Das Verzeichnis von Verarbeitungstätigkeiten nach Art 30 DSGVO vollständig erklärt

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Das Verzeichnis von Verarbeitungstätigkeiten ist eines der wichtigsten Dokumente, die Sie im Unternehmen vorhalten sollten, um auch im Jahr 2021 DSGVO konform zu sein. Es hilft dem Verantwortlichen seine Rechenschaftspflichten nach Art. 5 Abs. 2 einzuhalten und ist die Grundlage für eine strukturierte Datenschutzdokumentation.

Tipp aus der Praxis

Frühere Bezeichnungen wie Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung sind zwar nicht falsch, sollten aber in Zukunft nicht mehr verwendet werden.

Dieser Artikel soll Ihnen einen vollständigen Überblick über die Erstellung, die Inhalte und die Best Practices zum Thema DSGVO und Verzeichnis von Verarbeitungstätigkeiten geben.

Inhalte

Zusammenfassung im Video – das Verzeichnis von Verarbeitungstätigkeiten kurz erklärt.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO führen?

Vorab ist zu sagen, dass Sie mit sehr hoher Wahrscheinlichkeit ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Sobald Sie in (geschäftlichen) Kontakt mit Menschen treten, verarbeiten Sie deren Daten und sind damit von der DSGVO betroffen.

Die gesetzlichen Grundlagen

Das Gesetz bindet die Pflicht ein Verzeichnis aller Verarbeitungstätigkeiten zu führen daran, ob eine Verarbeitung stattfindet. Wenn diese stattfindet, so muss sie im Verzeichnis nach Art. 30 DSGVO dokumentiert werden. Eine Verarbeitung im Sinne der Datenschutzgesetzgebung wiederum findet dann statt, wenn personenbezogene Daten manuell oder automatisch verarbeitet werden. Das Gesetz zählt die Tätigkeiten umfassend auf:

[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 4 Nr. 2 DSGVO.

Die gesetzlichen Grundlagen, deswegen ein Buch.

Damit ist also eine große Anzahl an Unternehmen verpflichtet ein Verzeichnis zu führen, sogar wenn keine automatische Verarbeitung erfolgt. Inklusive Vereine, Einzelkaufleute und Handwerker. Darüber hinaus muss auch ein Auftragsdatenverarbeiter ein Verzeichnis führen, wenn also z.B. im Auftrag Kundendaten analysiert werden oder Plattformen bereit gestellt werden. Die DS-GVO gilt für alle EU-Bürger, d.h. selbst wenn der Mutterkonzern in den USA sitzt, ist die EU-DSGVO anwendbar (Marktortprinzip).

Wer muss kein VVT führen, wer ist befreit?

So schön es wäre, kein Verzeichnis führen zu müssen, so ist die Ausnahme doch recht selten anzuwenden. Auf den ersten Blick scheint es so, als wären viele kleine Unternehmen ausgenommen. Dies ist aber ein Trugschluss.

Tipp aus der Praxis

Die gesetzliche Definition ist sehr weitreichend und schließt viele Unternehmen ein. Aufgrund dessen ist davon auszugehen, dass die meisten Unternehmen gezwungen sind, ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO zu erstellen.

Es gilt die Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dann muss das Verzeichnis nicht aufgestellt werden, allerdings nur, wenn einige zusätzliche Kriterien zutreffen.

[…] es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Art. 30 (5) DSGVO

Während die ersten drei Kriterien bei vielen Unternehmen zutreffen können, werden nur die wenigsten gelegentlich personenbezogene Daten verarbeiten. Eine Webseite oder eine Lohnabrechnung reichen schon aus, damit die Verarbeitung regelmäßig stattfindet.

Beispiele für Unternehmen und Einzelpersonen, die ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen

  • Die A GmbH mit 20 Mitarbeitern führt ihre Lohnabrechnung digital durch.
    • Eine Pflicht zur Aufstellung eines Verfahrensverzeichnisses besteht, da die A GmbH personenbezogene Daten nicht nur gelegentlich verarbeitet.
    • Die 250-Personen Grenze gilt hier nicht.
  • Der Marketingdienstleister mit 2 Mitarbeitern analysiert die Daten seiner Kunden über Google Analytics.
    • Auch hier muss ein Verzeichnis erstellt werden, da personenbezogene Daten von vielen Kunden verarbeitet werden.
    • Nicht nur der Dienstleister muss ein Verfahrensverzeichnis führen, sondern wahrscheinlich auch die Kunden.
  • Der Friseur hat eine Kundenkartei, in der jeder Angestellte nach jedem Schnitt Daten wie Name, Telefonnummer und Haarschnitt notiert.
    • Die Verarbeitung erfolgt manuell, dies ist aber unerheblich, da die Verarbeitung regelmäßig erfolgt.
    • Auch hier muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden, gleichwohl dies nur wenige Einträge hat.
    • Wenn der Friseur noch Mitarbeiter hat, würde die regelmäßige Lohnabrechnung auch ausreichen, ein Verzeichnis nach DSGVO führen zu müssen.

