Das Verzeichnis von Verarbeitungstätigkeiten ist eines der wichtigsten Dokumente, die Sie im Unternehmen vorhalten sollten, um auch im Jahr 2024 DSGVO konform zu sein. Es hilft dem Verantwortlichen seine Rechenschaftspflichten nach Art. 5 Abs. 2 einzuhalten und ist die Grundlage für eine strukturierte Datenschutzdokumentation.
Frühere Bezeichnungen wie Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung sind zwar nicht falsch, sollten aber in Zukunft nicht mehr verwendet werden.
Dieser Artikel soll Ihnen einen vollständigen Überblick über die Erstellung, die Inhalte und die Best Practices zum Thema DSGVO und Verzeichnis von Verarbeitungstätigkeiten geben.
Inhalte
- Zusammenfassung im Video – das Verzeichnis von Verarbeitungstätigkeiten kurz erklärt.
- Wer muss ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO führen?
- Mustergliederung und Inhalte für das Verzeichnis von Verarbeitungstätigkeiten
- Tipps zur Umsetzung des VVT in der Praxis
- Verarbeitungstätigkeiten nach DSGVO – Beispiele und Definition
- 10 Bsp. für typische Verarbeitungstätigkeiten nach DSGVO
- Ein Verzeichnis von Verarbeitungstätigkeiten erstellen – so geht’s
- Klären Sie die Verantwortlichketen und Ansprechpartner
- Besorgen Sie sich eine Vorlage
- Folgen Sie der Spur der Daten
- Checken Sie Ihre Vorlage auf die Pflichtbestandteile
- Beginnen Sie mit der Befüllung
- Legen Sie die fertige Version den Verantwortlichen vor
- Prüfung und Prozesse etablieren
- Weitere Dokumentationen erstellen
- Was sind die Folgen, wenn kein VVT erstellt wird?
- Kostenlose Beispiele, Muster und Vorlagen zum Verzeichnis der Verarbeitungstätigkeiten
- Häufige Fragen (FAQ) zum Thema Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
- Wem muss ich mein Verzeichnis von Verarbeitungstätigkeiten zur Verfügung stellen?
- Wie oft muss das Verzeichnis von Verarbeitungstätigkeiten aktualisiert werden?
- Welches ist die gesetzliche Grundlage zur Führung des Verzeichnisses von Verarbeitungstätigkeiten?
- Wie umfangreich muss ein Verzeichnis von Verarbeitungstätigkeiten sein?
- Muss ich mein Verzeichnis von Verarbeitungstätigkeiten ausdrucken und unterschreiben?
- Wie lange benötige ich zum Erstellen eines VVT?
- Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
- Was ist ein Verarbeitungsverzeichnis oder ein Verfahrensverzeichnis?
- Welche Arten von Daten gibt es?
- Wer führt das Verfahrensverzeichnis?
- Gibt es typische Verarbeitungstätigkeiten, die in jedes Verzeichnis von Verarbeitungstätigkeiten gehören?
- Wie identifiziere ich eine Verarbeitungstätigkeit nach DSGVO?
- Wie detailliert muss ich die Verarbeitungstätigkeit beschreiben?
- Was sind Verarbeitungstätigkeiten?
- Welche Verarbeitungstätigkeiten gibt es?
- Fazit: Das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Zusammenfassung im Video – das Verzeichnis von Verarbeitungstätigkeiten kurz erklärt.
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO führen?
Vorab ist zu sagen, dass Sie mit sehr hoher Wahrscheinlichkeit ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Sobald Sie in (geschäftlichen) Kontakt mit Menschen treten, verarbeiten Sie deren Daten und sind damit von der DSGVO betroffen.
Die gesetzlichen Grundlagen
Das Gesetz bindet die Pflicht ein Verzeichnis aller Verarbeitungstätigkeiten zu führen daran, ob eine Verarbeitung stattfindet. Wenn diese stattfindet, so muss sie im Verzeichnis nach Art. 30 DSGVO dokumentiert werden. Eine Verarbeitung im Sinne der Datenschutzgesetzgebung wiederum findet dann statt, wenn personenbezogene Daten manuell oder automatisch verarbeitet werden. Das Gesetz zählt die Tätigkeiten umfassend auf:
[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.
Somit ist eine Vielzahl von Unternehmen verpflichtet, ein Register zu führen, auch wenn keine automatisierte Verarbeitung erfolgt. Einschließlich Vereine, Einzelhändler und Handwerker. Darüber hinaus muss auch ein Auftragsdatenverarbeiter ein Verzeichnis führen, z.B. wenn im Auftrag Kundendaten ausgewertet oder Plattformen zur Verfügung gestellt werden. Die DSGVO gilt für alle EU-Bürger, d.h. auch wenn die Muttergesellschaft in den USA sitzt, gilt die EU-DSGVO (Marktortprinzip).
Wer muss kein VVT führen, wer ist befreit?
So schön es wäre, kein Verzeichnis führen zu müssen, so ist die Ausnahme doch recht selten anzuwenden. Auf den ersten Blick scheint es so, als wären viele kleine Unternehmen ausgenommen. Dies ist aber ein Trugschluss.
Die gesetzliche Definition ist sehr weitreichend und schließt viele Unternehmen ein. Aufgrund dessen ist davon auszugehen, dass die meisten Unternehmen gezwungen sind, ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO zu erstellen.
Es gilt die Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dann muss das Verzeichnis nicht aufgestellt werden, allerdings nur, wenn einige zusätzliche Kriterien zutreffen.
