einen Onlineshop oder vertreiben Ihre Produkte anderweitig im Internet, dann kommen Sie an elektronischen Zahlungsmitteln gar nicht mehr vorbei. Darunter fallen alle bargeldlosen Zahlungsvorgänge wie die Zahlung per Dauerauftrag, die Überweisung, Zahlungen mit Kreditkarten, aber auch PayPal oder Giropay.

Zwecke der Verarbeitungstätigkeit: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs, Ausgleich von Verbindlichkeiten

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, alle Teilnehmer am Verfahren

Typische Datenpunkte/ -kategorien: Name/ Vorname, Bankverbindung, ggf. weitere Rechnungsinformationen

Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung, ggf. Steuerberater

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Bsp. Verarbeitungstätigkeit: E-Mail Kommunikation

Auch die Kommunikation mit Kunden oder Geschäftspartnern läuft oft elektronisch ab. Wenn Sie regelmäßig im laufenden Geschäftsbetrieb via E-Mail kommunizieren, dann verarbeiten Sie hierbei eine Menge an persönlichen Daten. Aus diesem Grund muss auch dieses Verfahren in das Verzeichnis aufgenommen werden.

Zwecke der Verarbeitungstätigkeit: jegliche interne und externe Kommunikation zur Abwicklung des Kaufvorganges, Bearbeiten der Anfragen von Interessenten, Einholen von Auskünften anderer Stellen oder Unternehmen

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, ggf. weitere Daten, die die Beteiligten austauschen

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO). Außerdem Art 6 (1) Buchst. b) DSGVO möglich.

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Das Verfahren der Kalender- und Terminverwaltung

Die Verwaltung der Termine und des Kalenders wird besonders in großen Unternehmen regelmäßig mit einer Kalender- und Terminverwaltungssoftware gehandhabt. Beispiele für solche Software sind hauptsächlich Outlook oder Thunderbird. Allerdings werden auch in einer manuellen Termin- und Kalenderverwaltung personenbezogene Daten erfasst, sodass auch hier dieses Verfahren in Ihr Verzeichnis aufgenommen werden muss.

Zwecke der Verarbeitungstätigkeit: Vereinbaren von Terminen, Planen von Terminvergaben und Personaleinsatz

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, ggf. die Adresse

Typische Empfänger / Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Die Kundenverwaltung (Kundendatenbank) von Privatkunden ist ein weiteres typisches Verfahren

Für die Verwaltung Ihrer Privatkunden kann eine Kundendatenbank, eine Kundendatei oder ein manuelles Ordersystem genutzt werden. Allenfalls muss hierüber ein Verzeichnis der Verarbeitung angefertigt werden, da Sie die Daten Ihrer Privatkunden verarbeiten. So gut wie jede Firma hat eine Datenbank, in der sie ihre (potentiellen) Kunden abspeichert. In diesem Fall liegt eindeutig eine Verarbeitungstätigkeit vor, da regelmäßig persönliche Daten verarbeitet werden. Sie werden erhoben, erfasst und gespeichert.

Zwecke der Verarbeitungstätigkeit: Kontakt- und Adressverwaltung, Kommunikation mit Kunden, Vereinfachen der Bearbeitung von Reklamationen

Typische Betroffenengruppen: Kunden/ Nutzer

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, Adresse, Geburtsdatum, Geschlecht, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO). Auch Art 6 (1) Buchst. b) DSGVO möglich.

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Auch das gehört in ein Verarbeitungsverzeichnis: Webauftritt / Betrieb einer Internetseite

Die Präsentation des eigenen Unternehmens findet zunehmend online statt. Es geht dabei um nahezu jede Form von Webauftritten, also klassische Webseiten, aber auch Facebook-Seiten oder Apps. Da in jedem Fall Server-Log Daten verarbeitet werden, muss dieses Verfahren mit in Ihr Verzeichnis aufgenommen werden.

Zwecke der Verarbeitungstätigkeit: Werbung und Präsentation der Produkte oder des Unternehmens, Vertrieb der Produkte

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers

Typische Empfänger/ Kategorien von Empfängern: Ggf. Betreiber von Clouds, Hosting Anbieter

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Typisches Verfahren: Arbeitszeiterfassung

Wenn Sie die Arbeitszeiten Ihrer Mitarbeiter erfassen, um bspw. nachzuweisen, dass Sie den Mindestlohn zahlen, dann erfassen Sie somit deren persönliche Daten. Deshalb ist auch das eine Verarbeitungstätigkeit, die Sie in das Verzeichnis aufnehmen müssen.

Zwecke der Verarbeitungstätigkeit: Abrechnung der Arbeitszeit, Lohnzahlung

Typische Betroffenengruppen: Beschäftigte

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Teefonnummer, Adresse, E-Mailadresse, Bankverbindung, ggf. Gesundheitsdaten

Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO). Sie dient zum Zweck des Beschäftigtenverhältnisses nach §26 BDSG (neu).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Verfahren für Websites: Kontaktformulare und Chat-Tools

Neben der Kommunikation per Mail finden vor allem Erstkontakte über Kontaktformulare und Chat-tools statt. Hierunter können das klassische Kontaktformular, aber auch interaktivere Kommunikationsformen, wie Chat-Widgets oder Chat-Bots fallen.