Wer ist im Unternehmen verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und zu führen?

Im Unternehmen ist laut Gesetz der Verantwortliche verpflichtet das Verfahrensverzeichnis aufzustellen und zu pflegen. Verantwortlicher für das Verzeichnis ist demnach beim Einzelunternehmer z.B. der Inhaber oder aber bei der GmbH der Vertretungsberechtigte, also z.B. der oder die Geschäftsführer.

Ruderer in Wellen im Boot - verantwortlich ist die Leitung.

In der Praxis jedoch ist oft der Datenschutzbeauftragte intern dafür zuständig, das Verzeichnis zu führen und zu erstellen, wenngleich die Verantwortung bei dem Verantwortlichen bleibt. Der Verantwortliche ist es auch, der das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss.

Mustergliederung und Inhalte für das Verzeichnis von Verarbeitungstätigkeiten

Ein Verfahrensverzeichnis (jetzt: Verzeichnis von Verarbeitungstätigkeiten, kurz VVT im Datenschutz) besteht aus bestimmten, im Gesetz geregelten Punkten. Diese sollten alle eingehalten werden, um das Verzeichnis von Verarbeitungstätigkeiten formal korrekt aufzustellen.

Die Inhalte für das Verarbeitungsverzeichnis gemäß Art. 30 DSGVO

Die DSGVO benennen sieben Pflichtbestandteile (Buchstaben a) – e) im Gesetz) eines Verzeichnisses von Verarbeitungstätigkeiten, welche grundsätzlich alle aufzunehmen sind.

Tipp aus der Praxis

Wenn Sie sich an die im Gesetz geschaffenen Vorgaben halten und einige praktische Tipps befolgen, sind Sie auf einem guten Weg, Ihre Dokumentation nach DSGVO und damit auch Ihr Verzeichnis von Verarbeitungstätigkeiten gut zu erstellen.

Das Vorwort oder Hauptblatt

den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

Art. 30 (1) a) DSGVO

Hier müssen die Kontaktdaten des Verantwortlichen angegeben werden, also die Adresse des Unternehmens und deren Vertreter, bzw. Niederlassung oder Zweigstelle. Sollte kein Hauptsitz in der EU bestehen, so muss ein Vertreter in der EU benannt werden. Dessen Adresse muss auch angegeben werden.
Darüber hinaus muss ein externer oder interner Datenschutzbeauftragter angegeben werden, insofern er bestellt ist. Sollte keiner bestellt worden sein (dies ist auch nicht immer nötig), so ist der Verantwortliche für die Einhaltung des Datenschutzes verantwortlich.

Das eigentliche Verarbeitungsverzeichnis

Ab hier beginnt das eigentliche Verzeichnis der Verarbeitungen.

Im Folgenden werden die einzelnen gesetzlichen Formulierungen zitiert, dies dient dem besseren Verständnis. Beispiele zu typischen Verarbeitungstätigkeiten finden Sie weiter unten.

die Zwecke der Verarbeitung;

Art. 30 (1) b) DSGVO

Es muss der Zweck angegeben werden. Z.B. das Verfahren Reisekostenabrechnung hat den Zweck „Abrechnung und Verwaltung von Dienstreisen“. Hier soll geprüft werden, ob das Verfahren auch zweckmäßig und angemessen ist.

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

Art. 30 (1) c) DSGVO

Das Gesetz verlangt hier Kategorien von Betroffenen und Daten zu nennen, d.h. es muss keine Einzelaufstellung von Betroffenen und Daten durchgeführt werden. Für das Reisekosten-Beispiel wäre es also ausreichend als Betroffenenkategorie nur “Beschäftigte” anzugeben und als Datenkategorien “Reisedaten” und “Arbeitnehmerstammdaten“ aufzunehmen. In der Praxis wäre es allerdings angeraten, die personenbezogenen Daten genau zu benennen, dies erleichtert das Datenschutzmanagement erheblich.

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

Art. 30 (1) d) und e) DSGVO

Briefumschlag, Empfänger von Date nach DSGVO.

Dieser Abschnitt des Gesetzes behandelt die Empfänger der personenbezogenen Daten, also die Frage, wem die Daten „geschickt“ werden. Empfänger können innerhalb der Organisation liegen (z.B. gewisse Abteilungen) oder außerhalb (z.B. E-Mail Dienstleister, Zweigstellen). Darüber hinaus müssen Transfers in Drittländer besonders dokumentiert werden, denn grundsätzlich wird angenommen, dass in Ländern außerhalb der EU kein angemessenes Schutzniveau vorherrscht und deswegen geeignete Garantien ausgehandelt werden müssen.