[…] es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Art. 30 (5) DSGVO
Während die ersten drei Kriterien bei vielen Unternehmen zutreffen können, werden nur die wenigsten gelegentlich personenbezogene Daten verarbeiten. Eine Webseite oder eine Lohnabrechnung reichen schon aus, damit die Verarbeitung regelmäßig stattfindet.
Beispiele für Unternehmen und Einzelpersonen, die ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen
- Die A GmbH mit 20 Mitarbeitern führt ihre Lohnabrechnung digital durch.
- Eine Pflicht zur Aufstellung eines Verfahrensverzeichnisses besteht, da die A GmbH personenbezogene Daten nicht nur gelegentlich verarbeitet.
- Die 250-Personen Grenze gilt hier nicht.
- Der Marketingdienstleister mit 2 Mitarbeitern analysiert die Daten seiner Kunden über Google Analytics.
- Auch hier muss ein Verzeichnis erstellt werden, da personenbezogene Daten von vielen Kunden verarbeitet werden.
- Nicht nur der Dienstleister muss ein Verfahrensverzeichnis führen, sondern wahrscheinlich auch die Kunden.
- Der Friseur hat eine Kundenkartei, in der jeder Angestellte nach jedem Schnitt Daten wie Name, Telefonnummer und Haarschnitt notiert.
- Die Verarbeitung erfolgt manuell, dies ist aber unerheblich, da die Verarbeitung regelmäßig erfolgt.
- Auch hier muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden, gleichwohl dies nur wenige Einträge hat.
- Wenn der Friseur noch Mitarbeiter hat, würde die regelmäßige Lohnabrechnung auch ausreichen, ein Verzeichnis nach DSGVO führen zu müssen.
Wer ist im Unternehmen verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und zu führen?
Im Unternehmen ist laut Gesetz der Verantwortliche verpflichtet das Verfahrensverzeichnis aufzustellen und zu pflegen. Verantwortlicher für das Verzeichnis ist demnach beim Einzelunternehmer z.B. der Inhaber oder aber bei der GmbH der Vertretungsberechtigte, also z.B. der oder die Geschäftsführer.
In der Praxis jedoch ist oft der Datenschutzbeauftragte intern dafür zuständig, das Verzeichnis zu führen und zu erstellen, wenngleich die Verantwortung bei dem Verantwortlichen bleibt. Der Verantwortliche ist es auch, der das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss.
Mustergliederung und Inhalte für das Verzeichnis von Verarbeitungstätigkeiten
Ein Verfahrensverzeichnis (jetzt: Verzeichnis von Verarbeitungstätigkeiten, kurz VVT im Datenschutz) besteht aus bestimmten, im Gesetz geregelten Punkten. Diese sollten alle eingehalten werden, um das Verzeichnis von Verarbeitungstätigkeiten formal korrekt aufzustellen.
Die Inhalte für das Verarbeitungsverzeichnis gemäß Art. 30 DSGVO
Die DSGVO benennt sieben Pflichtbestandteile (Buchstaben a) – e) im Gesetz) eines Verzeichnisses von Verarbeitungstätigkeiten, welche grundsätzlich alle aufzunehmen sind.
Wenn Sie sich an die im Gesetz geschaffenen Vorgaben halten und einige praktische Tipps befolgen, sind Sie auf einem guten Weg, Ihre Dokumentation nach DSGVO und damit auch Ihr Verzeichnis von Verarbeitungstätigkeiten gut zu erstellen.
Das Vorwort oder Hauptblatt
den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
Art. 30 (1) a) DSGVO
Hier müssen die Kontaktdaten des Verantwortlichen angegeben werden, also die Adresse des Unternehmens und deren Vertreter, bzw. Niederlassung oder Zweigstelle. Sollte kein Hauptsitz in der EU bestehen, so muss ein Vertreter in der EU benannt werden. Dessen Adresse muss auch angegeben werden.
Darüber hinaus muss ein externer oder interner Datenschutzbeauftragter angegeben werden, insofern er bestellt ist. Sollte keiner bestellt worden sein (dies ist auch nicht immer nötig), so ist der Verantwortliche für die Einhaltung des Datenschutzes verantwortlich.
Das eigentliche Verarbeitungsverzeichnis
Ab hier beginnt das eigentliche Verzeichnis der Verarbeitungen.
Im Folgenden werden die einzelnen gesetzlichen Formulierungen zitiert, dies dient dem besseren Verständnis. Beispiele zu typischen Verarbeitungstätigkeiten finden Sie weiter unten.
die Zwecke der Verarbeitung;
Art. 30 (1) b) DSGVO
Es muss der Zweck angegeben werden. Z.B. das Verfahren Reisekostenabrechnung hat den Zweck „Abrechnung und Verwaltung von Dienstreisen“. Hier soll geprüft werden, ob das Verfahren auch zweckmäßig und angemessen ist.
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
Art. 30 (1) c) DSGVO
Das Gesetz verlangt hier Kategorien von Betroffenen und Daten zu nennen, d.h. es muss keine Einzelaufstellung von Betroffenen und Daten durchgeführt werden. Für das Reisekosten-Beispiel wäre es also ausreichend als Betroffenenkategorie nur “Beschäftigte” anzugeben und als Datenkategorien “Reisedaten” und “Arbeitnehmerstammdaten“ aufzunehmen. In der Praxis wäre es allerdings angeraten, die personenbezogenen Daten genau zu benennen, dies erleichtert das Datenschutzmanagement erheblich.