Zwecke der Verarbeitungstätigkeit: Erfassen von Kundenanfragen, Erstkontakt mit Interessenten, Vertragsanbahnung, Bearbeiten allgemeiner Anfragen

Typische Betroffenengruppen: Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, Telefonnummer, Adresse

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Das Verfahren: Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO

Die DS-GVO gibt den Betroffenen von Datenverarbeitung eine Reihe von Rechten in Artikel 15 bis 18 DSGVO. Danach ist jedes Unternehmen dazu verpflichtet, eine solche Anfragen des Betroffenen beantworten. Diese Verarbeitungstätigkeit muss damit unbedingt in das Verzeichnis aufgenommen werden.

Zwecke der Verarbeitungstätigkeit: Wahren der Betroffenenrechte der DSGVO, Dokumentation der Einhaltung

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden / Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig (Art 6 (1) Buchst. c) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Verarbeitungstätigkeit: Angebotserstellung

Auch bei einer Angebotserstellung werden persönliche Daten der potentiellen Kunden verarbeitet, insbesondere wenn es sich um eine individuelle Angebotserstellung handelt. Damit muss auch diese Verarbeitung in das Verzeichnis eingetragen werden.

Zwecke der Verarbeitungstätigkeit: Kundenkommunikation, Erstellen von personalisierten Angeboten

Typische Betroffenengruppen: Kunden / Nutzer, Interessenten

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens, ggf. Dienstleister

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Das Verfahren der Dienstplanung

Nicht nur die Arbeitszeiterfassung ihrer Mitarbeiter verarbeitet deren persönliche Daten. Auch müssen in beinahe jedem Unternehmen die Dienste Ihrer Mitarbeiter geplant werden, damit der Geschäftsbetrieb ordentlich ablaufen kann. Damit ist auch diese Datenverarbeitung für das Verarbeitungsverzeichnis relevant.

Zwecke der Verarbeitungstätigkeit: Einsatz und Planung der Beschäftigten, Planung von Projekten

Typische Betroffenengruppen: Beschäftigte

Typische Datenpunkte / -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers

Typische Empfänger / Kategorien von Empfängern: ggf. an weitere Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Typische Verarbeitungen, die nach DSGVO nicht relevant sind

Es gibt durchaus auch Verarbeitungen, die auf den ersten Blick so wirken, als müssten diese in das Verzeichnis von Verarbeitungstätigkeiten mit aufgenommen werden. Es stellt sich aber heraus, dass diese oft gar keine personenbezogenen Daten verarbeiten und damit auch nicht relevant sind.

Bilanzerstellung

Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönlichen Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.

Auswertung anonymisierter oder aggregierter Daten

Wenn Daten keinen Personenbezug (mehr) haben, können diese auch ohne weiteres verarbeitet werden und stehen nicht unter dem Schutz der Datenschutzgesetzgebung.

Ein Verzeichnis von Verarbeitungstätigkeiten erstellen – so geht’s

Was sind die Folgen, wenn kein VVT erstellt wird?

Die Folgen, wenn kein korrektes Verfahrensverzeichnis nach Anfrage der Behörde vorgelegt werden kann, sind verheerend. So können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Dies ist umso ärgerlicher, wenn man bedenkt, wie leicht ein Verfahrensverzeichnis erstellt werden kann.

Kostenlose Beispiele, Muster und Vorlagen zum Verzeichnis der Verarbeitungstätigkeiten

• Eine kostenlose Anleitung, wie Sie ein Verzeichnis von Verarbeitungstätigkeiten in Excel erstellen, finden Sie in unseren Fachbeiträgen: https://dsgvo-vorlagen.de/verzeichnis-von-verarbeitungstaetigkeiten-in-excel-erstellen
• Kurzpapier der Datenschutzkonferenz zum Thema neues Verfahrensverzeichnis: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf
• Das Verarbeitungsverzeichnis vom Bitkom e.V: https://www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf
• Informationen für kleine Unternehmen, Bayerisches Landesamt für Datenschutzaufsicht: https://www.lda.bayern.de/de/thema_kleine_unternehmen.html
• Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DSGVO, Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/dsk_muster_vov_verantwortlicher.pdf#

Häufige Fragen (FAQ) zum Thema Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Fazit: Das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Eines der wichtigsten Elemente der DSGVO ist die Dokumentations- und Rechenschaftspflicht. Sie besagt, dass die Einhaltung des Datenschutzes nachgewiesen werden muss. Der Verantwortliche macht dies am einfachsten über ein umfangreiches und gesetzeskonformes Verzeichnis von Verarbeitungstätigkeiten (VVT).

In diesem Artikel haben Sie erfahren, wie Sie ein solches Verzeichnis aufstellen und was überhaupt Verfahren nach der Definition der DSGVO sind. Sie sollten nun in der Lage sein dieses Verzeichnis selbstständig zu erstellen, zu aktualisieren und zu prüfen.