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

Art. 30 (1) f) DSGVO

Das Löschen von Daten nimmt einen wichtigen Platz in der DSGVO ein. Das Recht auf Vergessenwerden, welches in der DSGVO verankert ist, kommt auch im Verfahrensverzeichnis zum Ausdruck. Es müssen also die üblichen Fristen für die Löschung der Daten festgehalten werden. Dies sollte für jedes Verfahren einzeln aufgeschlüsselt werden. So hat das Verfahren “Reisekostenabrechnung” (ggf. mehrere Jahre) andere Löschfristen als das Verfahren “Videoüberwachung” (meistens wenige Tage). Ein weiterer praktikabler Weg ist, auf ein umfangreiches Löschkonzept zu verweisen und im VVT direkt keine oder nur allgemeine Löschfristen aufzuführen.

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Art. 30 (1) g) DSGVO

Zur Wahrung der Sicherheit der Verarbeitung gem. Artikel 32 (1) DSGVO sollten sog. technische und organisatorische Maßnahmen (TOM) ergriffen und kodifiziert werden. Diese sollten für alle Verarbeitungen gelten und ggf. für einzelne Verfahren angepasst bzw. erweitert werden. Meinstens bietet es sich hier an, einfach auf die TOM zu verweisen, welche an anderer zentraler Stelle verwaltet werden.

Zusätzliche Bestandteile

Zusätzlich zu den oben genannten Angaben, muss gem. neuem BDSG auch die Rechtsgrundlage genannt werden, auf die sich die Verarbeitung bezieht.

Die Grundlagen können sein:

  • Einwilligung der betroffenen Person,
  • Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
  • Erfüllung einer rechtlichen Verpflichtung,
  • Schutz lebenswichtiger Interessen,
  • Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt,
  • Interessenabwägung.

Mit den rein gesetzlichen Inhalten ist es aber theoretisch nicht getan. Es muss außerdem ein Datenschutzsystem nachgewiesen werden, also es muss auch dokumentiert werden, wie allgemein die Prozesse strukturiert sind im Unternehmen. Werden Mitarbeiter geschult? Was sind die Ziele bzgl. Datenschutz im Unternehmen?

Daten auf Bildschirm (Verfahrensverzeichnis)

Die Inhalte des Verfahrensverzeichnisses in der Praxis

Die gesetzlichen Regelungen sind natürlich bindend, allerdings kann es in der Praxis effizienter sein, das Verfahrensverzeichnis in fünf logische Teile aufzuspalten:

  • Hauptblatt
  • Das eigentliche Verzeichnis
  • Risikoanalyse
  • Technische und organisatorische Maßnahmen
  • Löschkonzept

Der Hauptblatt besteht demnach aus an sich unveränderlichen Informationen und sollte auf die erste Seite des Verzeichnisses von Verarbeitungstätigkeiten:

  • Anschrift und Vertreter der verantwortlichen Stelle
  • Ggf. Niederlassung in der EU
  • Informationen zum Datenschutzbeauftragten
  • Verweis auf die technischen und organisatorischen Maßnahmen
  • Grundsätzliches Datenlöschungskonzept, welches für alle Verfahren gilt
  • Grundsätzliches Vorgehen bei Übermittlungen in Drittstaaten

Danach kommt das eigentliche Verzeichnis von Verarbeitungstätigkeiten:

  • Bezeichnung der Verarbeitungstätigkeit
  • Name der eingesetzten Tools oder Dienstleistung
  • Datum des Beginns der Nutzung des Verfahrens
  • Datum der letzten Überprüfung des Verfahrens
  • Verantwortliche Abteilung innerhalb des Unternehmens
  • Name und Kontaktdaten des Verantwortlichen innerhalb des Unternehmens
  • Zwecke der Verarbei­tungstätigkeit
  • Betroffenengruppen
  • Datenpunkte / -kategorien
  • Empfänger / Kategorien von Empfängern
  • Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage)
  • Übermittlung Drittstaaten (inkl. Erfassung der Grundlage der Übertragung)
  • Spezielle Löschfristen
  • Spezielle technische und organisatorische Maßnahmen
  • Unterschrift des Verantwortlichen.

Im Anschluss wird jedes Verfahren einer Risikoanalyse unterzogen und einschätzt, ob eine Datenschutz-Folgenabschätzung nötig ist oder nicht.

Zum Schluss sollten die allgemeinen technischen und organisatorische Maßnahmen aufgeführt werden.

Auf das Löschkonzept wird ja bereits im Hauptteil hingewiesen.

Tipp aus der Praxis

Diese Vorgehensweise wirkt etwas über das gesetzliche Maß hinausgehend, erleichtert aber das Datenschutzmanagement ungemein.

Form und Sprache für das Verzeichnis der Verarbeitungstätigkeiten

Grundsätzlich muss das Verzeichnis gem. Art. 30 Abs. (3) DSGVO schriftlich geführt werden, dabei wird ausdrücklich die elektronische Form erlaubt. Wichtig hierbei zu wissen ist allerdings, dass die Aufsichtsbehörden entscheiden dürfen, in welchem Format das Verarbeitungsverzeichnis vorzulegen ist. Z.B. wäre es möglich, dass Sie Ihr VVT für eine Behörde ausdrucken müssen.