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
Art. 30 (1) d) und e) DSGVO
Dieser Abschnitt des Gesetzes behandelt die Empfänger der personenbezogenen Daten, also die Frage, wem die Daten „geschickt“ werden. Empfänger können innerhalb der Organisation liegen (z.B. gewisse Abteilungen) oder außerhalb (z.B. E-Mail Dienstleister, Zweigstellen). Darüber hinaus müssen Transfers in Drittländer besonders dokumentiert werden, denn grundsätzlich wird angenommen, dass in Ländern außerhalb der EU kein angemessenes Schutzniveau vorherrscht und deswegen geeignete Garantien ausgehandelt werden müssen.
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
Art. 30 (1) f) DSGVO
Das Löschen von Daten nimmt einen wichtigen Platz in der DSGVO ein. Das Recht auf Vergessenwerden, welches in der DSGVO verankert ist, kommt auch im Verfahrensverzeichnis zum Ausdruck. Es müssen also die üblichen Fristen für die Löschung der Daten festgehalten werden. Dies sollte für jedes Verfahren einzeln aufgeschlüsselt werden. So hat das Verfahren “Reisekostenabrechnung” (ggf. mehrere Jahre) andere Löschfristen als das Verfahren “Videoüberwachung” (meistens wenige Tage). Ein weiterer praktikabler Weg ist, auf ein umfangreiches Löschkonzept zu verweisen und im VVT direkt keine oder nur allgemeine Löschfristen aufzuführen.
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Art. 30 (1) g) DSGVO
Zur Wahrung der Sicherheit der Verarbeitung gem. Artikel 32 (1) DSGVO sollten sog. technische und organisatorische Maßnahmen (TOM) ergriffen und kodifiziert werden. Diese sollten für alle Verarbeitungen gelten und ggf. für einzelne Verfahren angepasst bzw. erweitert werden. Meistens bietet es sich hier an, einfach auf die TOM zu verweisen, welche an anderer zentraler Stelle verwaltet werden.
Zusätzliche Bestandteile
Zusätzlich zu den oben genannten Angaben, muss gem. neuem BDSG auch die Rechtsgrundlage genannt werden, auf die sich die Verarbeitung bezieht.
Die Grundlagen können sein:
- Einwilligung der betroffenen Person,
- Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
- Erfüllung einer rechtlichen Verpflichtung,
- Schutz lebenswichtiger Interessen,
- Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt,
- Interessenabwägung.
Mit den rein gesetzlichen Inhalten ist es aber theoretisch nicht getan. Es muss außerdem ein Datenschutzsystem nachgewiesen werden, also es muss auch dokumentiert werden, wie allgemein die Prozesse strukturiert sind im Unternehmen. Werden Mitarbeiter geschult? Was sind die Ziele bzgl. Datenschutz im Unternehmen?
Die Inhalte des Verfahrensverzeichnisses in der Praxis
Die gesetzlichen Regelungen sind natürlich bindend, allerdings kann es in der Praxis effizienter sein, das Verfahrensverzeichnis in fünf logische Teile aufzuspalten:
- Hauptblatt
- Das eigentliche Verzeichnis
- Risikoanalyse
- Technische und organisatorische Maßnahmen
- Löschkonzept
Der Hauptblatt besteht demnach aus an sich unveränderlichen Informationen und sollte auf die erste Seite des Verzeichnisses von Verarbeitungstätigkeiten:
- Anschrift und Vertreter der verantwortlichen Stelle
- Ggf. Niederlassung in der EU
- Informationen zum Datenschutzbeauftragten
- Verweis auf die technischen und organisatorischen Maßnahmen
- Grundsätzliches Datenlöschungskonzept, welches für alle Verfahren gilt
- Grundsätzliches Vorgehen bei Übermittlungen in Drittstaaten
Danach kommt das eigentliche Verzeichnis von Verarbeitungstätigkeiten:
- Bezeichnung der Verarbeitungstätigkeit
- Name der eingesetzten Tools oder Dienstleistung
- Datum des Beginns der Nutzung des Verfahrens
- Datum der letzten Überprüfung des Verfahrens
- Verantwortliche Abteilung innerhalb des Unternehmens
- Name und Kontaktdaten des Verantwortlichen innerhalb des Unternehmens
- Zwecke der Verarbeitungstätigkeit
- Betroffenengruppen
- Datenpunkte / -kategorien
- Empfänger / Kategorien von Empfängern
- Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage)
- Übermittlung Drittstaaten (inkl. Erfassung der Grundlage der Übertragung)
- Spezielle Löschfristen
- Spezielle technische und organisatorische Maßnahmen
- Unterschrift des Verantwortlichen.
Im Anschluss wird jedes Verfahren einer Risikoanalyse unterzogen und einschätzt, ob eine Datenschutz-Folgenabschätzung nötig ist oder nicht.
Zum Schluss sollten die allgemeinen technischen und organisatorische Maßnahmen aufgeführt werden.
Auf das Löschkonzept wird ja bereits im Hauptteil hingewiesen.
Diese Vorgehensweise wirkt etwas über das gesetzliche Maß hinausgehend, erleichtert aber das Datenschutzmanagement ungemein.