Deutsche Flagge, das Verarbeitungsverzeichnis muss ggf. in Deutsch verfasst werden.

Der Verantwortliche sollte in der Lage sein, das Verzeichnis deutschen Aufsichtsbehörden auch in deutscher Sprache vorzulegen.

Verarbeitungstätigkeiten nach DSGVO – Beispiele und Definition

Bei der Beantwortung der Frage, was eine Verarbeitungstätigkeit ausmacht und wie sie zu definieren ist, ist die DSGVO nicht eindeutig. Allerdings ist es wichtig eine Verarbeitungstätigkeit zu identifizieren, um sie später in das gesetzlich vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.

Die gesetzliche Definition einer Verarbeitungstätigkeit

Die DSGVO verpflichtet jeden, der personenbezogene Daten in seinem Unternehmen verarbeitet, all diese Verarbeitungsprozesse innerhalb des Unternehmens zu dokumentieren (Artikel 30 DSGVO). Es gibt dabei bestimmte Pflichtbestandteile, welche in ein Verzeichnis von Verarbeitungstätigkeiten müssen.

Der Begriff Verarbeitungstätigkeit ist als solcher in der EU-Datenschutz-Grundverordnung nicht konkret definiert. Auf Grund dessen muss auf Art. 4 Nr. 2. DSGVO zurückgegriffen werden, welcher das Wort „Verarbeitung“ definiert.

[…] jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Art. 4 Nr. 2 DSGVO

Demnach müssen als wichtigstes Kriterium personenbezogene Daten verarbeitet werden. Dabei unterscheidet das Gesetz nicht zwischen manueller oder automatisierter Verarbeitung. Eine Kartei, welche händisch beschrieben wird, ist also genauso zu behandeln, wie eine Excel Tabelle, die jeden Tag automatisiert befüllt wird. Darüber hinaus zählt die DSGVO noch konkret auf, welche Arten der Verarbeitung eingeschlossen sind.

Tipp aus der Praxis

Auf Grund der weiten Definition im Gesetz und der Vielzahl von persönlichen Daten in einem Unternehmen, müssen viele Verarbeitungen erfasst werden. Es ist davon auszugehen, dass alles ein Verfahren darstellt, was persönliche Daten beinhaltet.

Dieser Katalog ist nicht allumfassend, das bedeutet, dass selbst wenn die Tätigkeit nicht aufgezählt ist, davon auszugehen ist, dass es sich um eine Verarbeitung im Sinne des Datenschutzrechts handelt.

Art und Zweck der Datenverarbeitung allgemeines Beispiel

Nach Datenschutzgesetz müssen die Zwecke der Verarbeitung angegeben werden. Grundsätzlich ist hier zu beachten, dass die Zwecke der Datenverarbeitung klar und auch für einen Dritten verständlich beschrieben werden. Allerdings muss die Beschreibung auch nicht zu sehr ausufern, es reicht eine kurze und knappe Beschreibung.

Beispiel Zweck der Datenverarbeitung positiv: Kommunikation zwischen Mitarbeitern und Kunden und Stammdatenpflege.

Beispiel Zweck der Datenverarbeitung negativ: Speicherung von Daten.

10 Bsp. für typische Verarbeitungstätigkeiten nach DSGVO

Welche Verarbeitungstätigkeiten kommen in Betracht? Wo werden personenbezogene Daten verarbeitet? Der folgende Abschnitt soll Ihnen genau das anhand von 10 typischen Beispielen für Verarbeitungstätigkeiten erläutern, die wohl in jedem Unternehmen eine Rolle spielen. Zu jeder Verarbeitungstätigkeit wird auch ein Zweck der Datenverarbeitung als Beispiel genannt.

Tipp aus der Praxis

Natürlich stoßen Sie in Ihrem Unternehmen auf weitere individuelle Verarbeitungstätigkeiten. Diese zehn dargestellten Tätigkeiten sind jedoch typischerweise in einem Unternehmen anzutreffen und sollten daher, wenn diese auch bei Ihnen zutreffen, unbedingt in Ihr Verzeichnis aufgenommen werden.

Typische Verarbeitungstätigkeit 1: Elektronischer Zahlungsverkehr

Der elektronische Zahlungsverkehr ist überall anzutreffen. Besonders im betrieblichen Kontext werden so gut wie alle Transaktionen elektronisch abgewickelt, weswegen dieses Verfahren in jedes Verzeichnis von Verarbeitungstätigkeiten gehört.

Das Verfahren elektronischer Zahlungsverkehr gehört als Beispiel in ein Verzeichnis von Verarbeitungstätigkeiten.

Betreiben Sie einen Onlineshop oder vertreiben Ihre Produkte anderweitig im Internet, dann kommen Sie an elektronischen Zahlungsmitteln gar nicht mehr vorbei. Darunter fallen alle bargeldlosen Zahlungsvorgänge wie die Zahlung per Dauerauftrag, die Überweisung, Zahlungen mit Kreditkarten, aber auch PayPal oder Giropay.

Zwecke der Verarbeitungstätigkeit: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs, Ausgleich von Verbindlichkeiten

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, alle Teilnehmer am Verfahren

Typische Datenpunkte/ -kategorien: Name/ Vorname, Bankverbindung, ggf. weitere Rechnungsinformationen

Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung, ggf. Steuerberater

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Bsp. Verarbeitungstätigkeit: E-Mail Kommunikation

Auch die Kommunikation mit Kunden oder Geschäftspartnern läuft oft elektronisch ab. Wenn Sie regelmäßig im laufenden Geschäftsbetrieb via E-Mail kommunizieren, dann verarbeiten Sie hierbei eine Menge an persönlichen Daten. Aus diesem Grund muss auch dieses Verfahren in das Verzeichnis aufgenommen werden.

Zwecke der Verarbeitungstätigkeit: jegliche interne und externe Kommunikation zur Abwicklung des Kaufvorganges, Bearbeiten der Anfragen von Interessenten, Einholen von Auskünften anderer Stellen oder Unternehmen

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, ggf. weitere Daten, die die Beteiligten austauschen

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO). Außerdem Art 6 (1) Buchst. b) DSGVO möglich.

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Das Verfahren der Kalender- und Terminverwaltung

Die Verwaltung der Termine und des Kalenders wird besonders in großen Unternehmen regelmäßig mit einer Kalender- und Terminverwaltungssoftware gehandhabt. Beispiele für solche Software sind hauptsächlich Outlook oder Thunderbird. Allerdings werden auch in einer manuellen Termin- und Kalenderverwaltung personenbezogene Daten erfasst, sodass auch hier dieses Verfahren in Ihr Verzeichnis aufgenommen werden muss.

Kalender und Termine gehören in ein Verarbeitungsverzeichnis nach DSGVO.

Zwecke der Verarbeitungstätigkeit: Vereinbaren von Terminen, Planen von Terminvergaben und Personaleinsatz

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, ggf. die Adresse

Typische Empfänger / Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Die Kundenverwaltung (Kundendatenbank) von Privatkunden ist ein weiteres typisches Verfahren

Für die Verwaltung Ihrer Privatkunden kann eine Kundendatenbank, eine Kundendatei oder ein manuelles Ordersystem genutzt werden. Allenfalls muss hierüber ein Verzeichnis der Verarbeitung angefertigt werden, da Sie die Daten Ihrer Privatkunden verarbeiten. So gut wie jede Firma hat eine Datenbank, in der sie ihre (potentiellen) Kunden abspeichert. In diesem Fall liegt eindeutig eine Verarbeitungstätigkeit vor, da regelmäßig persönliche Daten verarbeitet werden. Sie werden erhoben, erfasst und gespeichert.

Zwecke der Verarbeitungstätigkeit: Kontakt- und Adressverwaltung, Kommunikation mit Kunden, Vereinfachen der Bearbeitung von Reklamationen

Typische Betroffenengruppen: Kunden/ Nutzer

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, Adresse, Geburtsdatum, Geschlecht, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO). Auch Art 6 (1) Buchst. b) DSGVO möglich.

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Auch das gehört in ein Verarbeitungsverzeichnis: Webauftritt / Betrieb einer Internetseite

Die Präsentation des eigenen Unternehmens findet zunehmend online statt. Es geht dabei um nahezu jede Form von Webauftritten, also klassische Webseiten, aber auch Facebook-Seiten oder Apps. Da in jedem Fall Server-Log Daten verarbeitet werden, muss dieses Verfahren mit in Ihr Verzeichnis aufgenommen werden.

Beispiele für Zwekce von Verarbeitungstätigkeiten nach DSGVO.

Zwecke der Verarbeitungstätigkeit: Werbung und Präsentation der Produkte oder des Unternehmens, Vertrieb der Produkte

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers

Typische Empfänger/ Kategorien von Empfängern: Ggf. Betreiber von Clouds, Hosting Anbieter

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Typisches Verfahren: Arbeitszeiterfassung

Wenn Sie die Arbeitszeiten Ihrer Mitarbeiter erfassen, um bspw. nachzuweisen, dass Sie den Mindestlohn zahlen, dann erfassen Sie somit deren persönliche Daten. Deshalb ist auch das eine Verarbeitungstätigkeit, die Sie in das Verzeichnis aufnehmen müssen.

Zwecke der Verarbeitungstätigkeit: Abrechnung der Arbeitszeit, Lohnzahlung

Typische Betroffenengruppen: Beschäftigte

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Teefonnummer, Adresse, E-Mailadresse, Bankverbindung, ggf. Gesundheitsdaten

Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO). Sie dient zum Zweck des Beschäftigtenverhältnisses nach §26 BDSG (neu).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Verfahren für Websites: Kontaktformulare und Chat-Tools

Neben der Kommunikation per Mail finden vor allem Erstkontakte über Kontaktformulare und Chat-tools statt. Hierunter können das klassische Kontaktformular, aber auch interaktivere Kommunikationsformen, wie Chat-Widgets oder Chat-Bots fallen.