Form und Sprache für das Verzeichnis der Verarbeitungstätigkeiten
Grundsätzlich muss das Verzeichnis gem. Art. 30 Abs. (3) DSGVO schriftlich geführt werden, dabei wird ausdrücklich die elektronische Form erlaubt. Wichtig hierbei zu wissen ist allerdings, dass die Aufsichtsbehörden entscheiden dürfen, in welchem Format das Verarbeitungsverzeichnis vorzulegen ist. Z.B. wäre es möglich, dass Sie Ihr VVT für eine Behörde ausdrucken müssen.
Der Verantwortliche sollte in der Lage sein, das Verzeichnis deutschen Aufsichtsbehörden auch in deutscher Sprache vorzulegen.
Tipps zur Umsetzung des VVT in der Praxis
Nun sind die gesetzlichen Inhalte des Verzeichnisses von Verarbeitungstätigkeiten bekannt. Leider ergeben sich in der Praxis einige Hürden bei der Umsetzung. Hier sollen einige häufige Probleme aufgezeigt und direkt Hilfen gegeben werden, die bei der Transferierung in die Praxis helfen können:
- Identifizierung der personenbezogenen Daten
- Ermitteln, wo und wie personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern gesammelt und verarbeitet werden.
- Auflistung aller Anwendungen und Tools im Unternehmen, die personenbezogene Daten speichern.
- Ermittlung und Mapping der Datenflüsse
- Durchführung eines Datenmappings (Zuordnung) zur Visualisierung der Datenflüsse im Unternehmen.
- Erstellung von Datenflussdiagrammen, um insbesondere bei komplexen oder umfangreichen Datenstrukturen einen klaren Überblick zu erhalten.
- Erstellung des eigentlichen VVT
- Aufteilung des Verzeichnisses in mehrere Teilbereiche für unterschiedliche Verarbeitungstätigkeiten (Abstraktion).
- Berücksichtigung der Unternehmensgröße und der Anzahl der digitalen Prozesse bei der Entscheidung wie detailliert man vorgehen möchte.
- Gesetzliche und regulatorische Empfehlungen sichten
- Dokumentation interner Rechtmäßigkeitsprüfungen für kritische oder umfangreiche Datenverarbeitungen.
- Integration zusätzlicher Schutzmaßnahmen in das Verzeichnis zum Nachweis der Compliance und zur Vorwegnahme behördlicher Prüfungen.
- Verwendung von Tools und Vorlagen zur Arbeitserleichterung
- Verwendung von Mustervorlagen für Verarbeitungsverzeichnisse
- Nutzung von Datenschutzmanagementsoftware zur digitalen Erstellung und Pflege des Verzeichnisses, insbesondere bei großen Organisationen.
- Kommunikation der Bedeutung und Beteiligung an der Erstellung
- Mitarbeiter und Manager aktiv in den Prozess der Datenerhebung und Dokumentation einbeziehen und Zuständigen klären.
- Verdeutlichen, wie wichtig ein präzises Verarbeitungsverzeichnis für die Einhaltung der Datenschutzgesetze und den Schutz des Unternehmens ist.
Verarbeitungstätigkeiten nach DSGVO – Beispiele und Definition
Bei der Beantwortung der Frage, was eine Verarbeitungstätigkeit ausmacht und wie sie zu definieren ist, ist die DSGVO nicht eindeutig. Allerdings ist es wichtig eine Verarbeitungstätigkeit zu identifizieren, um sie später in das gesetzlich vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.
Die gesetzliche Definition einer Verarbeitungstätigkeit
Die DSGVO verpflichtet jeden, der personenbezogene Daten in seinem Unternehmen verarbeitet, all diese Verarbeitungsprozesse innerhalb des Unternehmens zu dokumentieren (Artikel 30 DSGVO). Es gibt dabei bestimmte Pflichtbestandteile, welche in ein Verzeichnis von Verarbeitungstätigkeiten müssen.
Der Begriff Verarbeitungstätigkeit ist als solcher in der EU-Datenschutz-Grundverordnung nicht konkret definiert. Auf Grund dessen muss auf Art. 4 Nr. 2. DSGVO zurückgegriffen werden, welcher das Wort „Verarbeitung“ definiert.
[…] jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Art. 4 Nr. 2 DSGVO
Demnach müssen als wichtigstes Kriterium personenbezogene Daten verarbeitet werden. Dabei unterscheidet das Gesetz nicht zwischen manueller oder automatisierter Verarbeitung. Eine Kartei, welche händisch beschrieben wird, ist also genauso zu behandeln, wie eine Excel Tabelle, die jeden Tag automatisiert befüllt wird. Darüber hinaus zählt die DSGVO noch konkret auf, welche Arten der Verarbeitung eingeschlossen sind.
Aufgrund der weit gefassten Definition im Gesetz und der Vielzahl personenbezogener Daten in einem Unternehmen sind viele Verarbeitungen zu erfassen. Es ist davon auszugehen, dass alles, was personenbezogene Daten enthält, ein Verfahren darstellt.
Dieser Katalog ist nicht allumfassend, das bedeutet, dass selbst wenn die Tätigkeit nicht aufgezählt ist, davon auszugehen ist, dass es sich um eine Verarbeitung im Sinne des Datenschutzrechts handelt.
Art und Zweck der Datenverarbeitung allgemeines Beispiel
Nach Datenschutzgesetz müssen die Zwecke der Verarbeitung angegeben werden. Grundsätzlich ist hier zu beachten, dass die Zwecke der Datenverarbeitung klar und auch für einen Dritten verständlich beschrieben werden. Allerdings muss die Beschreibung auch nicht zu sehr ausufern, es reicht eine kurze und knappe Beschreibung.
Beispiel Zweck der Datenverarbeitung positiv: Kommunikation zwischen Mitarbeitern und Kunden und Stammdatenpflege.
Beispiel Zweck der Datenverarbeitung negativ: Speicherung von Daten.
10 Bsp. für typische Verarbeitungstätigkeiten nach DSGVO
Welche Verarbeitungstätigkeiten kommen in Betracht? Wo werden personenbezogene Daten verarbeitet? Der folgende Abschnitt soll Ihnen genau das anhand von 10 typischen Beispielen für Verarbeitungstätigkeiten erläutern, die wohl in jedem Unternehmen eine Rolle spielen. Zu jeder Verarbeitungstätigkeit wird auch ein Zweck der Datenverarbeitung als Beispiel genannt.
Natürlich stoßen Sie in Ihrem Unternehmen auf weitere individuelle Verarbeitungstätigkeiten. Diese zehn dargestellten Tätigkeiten sind jedoch typischerweise in einem Unternehmen anzutreffen und sollten daher, wenn diese auch bei Ihnen zutreffen, unbedingt in Ihr Verzeichnis aufgenommen werden.
Typische Verarbeitungstätigkeit 1: Elektronischer Zahlungsverkehr
Der elektronische Zahlungsverkehr ist überall anzutreffen. Besonders im betrieblichen Kontext werden so gut wie alle Transaktionen elektronisch abgewickelt, weswegen dieses Verfahren in jedes Verzeichnis von Verarbeitungstätigkeiten gehört.
Betreiben Sie einen Onlineshop oder vertreiben Ihre Produkte anderweitig im Internet, dann kommen Sie an elektronischen Zahlungsmitteln gar nicht mehr vorbei. Darunter fallen alle bargeldlosen Zahlungsvorgänge wie die Zahlung per Dauerauftrag, die Überweisung, Zahlungen mit Kreditkarten, aber auch PayPal oder Giropay.
Zwecke der Verarbeitungstätigkeit: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs, Ausgleich von Verbindlichkeiten
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, alle Teilnehmer am Verfahren
Typische Datenpunkte/ -kategorien: Name/ Vorname, Bankverbindung, ggf. weitere Rechnungsinformationen
Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung, ggf. Steuerberater
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.
Bsp. Verarbeitungstätigkeit: E-Mail Kommunikation
Auch die Kommunikation mit Kunden oder Geschäftspartnern läuft oft elektronisch ab. Wenn Sie regelmäßig im laufenden Geschäftsbetrieb via E-Mail kommunizieren, dann verarbeiten Sie hierbei eine Menge an persönlichen Daten. Aus diesem Grund muss auch dieses Verfahren in das Verzeichnis aufgenommen werden.
Zwecke der Verarbeitungstätigkeit: jegliche interne und externe Kommunikation zur Abwicklung des Kaufvorganges, Bearbeiten der Anfragen von Interessenten, Einholen von Auskünften anderer Stellen oder Unternehmen
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, ggf. weitere Daten, die die Beteiligten austauschen
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO). Außerdem Art 6 (1) Buchst. b) DSGVO möglich.
Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen
Das Verfahren der Kalender- und Terminverwaltung
Die Verwaltung der Termine und des Kalenders wird besonders in großen Unternehmen regelmäßig mit einer Kalender- und Terminverwaltungssoftware gehandhabt. Beispiele für solche Software sind hauptsächlich Outlook oder Thunderbird. Allerdings werden auch in einer manuellen Termin- und Kalenderverwaltung personenbezogene Daten erfasst, sodass auch hier dieses Verfahren in Ihr Verzeichnis aufgenommen werden muss.
Zwecke der Verarbeitungstätigkeit: Vereinbaren von Terminen, Planen von Terminvergaben und Personaleinsatz
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, ggf. die Adresse
Typische Empfänger / Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).
Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen
Die Kundenverwaltung (Kundendatenbank) von Privatkunden ist ein weiteres typisches Verfahren
Für die Verwaltung Ihrer Privatkunden kann eine Kundendatenbank, eine Kundendatei oder ein manuelles Ordersystem genutzt werden. Allenfalls muss hierüber ein Verzeichnis der Verarbeitung angefertigt werden, da Sie die Daten Ihrer Privatkunden verarbeiten. So gut wie jede Firma hat eine Datenbank, in der sie ihre (potentiellen) Kunden abspeichert. In diesem Fall liegt eindeutig eine Verarbeitungstätigkeit vor, da regelmäßig persönliche Daten verarbeitet werden. Sie werden erhoben, erfasst und gespeichert.
Zwecke der Verarbeitungstätigkeit: Kontakt- und Adressverwaltung, Kommunikation mit Kunden, Vereinfachen der Bearbeitung von Reklamationen
Typische Betroffenengruppen: Kunden/ Nutzer
Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, Adresse, Geburtsdatum, Geschlecht, Bankverbindung, Rechnungsdaten
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO). Auch Art 6 (1) Buchst. b) DSGVO möglich.
Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen
Auch das gehört in ein Verarbeitungsverzeichnis: Webauftritt / Betrieb einer Internetseite
Die Präsentation des eigenen Unternehmens findet zunehmend online statt. Es geht dabei um nahezu jede Form von Webauftritten, also klassische Webseiten, aber auch Facebook-Seiten oder Apps. Da in jedem Fall Server-Log Daten verarbeitet werden, muss dieses Verfahren mit in Ihr Verzeichnis aufgenommen werden.