Auch Chat Tools müssen in ein Verarbeitungsverzeichnis.

Zwecke der Verarbeitungstätigkeit: Erfassen von Kundenanfragen, Erstkontakt mit Interessenten, Vertragsanbahnung, Bearbeiten allgemeiner Anfragen

Typische Betroffenengruppen: Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, Telefonnummer, Adresse

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Das Verfahren: Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO

Die DS-GVO gibt den Betroffenen von Datenverarbeitung eine Reihe von Rechten in Artikel 15 bis 18 DSGVO. Danach ist jedes Unternehmen dazu verpflichtet, eine solche Anfragen des Betroffenen beantworten. Diese Verarbeitungstätigkeit muss damit unbedingt in das Verzeichnis aufgenommen werden.

Zwecke der Verarbeitungstätigkeit: Wahren der Betroffenenrechte der DSGVO, Dokumentation der Einhaltung

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden / Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig (Art 6 (1) Buchst. c) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Verarbeitungstätigkeit: Angebotserstellung

Auch bei einer Angebotserstellung werden persönliche Daten der potentiellen Kunden verarbeitet, insbesondere wenn es sich um eine individuelle Angebotserstellung handelt. Damit muss auch diese Verarbeitung in das Verzeichnis eingetragen werden.

Verarbeitungstätigkeiten für Kundendaten müssen nach DSGVO beachtet werden.

Zwecke der Verarbeitungstätigkeit: Kundenkommunikation, Erstellen von personalisierten Angeboten

Typische Betroffenengruppen: Kunden / Nutzer, Interessenten

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens, ggf. Dienstleister

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Das Verfahren der Dienstplanung

Nicht nur die Arbeitszeiterfassung ihrer Mitarbeiter verarbeitet deren persönliche Daten. Auch müssen in beinahe jedem Unternehmen die Dienste Ihrer Mitarbeiter geplant werden, damit der Geschäftsbetrieb ordentlich ablaufen kann. Damit ist auch diese Datenverarbeitung für das Verarbeitungsverzeichnis relevant.

Zwecke der Verarbeitungstätigkeit: Einsatz und Planung der Beschäftigten, Planung von Projekten

Typische Betroffenengruppen: Beschäftigte

Typische Datenpunkte / -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers

Typische Empfänger / Kategorien von Empfängern: ggf. an weitere Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Typische Verarbeitungen, die nach DSGVO nicht relevant sind

Es gibt durchaus auch Verarbeitungen, die auf den ersten Blick so wirken, als müssten diese in das Verzeichnis von Verarbeitungstätigkeiten mit aufgenommen werden. Es stellt sich aber heraus, dass diese oft gar keine personenbezogenen Daten verarbeiten und damit auch nicht relevant sind.

Bilanzerstellung

Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönlichen Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.

Nummern auf einem Buch.

Auswertung anonymisierter oder aggregierter Daten

Wenn Daten keinen Personenbezug (mehr) haben, können diese auch ohne weiteres verarbeitet werden und stehen nicht unter dem Schutz der Datenschutzgesetzgebung.

Ein Verzeichnis von Verarbeitungstätigkeiten erstellen – so geht’s

Benötigte Zeit: 14 Tage.

Anleitung zum Erstellen eines Verfahrensverzeichnisses

  1. Klären Sie die Verantwortlichketen und Ansprechpartner

    Machen Sie sich bevor Sie anfangen am besten eine Liste von allen Verantwortlichen, welche in Ihrem Unternehmen personenbezogene Daten verarbeiten könnten. Diese müssen Sie später hinzuziehen, wenn Sie mit Ihrem Wissen am Ende sind, bzw. zur finalen Abstimmung.

  2. Besorgen Sie sich eine Vorlage

    Wenn in Ihrem Unternehmen noch keine Dokumentation vorliegt, sollten Sie nicht bei 0 anfangen. Überlegen Sie sich eine Vorlage oder ein Muster zu kaufen oder eine der vielen kostenlosen Ressourcen zu nutzen, welche weiter oben verlinkt sind.

  3. Folgen Sie der Spur der Daten

    Gehen Sie am besten die Verarbeitungstätigkeiten durch, welche in Ihrer Vorlage zu finden sind und sortieren Sie aus, was definitiv nicht für Sie in Frage kommt.

    Anschließend sollten Sie alle die Verarbeitungstätigkeiten suchen, welche ggf. noch nicht über das Muster abgedeckt wurden.

  4. Checken Sie Ihre Vorlage auf die Pflichtbestandteile

    Bevor Sie mit dem Befüllen beginnen, versuchen Sie zu validieren, dass Sie wirklich das gesetzlich notwendige Maß einhalten. Weiter oben finden Sie Informationen, was unbedingt enthalten sein sollte.Optimale Struktur eines Verzeichnisses von Verarbeitungstätigkeiten.