Zwecke der Verarbeitungstätigkeit: Werbung und Präsentation der Produkte oder des Unternehmens, Vertrieb der Produkte
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers
Typische Empfänger/ Kategorien von Empfängern: Ggf. Betreiber von Clouds, Hosting Anbieter
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.
Typisches Verfahren: Arbeitszeiterfassung
Wenn Sie die Arbeitszeiten Ihrer Mitarbeiter erfassen, um bspw. nachzuweisen, dass Sie den Mindestlohn zahlen, dann erfassen Sie somit deren persönliche Daten. Deshalb ist auch das eine Verarbeitungstätigkeit, die Sie in das Verzeichnis aufnehmen müssen.
Zwecke der Verarbeitungstätigkeit: Abrechnung der Arbeitszeit, Lohnzahlung
Typische Betroffenengruppen: Beschäftigte
Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Teefonnummer, Adresse, E-Mailadresse, Bankverbindung, ggf. Gesundheitsdaten
Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO). Sie dient zum Zweck des Beschäftigtenverhältnisses nach §26 BDSG (neu).
Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.
Verfahren für Websites: Kontaktformulare und Chat-Tools
Neben der Kommunikation per Mail finden vor allem Erstkontakte über Kontaktformulare und Chat-tools statt. Hierunter können das klassische Kontaktformular, aber auch interaktivere Kommunikationsformen, wie Chat-Widgets oder Chat-Bots fallen.
Zwecke der Verarbeitungstätigkeit: Erfassen von Kundenanfragen, Erstkontakt mit Interessenten, Vertragsanbahnung, Bearbeiten allgemeiner Anfragen
Typische Betroffenengruppen: Kunden/ Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, Telefonnummer, Adresse
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).
Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen
Das Verfahren: Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO
Die DS-GVO gibt den Betroffenen von Datenverarbeitung eine Reihe von Rechten in Artikel 15 bis 18 DSGVO. Danach ist jedes Unternehmen dazu verpflichtet, eine solche Anfragen des Betroffenen beantworten. Diese Verarbeitungstätigkeit muss damit unbedingt in das Verzeichnis aufgenommen werden.
Zwecke der Verarbeitungstätigkeit: Wahren der Betroffenenrechte der DSGVO, Dokumentation der Einhaltung
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden / Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig (Art 6 (1) Buchst. c) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig
Verarbeitungstätigkeit: Angebotserstellung
Auch bei einer Angebotserstellung werden persönliche Daten der potentiellen Kunden verarbeitet, insbesondere wenn es sich um eine individuelle Angebotserstellung handelt. Damit muss auch diese Verarbeitung in das Verzeichnis eingetragen werden.
Zwecke der Verarbeitungstätigkeit: Kundenkommunikation, Erstellen von personalisierten Angeboten
Typische Betroffenengruppen: Kunden / Nutzer, Interessenten
Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens, ggf. Dienstleister
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig
Das Verfahren der Dienstplanung
Nicht nur die Arbeitszeiterfassung ihrer Mitarbeiter verarbeitet deren persönliche Daten. Auch müssen in beinahe jedem Unternehmen die Dienste Ihrer Mitarbeiter geplant werden, damit der Geschäftsbetrieb ordentlich ablaufen kann. Damit ist auch diese Datenverarbeitung für das Verarbeitungsverzeichnis relevant.
Zwecke der Verarbeitungstätigkeit: Einsatz und Planung der Beschäftigten, Planung von Projekten
Typische Betroffenengruppen: Beschäftigte
Typische Datenpunkte / -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers
Typische Empfänger / Kategorien von Empfängern: ggf. an weitere Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig
Typische Verarbeitungen, die nach DSGVO nicht relevant sind
Es gibt durchaus auch Verarbeitungen, die auf den ersten Blick so wirken, als müssten diese in das Verzeichnis von Verarbeitungstätigkeiten mit aufgenommen werden. Es stellt sich aber heraus, dass diese oft gar keine personenbezogenen Daten verarbeiten und damit auch nicht relevant sind.
Bilanzerstellung
Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönlichen Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.
Auswertung anonymisierter oder aggregierter Daten
Wenn Daten keinen Personenbezug (mehr) haben, können diese auch ohne weiteres verarbeitet werden und stehen nicht unter dem Schutz der Datenschutzgesetzgebung.
Ein Verzeichnis von Verarbeitungstätigkeiten erstellen – so geht’s
Anleitung zum Erstellen eines Verfahrensverzeichnisses
Gesamtzeit: 14 Tage
Klären Sie die Verantwortlichketen und Ansprechpartner
Machen Sie sich bevor Sie anfangen am besten eine Liste von allen Verantwortlichen, welche in Ihrem Unternehmen personenbezogene Daten verarbeiten könnten. Diese müssen Sie später hinzuziehen, wenn Sie mit Ihrem Wissen am Ende sind, bzw. zur finalen Abstimmung.
Besorgen Sie sich eine Vorlage
Wenn in Ihrem Unternehmen noch keine Dokumentation vorliegt, sollten Sie nicht bei 0 anfangen. Überlegen Sie sich eine Vorlage oder ein Muster zu kaufen oder eine der vielen kostenlosen Ressourcen zu nutzen, welche weiter oben verlinkt sind.
Folgen Sie der Spur der Daten
Gehen Sie am besten die Verarbeitungstätigkeiten durch, welche in Ihrer Vorlage zu finden sind und sortieren Sie aus, was definitiv nicht für Sie in Frage kommt.