  5. Beginnen Sie mit der Befüllung

    Bei einer guten Vorlage müssen Sie jetzt nicht mehr viel erledigen, sondern nur die Unternehmensspezifischen Informationen, wie Verantwortliche, Anschriften oder verwendete Tools hinzufügen. Sollten Sie eine leere Vorlage haben, so müssen Sie nun Rechtsgrundlagen, Löschfristen usw. selbst festlegen und in Ihr Verzeichnis von Verarbeitungstätigkeiten eintragen.Das optimale Hauptblatt nach DSGVO.

  6. Legen Sie die fertige Version den Verantwortlichen vor

    Nun haben Sie die erste Version Ihres neuen Verzeichnisses fertig. Nun gilt es, wenn Sie kein 1-Mann Betrieb sind, diese mit den Verantwortlichen abzustimmen. Werden die Löschfristen wirklich so eingehalten? Welche speziellen technischen und organisatorischen Maßnahmen gelten? Am Ende sollten Sie ein Dokument haben, welches mit den Verantwortlichen abgestimmt und bereit ist von einem Dritten (Aufsichtsbehörde) geprüft zu werden.

  7. Prüfung und Prozesse etablieren

    Sie sollten das Dokument nun möglichst revisionssicher ablegen und speichern. Prüfen Sie Ihr Verzeichnis regelmäßig, mindestens einmal pro Jahr sollten Sie die Angaben prüfen und anschließend eine neue Version erstellen.
    Etablieren Sie Prozesse, um Ihr Verzeichnis regelmäßig zu prüfen.

  8. Weitere Dokumentationen erstellen

    Mit dem Verzeichnis von Verarbeitungstätigkeiten ist es leider noch nicht getan. Eine Vielzahl weiterer Dokumentationen sind außerdem wichtig. In dieser Abbildung können Sie die wichtigsten überlicksartig finden:Alle Dokumentationspflichten nach DSGVO zusammengefasst.

Was sind die Folgen, wenn kein VVT erstellt wird?

Die Folgen, wenn kein korrektes Verfahrensverzeichnis nach Anfrage der Behörde vorgelegt werden kann, sind verheerend. So können Bußgelder in Höhe von 10.000.000 EUR oder von bis zu 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Dies ist umso ärgerlicher, wenn man bedenkt, wie leicht ein Verfahrensverzeichnis erstellt werden kann.

Kostenlose Beispiele, Muster und Vorlagen zum Verzeichnis der Verarbeitungstätigkeiten

Tipp aus der Praxis

Bei besonders kleinen Unternehmen, oder wenn Sie einen Juristen oder Datenschutzbeauftragten im Haus haben, reichen kostenlose Vorlagen zum Verarbeitungsverzeichnis oft aus. Sollten Sie aber Zeit sparen wollen und sicher gehen, dass alles richtig ist, sollten Sie entweder einen Profi engagieren oder kostenpflichtige Vorlagen wählen.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Häufige Fragen (FAQ) zum Thema Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Wem muss ich mein Verzeichnis von Verarbeitungstätigkeiten zur Verfügung stellen?

Lediglich die für Sie zuständige Datenschutzaufsichtsbehörde kann Einsicht verlangen. Das öffentliche Verfahrensverzeichnis existiert nicht mehr. Sie sollten das Verarbeitungsverzeichnis nach DSGVO nicht veröffentlichen, da es Informationen enthalten kann, welche Sie nicht jedermann zugänglich machen möchten.

Wie oft muss das Verzeichnis von Verarbeitungstätigkeiten aktualisiert werden?

Sie müssen das Verzeichnis nach DSGVO stets aktuell halten. In der Praxis hat sich ein jährlicher Turnus bewährt. Dies dient der Einhaltung des Grundsatzes der Grundsatz der Rechenschaftspflicht.

Welches ist die gesetzliche Grundlage zur Führung des Verzeichnisses von Verarbeitungstätigkeiten?

Art. 30 DSGVO ist die gesetzliche Grundlage für die Führung eines Verzeichnisses von Verarbeitungstätigkeiten.

Wie umfangreich muss ein Verzeichnis von Verarbeitungstätigkeiten sein?

Es müssen tatsächlich alle Verarbeitungstätigkeiten aufgeführt werden, welche in Ihrem Unternehmen vorkommen. Dies können bei kleinen Unternehmen wenige sein, bei großen bis zu 100.

Gehen Sie hier ruhig ins Detail, dies macht sich bei einer Prüfung positiv bemerkbar.

Muss ich mein Verzeichnis von Verarbeitungstätigkeiten ausdrucken und unterschreiben?

Grundsätzlich nicht. Das Gesetz schreibt dies nicht vor. Sie können Ihr Verzeichnis von Verarbeitungstätigkeiten z.B. komplett in Excel oder Word führen.