Anschließend sollten Sie alle die Verarbeitungstätigkeiten suchen, welche ggf. noch nicht über das Muster abgedeckt wurden.
Checken Sie Ihre Vorlage auf die Pflichtbestandteile
Bevor Sie mit dem Befüllen beginnen, versuchen Sie zu validieren, dass Sie wirklich das gesetzlich notwendige Maß einhalten. Weiter oben finden Sie Informationen, was unbedingt enthalten sein sollte.
Beginnen Sie mit der Befüllung
Bei einer guten Vorlage müssen Sie jetzt nicht mehr viel erledigen, sondern nur die Unternehmensspezifischen Informationen, wie Verantwortliche, Anschriften oder verwendete Tools hinzufügen. Sollten Sie eine leere Vorlage haben, so müssen Sie nun Rechtsgrundlagen, Löschfristen usw. selbst festlegen und in Ihr Verzeichnis von Verarbeitungstätigkeiten eintragen.
Legen Sie die fertige Version den Verantwortlichen vor
Nun haben Sie die erste Version Ihres neuen Verzeichnisses fertig. Nun gilt es, wenn Sie kein 1-Mann Betrieb sind, diese mit den Verantwortlichen abzustimmen. Werden die Löschfristen wirklich so eingehalten? Welche speziellen technischen und organisatorischen Maßnahmen gelten? Am Ende sollten Sie ein Dokument haben, welches mit den Verantwortlichen abgestimmt und bereit ist von einem Dritten (Aufsichtsbehörde) geprüft zu werden.
Prüfung und Prozesse etablieren
Sie sollten das Dokument nun möglichst revisionssicher ablegen und speichern. Prüfen Sie Ihr Verzeichnis regelmäßig, mindestens einmal pro Jahr sollten Sie die Angaben prüfen und anschließend eine neue Version erstellen.
Weitere Dokumentationen erstellen
Mit dem Verzeichnis von Verarbeitungstätigkeiten ist es leider noch nicht getan. Eine Vielzahl weiterer Dokumentationen sind außerdem wichtig. In dieser Abbildung können Sie die wichtigsten überlicksartig finden:
Was sind die Folgen, wenn kein VVT erstellt wird?
Die Folgen, wenn kein korrektes Verfahrensverzeichnis nach Anfrage der Behörde vorgelegt werden kann, sind verheerend. So können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Dies ist umso ärgerlicher, wenn man bedenkt, wie leicht ein Verfahrensverzeichnis erstellt werden kann.
Kostenlose Beispiele, Muster und Vorlagen zum Verzeichnis der Verarbeitungstätigkeiten
Bei besonders kleinen Unternehmen, oder wenn Sie einen Juristen oder Datenschutzbeauftragten im Haus haben, reichen kostenlose Vorlagen zum Verarbeitungsverzeichnis oft aus. Sollten Sie aber Zeit sparen wollen und sicher gehen, dass alles richtig ist, sollten Sie entweder einen Profi engagieren oder kostenpflichtige Vorlagen wählen.
- Eine kostenlose Anleitung, wie Sie ein Verzeichnis von Verarbeitungstätigkeiten in Excel erstellen, finden Sie in unseren Fachbeiträgen: https://dsgvo-vorlagen.de/verzeichnis-von-verarbeitungstaetigkeiten-in-excel-erstellen
- Kurzpapier der Datenschutzkonferenz zum Thema neues Verfahrensverzeichnis: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf
- Das Verarbeitungsverzeichnis vom Bitkom e.V: https://www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf
- Informationen für kleine Unternehmen, Bayerisches Landesamt für Datenschutzaufsicht: https://www.lda.bayern.de/de/thema_kleine_unternehmen.html
- Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DSGVO, Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/dsk_muster_vov_verantwortlicher.pdf#
Häufige Fragen (FAQ) zum Thema Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Wem muss ich mein Verzeichnis von Verarbeitungstätigkeiten zur Verfügung stellen?
Lediglich die für Sie zuständige Datenschutzaufsichtsbehörde kann Einsicht verlangen. Das öffentliche Verfahrensverzeichnis existiert nicht mehr. Sie sollten das Verarbeitungsverzeichnis nach DSGVO nicht veröffentlichen, da es Informationen enthalten kann, welche Sie nicht jedermann zugänglich machen möchten.
Wie oft muss das Verzeichnis von Verarbeitungstätigkeiten aktualisiert werden?
Sie müssen das Verzeichnis nach DSGVO stets aktuell halten. In der Praxis hat sich ein jährlicher Turnus bewährt. Dies dient der Einhaltung des Grundsatzes der Grundsatz der Rechenschaftspflicht.
Welches ist die gesetzliche Grundlage zur Führung des Verzeichnisses von Verarbeitungstätigkeiten?
Art. 30 DSGVO ist die gesetzliche Grundlage für die Führung eines Verzeichnisses von Verarbeitungstätigkeiten.
Wie umfangreich muss ein Verzeichnis von Verarbeitungstätigkeiten sein?
Es müssen tatsächlich alle Verarbeitungstätigkeiten aufgeführt werden, welche in Ihrem Unternehmen vorkommen. Dies können bei kleinen Unternehmen wenige sein, bei großen bis zu 100.
Gehen Sie hier ruhig ins Detail, dies macht sich bei einer Prüfung positiv bemerkbar.
Muss ich mein Verzeichnis von Verarbeitungstätigkeiten ausdrucken und unterschreiben?
Grundsätzlich nicht. Das Gesetz schreibt dies nicht vor. Sie können Ihr Verzeichnis von Verarbeitungstätigkeiten z.B. komplett in Excel oder Word führen.
Es bietet sich aber an, dass die Verantwortlichen durch Ihre Unterschrift noch einmal auf die Wichtigkeit des Themas eingeschworen werden.
Wie lange benötige ich zum Erstellen eines VVT?
Das hängt maßgeblich von der Größe Ihres Unternehmens ab. Mit Recherche, Abstimmung mit anderen Abteilungen und Freigabeprozess kann dies Monate dauern. Mit vorausgefüllten Vorlagen nur wenige Stunden.
Wenn Sie z.B. ein Kleinstbetrieb ohne Mitarbeiter sind, dauert es wahrscheinlich nur wenige Stunden.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Ein Verzeichnis von Verarbeitungstätigkeiten ist das Verzeichnis aller datenschutzrechtlich relevanten Verarbeitungstätigkeiten, welches der Verantwortliche nach DSGVO zu führen hat. Das Verzeichnis von Verarbeitungstätigkeiten wird in Art 30 DSGVO definiert.
Was ist ein Verarbeitungsverzeichnis oder ein Verfahrensverzeichnis?
Ein Verarbeitungsverzeichnis oder ein Verfahrensverzeichnis ist lediglich ein anderes Wort für das in Art 30 DSGVO definierte Verzeichnis von Verarbeitungstätigkeiten (VVT).
Als Verfahrensverzeichnis wird das Verzeichnis aller DSGVO-relevanten Verarbeitungstätigkeiten (kurz: Verfahren) bezeichnet.
Welche Arten von Daten gibt es?
Arten von Daten werden gemäß DS-GVO in sog. Datenkategorien geordnet. Es gibt sehr viele Arten von Daten, wie z.B. Kundendaten, Metadaten, Nutzungsdaten, Textdaten, Sprachdaten, Leistungsdaten, Geburtsdaten.
Wer führt das Verfahrensverzeichnis?
Der Verantwortliche ist für das Führen des Verfahrensverzeichnisses zuständig. Er steht auch für die Korrektheit ein und muss es auf Verlangen der Datenschutzbehörde aushändigen können. Ein Irrglaube ist, der Datenschutzbeauftragte sei für die Erstellung und die Aktualisierung verantwortlich.
Gibt es typische Verarbeitungstätigkeiten, die in jedes Verzeichnis von Verarbeitungstätigkeiten gehören?
Ja, einige dieser Grundlagen-Tätigkeiten finden Sie im Artikel. Darüber hinaus liegt die Empfehlung bei mindestens 20 Verarbeitungen bei kleinen Unternehmen und bis zu 200 bei großen Unternehmen.
Folgen Sie am besten der Spur der Daten und zeichnen Sie jeden Prozess, jedes Tool und jede Abteilung auf, welche mit personenbezogenen Daten in Berührung kommt.
Wie identifiziere ich eine Verarbeitungstätigkeit nach DSGVO?
Der Begriff an sich ist nicht abschließend definiert. Grundsätzlich sollte auch hier jede Tätigkeit erfasst werden, welche mit personenbezogenen Daten zu tun hat.
Wie detailliert muss ich die Verarbeitungstätigkeit beschreiben?
Eine Verarbeitungstätigkeit sollte auf einem geeigneten Abstraktionsniveau beschrieben werden, so dass sie auch ein Dritter versteht. Allerdings sollte die Beschreibung auch nicht zu umfangreich erfolgen, da das Verzeichnis dann zu unübersichtlich werden kann.
Sie müssen außerdem die gesetzlich geforderten Mindestinhalte in ihr Verzeichnis aller Verarbeitungstätigkeiten integrieren. Oft übergangen werden dabei die Rechtsgrundlage und die Löschfristen, die wichtige Komponenten darstellen.
Was sind Verarbeitungstätigkeiten?
Grundsätzlich sind alle die Prozesse Verarbeitungen nach DSGVO, welche mit personenbezogenen Daten in Berührung kommen. Also z.B. Personalverwaltung, Spesenabrechnung, Kundendatenbanken, E-Mail Datenbanken usw.
Keine Verarbeitungen im Sinne der Datenschutzgesetzgebung sind Tätigkeiten, bei denen keine personenbezogenen Daten verarbeitet werden, z.B. die Erstellung eines Jahresabschlusses oder Messung von Maschinenleistung.
Welche Verarbeitungstätigkeiten gibt es?
Es gibt sehr viele verschiedene Verarbeitungstätigkeiten (VT) in einem Unternehmen. Man kann bei einfachen Dingen beginnen, wie Office Software und zu komplexen Fragestellungen, wie der Abgleich von Sanktionslisten. Bei kleinen Unternehmen reichen oft 30 VT aus, bei größeren können es mehrere hundert sein.
Fazit: Das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Eines der wichtigsten Elemente der DSGVO ist die Dokumentations- und Rechenschaftspflicht. Sie besagt, dass die Einhaltung des Datenschutzes nachgewiesen werden muss. Der Verantwortliche macht dies am einfachsten über ein umfangreiches und gesetzeskonformes Verzeichnis von Verarbeitungstätigkeiten (VVT).
In diesem Artikel haben Sie erfahren, wie Sie ein solches Verzeichnis aufstellen und was überhaupt Verfahren nach der Definition der DSGVO sind. Sie sollten nun in der Lage sein dieses Verzeichnis selbstständig zu erstellen, zu aktualisieren und zu prüfen.