Es bietet sich aber an, dass die Verantwortlichen durch Ihre Unterschrift noch einmal auf die Wichtigkeit des Themas eingeschworen werden.

Wie lange benötige ich zum Erstellen eines VVT?

Das hängt maßgeblich von der Größe Ihres Unternehmens ab. Mit Recherche, Abstimmung mit anderen Abteilungen und Freigabeprozess kann dies Monate dauern. Mit vorausgefüllten Vorlagen nur wenige Stunden.

Wenn Sie z.B. ein Kleinstbetrieb ohne Mitarbeiter sind, dauert es wahrscheinlich nur wenige Stunden.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Ein Verzeichnis von Verarbeitungstätigkeiten ist das Verzeichnis aller datenschutzrechtlich relevanten Verarbeitungstätigkeiten, welches der Verantwortliche nach DSGVO zu führen hat. Das Verzeichnis von Verarbeitungstätigkeiten wird in Art 30 DSGVO definiert.

Was ist ein Verarbeitungsverzeichnis oder ein Verfahrensverzeichnis?

Ein Verarbeitungsverzeichnis oder ein Verfahrensverzeichnis ist lediglich ein anderes Wort für das in Art 30 DSGVO definierte Verzeichnis von Verarbeitungstätigkeiten (VVT).

Als Verfahrensverzeichnis wird das Verzeichnis aller DSGVO-relevanten Verarbeitungstätigkeiten (kurz: Verfahren) bezeichnet.

Welche Arten von Daten gibt es?

Arten von Daten werden gemäß DS-GVO in sog. Datenkategorien geordnet. Es gibt sehr viele Arten von Daten, wie z.B. Kundendaten, Metadaten, Nutzungsdaten, Textdaten, Sprachdaten, Leistungsdaten, Geburtsdaten.

Wer führt das Verfahrensverzeichnis?

Der Verantwortliche ist für das Führen des Verfahrensverzeichnisses zuständig. Er steht auch für die Korrektheit ein und muss es auf Verlangen der Datenschutzbehörde aushändigen können. Ein Irrglaube ist, der Datenschutzbeauftragte sei für die Erstellung und die Aktualisierung verantwortlich.

Gibt es typische Verarbeitungstätigkeiten, die in jedes Verzeichnis von Verarbeitungstätigkeiten gehören?

Ja, einige dieser Grundlagen-Tätigkeiten finden Sie im Artikel. Darüber hinaus liegt die Empfehlung bei mindestens 20 Verarbeitungen bei kleinen Unternehmen und bis zu 200 bei großen Unternehmen.

Folgen Sie am besten der Spur der Daten und zeichnen Sie jeden Prozess, jedes Tool und jede Abteilung auf, welche mit personenbezogenen Daten in Berührung kommt.

Wie identifiziere ich eine Verarbeitungstätigkeit nach DSGVO?

Der Begriff an sich ist nicht abschließend definiert. Grundsätzlich sollte auch hier jede Tätigkeit erfasst werden, welche mit personenbezogenen Daten zu tun hat.

Wie detailliert muss ich die Verarbeitungstätigkeit beschreiben?

Eine Verarbeitungstätigkeit sollte auf einem geeigneten Abstraktionsniveau beschrieben werden, so dass sie auch ein Dritter versteht. Allerdings sollte die Beschreibung auch nicht zu umfangreich erfolgen, da das Verzeichnis dann zu unübersichtlich werden kann.

Sie müssen außerdem die gesetzlich geforderten Mindestinhalte in ihr Verzeichnis aller Verarbeitungstätigkeiten integrieren. Oft übergangen werden dabei die Rechtsgrundlage und die Löschfristen, die wichtige Komponenten darstellen.

Was sind Verarbeitungstätigkeiten?

Grundsätzlich sind alle die Prozesse Verarbeitungen nach DSGVO, welche mit personenbezogenen Daten in Berührung kommen. Also z.B. Personalverwaltung, Spesenabrechnung, Kundendatenbanken, E-Mail Datenbanken usw.

Keine Verarbeitungen im Sinne der Datenschutzgesetzgebung sind Tätigkeiten, bei denen keine personenbezogenen Daten verarbeitet werden, z.B. die Erstellung eines Jahresabschlusses oder Messung von Maschinenleistung.

Fazit: Das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Eines der wichtigsten Elemente der DSGVO ist die Dokumentations- und Rechenschaftspflicht. Sie besagt, dass die Einhaltung des Datenschutzes nachgewiesen werden muss. Der Verantwortliche macht dies am einfachsten über ein umfangreiches und gesetzeskonformes Verzeichnis von Verarbeitungstätigkeiten (VVT).

In diesem Artikel haben Sie erfahren, wie Sie ein solches Verzeichnis aufstellen und was überhaupt Verfahren nach der Definition der DSGVO sind. Sie sollten nun in der Lage sein dieses Verzeichnis selbstständig zu erstellen, zu aktualisieren und zu prüfen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto