Verzeichnis von Verarbeitungstätigkeiten (VVT) inkl. Vorlage

07. November 2022 - Minuten Lesezeit

Am 25. Mai 2018 trat die Europäische Datenschutzverordnung (DSGVO) in Kraft. Seit diesem Zeitpunkt müssen die Verantwortlichen der Unternehmen und Einrichtungen alle Datenverarbeitungstätigkeiten dokumentieren und sich zwingend bei der Aufsichtsbehörde in ihrem Land registrieren.

Wenn Sie an der Verarbeitung personenbezogener Daten beteiligt sind, müssen Sie sicherstellen, dass Sie DSGVO konform handeln.

In diesem Artikel klären wir die wichtigsten Fragen zum Thema Verzeichnis von Verarbeitungstätigkeiten (VVT) und stellen Ihnen zudem ein kostenfreies Musterverarbeitungsverzeichnis zum Herunterladen zur Verfügung. Außerdem finden Sie wichtige Hinweise zum Verarbeitungsverzeichnis, die Sie kennen müssen, um die Einhaltung der Datenschutzvorschriften stets gewährleisten zu können.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten im Datenschutz und warum ist es notwendig?

Das Verzeichnis von Verarbeitungstätigkeiten – vor Einführung der DSGVO auch unter dem Namen "Verfahrensverzeichnis" bekannt – gem. Art. 30 DSGVO stellt eine bedeutende Dokumentationspflicht des Datenschutzes dar.

Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten ist gesetzliche Pflicht, sobald personenbezogene Daten erhoben, gespeichert oder verwendet werden. Das VVT ist damit zudem ein grundsätzlicher Bestandteil eines Datenschutz-Management-Systems (DSMS).

Was sind Verarbeitungstätigkeiten gemäß DSGVO und welche gibt es?

In der DSGVO selbst ist der Begriff „Verarbeitungstätigkeit“ nicht eindeutig definiert. Eine Verarbeitungstätigkeit kann als eine Abfolge von Verarbeitungsschritten verstanden werden, die einem einzigen übergeordneten Zweck dienen, wie einem bestimmten Geschäftsprozess. 

Der Begriff Verarbeitungstätigkeit beinhaltet folglich alle Prozesse, die durch die Verarbeitung personenbezogener Daten resultieren. Dies umfasst den Einsatz automatisierter, teilautomatisierter und nicht automatisierter Verfahren sowie die Verarbeitung personenbezogener Daten auf Papier. Bisher wurde im Datenschutz von Erhebung, Verarbeitung und Nutzung gesprochen. In der neuen Rechtssprache wird dies unter dem Begriff „Verarbeitung“ vereint, sodass die bloße Erhebung von Daten bereits eine Verarbeitungstätigkeit darstellt. 

Doch wie kann man Verarbeitungstätigkeiten im Arbeitsalltag identifizieren?
Im Folgenden finden Sie einige Beispiele:

Nutzung von Spezialsoftware oder Einrichtungen, mit welchen Mitarbeiterdaten erfasst, gespeichert oder aufbereitet werden: 

  • Zeiterfassungssysteme 
  • Digitale Personalakten
  • Elektronische Zutrittskontrollsysteme  
  • Videoüberwachung
  • etc.
Datenverarbeitungen aus dem Unternehmen im Verzeichnis von Verarbeitungstätigkeiten

Interne Standardprozesse, bei denen Mitarbeiterdaten kontinuierlich oder systematisch erfasst, gespeichert oder genutzt werden: 

Mitarbeiterdaten im Verzeichnis von Verarbeitungstätigkeiten

Wer ist zur Führung eines Verarbeitungsverzeichnisses verpflichtet? 

Gemäß Art. 30 DSGVO ist jede verantwortliche Stelle oder ggf. dessen Vertreter sowie jeder Auftragsverarbeitende dazu verpflichtet, dass das Verarbeitungsverzeichnis innerhalb ihrer Zuständigkeiten ordnungsgemäß erstellt und geführt wird.  

Bei dem Verantwortlichen handelt es sich nach Art. 4 Nr. 7 DSGVO um eine natürliche oder eine juristische Person, eine Behörde, eine Einrichtung oder eine andere Stelle, welche eigenständig oder in Zusammenarbeit mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. 

Bei einem Auftraggeber hingegen handelt es sich nach Art. 4 Nr. 8 DSGVO eine natürliche oder eine juristische Person, eine Behörde, eine Einrichtung oder weitere Stelle, welche personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. 

Der Unterschied der Verarbeitungsverzeichnisse von Verantwortlichen und Auftraggebern ist in Art. 30 Abs. 1 und Art. 30 Abs. 2 DSGVO noch einmal konkret definiert. 

Bei Unternehmen außerhalb der Europäischen Union handelt es sich bei dem Verantwortlichem um einen in der EU benannter Vertreter. 

Der Datenschutzbeauftragte des jeweiligen Unternehmens kann hier selbstverständlich als Ratgeber fungieren und Hilfestellung leisten. Das Führen des VVTs kann auch alternativ an ihn delegiert werden. Die Verantwortung obliegt allerdings der Geschäftsleitung. 

Die Inhalte des VVTs, d. h. welche Daten von den verschiedenen Abteilungen des Unternehmens wie verarbeitet werden, müssen jedoch von den verschiedenen Abteilungen bereitgestellt werden. Außerhalb der Fachbereiche fehlt häufig das notwendige Detailwissen über die einzelnen Geschäftsprozesse. Daher ist die Handhabung des Verarbeitungsverzeichnisses so gesehen gleichsam Aufgabe des gesamten Unternehmens. 

Wann ist man von der Führungspflicht des Verarbeitungsverzeichnisses befreit? 

Ein Verarbeitungsverzeichnis muss gem. Art. 30 Abs. 5 DSGVO von Einrichtungen und Unternehmen nicht geführt werden, wenn dort weniger als 250 Mitarbeitende beschäftigt sind. 

Es gibt jedoch Ausnahmen, wenn die verantwortliche Stelle eine Verarbeitung durchführt, die...

Risiken

...Risiken für Rechte und Freiheiten der Betroffenen bergen (z. B. Videoüberwachungs- oder Scoringmaßnahmen),

Regelmäßigkeit

...regelmäßig erfolgt (z. B. stete Verarbeitung von Kundendaten) oder

besondere Datenkategorien

...eine Verarbeitung besonderer Datenkategorien lt. Art. 9 Abs. 1 DSGVO (z. B. Gesundheits- oder Religionsdaten) bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen sowie Straftaten nach Art. 10 DSGVO beinhalten.

Doch was bedeutet „regelmäßige Verarbeitung“ in diesem Zusammenhang? Fast alle Unternehmen verfügen über ein Personal- oder Kundenmanagement, welches das Führen von Personalakten, das Verwalten von Kundendatenbanken oder das Versenden von Newslettern umfasst, besitzen Websites und verwalten Kundentelefonnummern auf Smartphones. Selbst kleine Produktionsunternehmen speichern Mitarbeiterdaten in elektronischer Form und führen Geschäfte per E-Mail durch. „Nicht nur gelegentliche“ Datenverarbeitung ist in der heutigen Zeit also der absolute Normalfall, sodass ebenso Unternehmen mit weniger als 250 Beschäftigten, wie beispielsweise Selbstständige oder Handwerker, selten von der Pflicht zur Einrichtung eines Verarbeitungsverzeichnisses entbunden sind.

Wer mit besonders geschützten Daten umgeht, wie etwa ein Pflegedienst, der Gesundheitsdaten speichert oder eine kleine Beratungsstelle, welche mit Diskriminierungsfällen betraut ist, verarbeitet sicherlich auch Informationen über die ethnische Herkunft oder Weltanschauung. Bei diesen speziellen Datenkategorien muss ebenfalls stets ein Verarbeitungsverzeichnis erstellt werden. 

Regelmäßige Vorgänge der Datenverarbeitung im Verzeichnis von Verarbeitungstätigkeiten

Form und Inhalt/Aufbau des Verzeichnisses von Verarbeitungstätigkeiten

In welcher Form und Sprache ist das VVT zu führen?

Gemäß Art. 30 Abs. 3 DSGVO ist das Verarbeitungsverzeichnis des Verantwortlichen in schriftlicher Form oder elektronischer Textform zu führen. Da die Amtssprache nach dem deutschen Verwaltungsverfahrensgesetz Deutsch ist, sollte das VVT in deutscher Sprache geführt werden. Internationale Unternehmen, die Englisch als Unternehmenssprache verwenden, müssen möglicherweise eine Übersetzung anfertigen lassen, wenn die Aufsichtsbehörde Einsicht verlangt und eine deutschsprachige Führung des VVTs voraussetzt. 

Was muss das Verarbeitungsverzeichnis beinhalten? 

Folgende Punkte müssen innerhalb eines Verarbeitungsverzeichnisses inkludiert sein: 

  • der Name und die Kontaktdaten des Verantwortlichen sowie ggf. des Mitverantwortlichen, 
  • der des Vertreters des Verantwortlichen sowie 
  • eines etwaigen Datenschutzbeauftragten; 
  • die Zwecke der Verarbeitung; 
  • eine Darlegung der Kategorien betroffener Personen und 
  •  der Kategorien personenbezogener Daten sowie die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt wurden oder werden – einschl. Empfänger in Drittländern oder internationalen Organisationen; 
  • ggf. Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie die Dokumentierung geeigneter Garantien; 
  • Wenn möglich, die erwarteten Fristen für die Löschung verschiedener Kategorien von Daten; 
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, falls möglich

Das erweiterte Verarbeitungsverzeichnis

Es kann darüber hinaus ein erweitertes Verarbeitungsverzeichnis, ergänzend zu den Mindestinhalten aus Art. 30 DSGVO geführt werden. 

Dieses ist zwar nicht gesetzlich vorgeschrieben, aber durchaus sinnvoll, da es als Nachweis der Einhaltung datenschutzrechtlicher Vorschriften dient und im Falle einer Prüfung durch eine Aufsichtsbehörde den Nachweis der Rechtmäßigkeit der Datenverarbeitung erleichtert. D. h. es gibt einen Überblick über sämtliche Datenströme im und aus dem Unternehmen heraus. Dadurch können die Haftungspflichten nach der DSGVO erfüllt werden, die nicht vom Mindestinhalt von Verarbeitungsverzeichnissen nach Art. 30 DSGVO erfasst werden. 

Der größte Vorteil ist, dass selbst bei der Prüfung eines einzelnen Punktes die notwendigen Informationen schnell gefunden werden, da die Verzeichnisstruktur immer gleich ist. 

Das erweiterte Verarbeitungsverzeichnis kann z. B. folgende Angaben enthalten: 

  • Angaben zu den Informationspflichten (ob und wer informiert werden muss und wie die Information bereitgestellt wird) 
  • Involvierte externe Dienstleister mit (potenziellem) Zugriff auf personenbezogene Daten 
  • Bestehende Auftragsverarbeitungsverhältnisse inkl. der Pflicht zur Schließung von AV bzw. Vertraulichkeitsvereinbarungen 
  • Rollen- & Berechtigungskonzept
  • Datenschutz-Folgenabschätzung (DSFA) 
  • Allgemeine Risikobewertung 
  • Maßnahmen zur Verbesserung des Datensicherheitsniveaus 
  • Dokumentation von Kontrollen

Wie detailliert muss das Verzeichnis von Verarbeitungstätigkeiten sein?

Eine zu detaillierte Aufteilung kann die Anzahl der Verarbeitungsaktivitäten verschleiern und den Verwaltungsaufwand unnötig erhöhen. Eine zu grobe Aufschlüsselung (z. B. „Verwaltung personenbezogener Daten“) hingegen verhindert sinnvolle Prüfungen der Datenschutzkonformität. Um Ihre übergeordneten Ziele zu bestimmen, bietet es sich an, Ihre bestehenden Geschäftsprozesse oder Verantwortungsbereiche zu betrachten. Eine Abgrenzung kann auch auf dem technischen System beruhen, das der Verarbeitungstätigkeit zugrunde liegt. Es ist jedoch nicht erforderlich, jedes IT-System als separate Verarbeitungstätigkeit zu betrachten. Abteilungen sind sinnvoll, wenn Verarbeitungstätigkeiten von mehr als einer Abteilung verantwortet werden. Rein pragmatisch können kleinere Unternehmen bei der Definition ihrer Verarbeitungstätigkeiten offener für eine genauere Aufschlüsselung sein. 

Bußgeld bei unzureichendem oder fehlendem Verarbeitungsverzeichnis

Das VVT ist auf Verlangen den Aufsichtsbehörden vorzulegen. Diese setzen fest voraus, dass das Verarbeitungsverzeichnis kontinuierlich geführt und gepflegt wird. Eine lange Vorlagefrist wird überdies von den Behörden i. d. R. nicht gewährt. Sinn und Zweck des VVTs ist, gegenüber Aufsichtsbehörden nachzuweisen, dass Datenschutzvorkehrungen vom Unternehmen getroffen und eingehalten wurden. Die enthaltenen Informationen des Verarbeitungsverzeichnisses können dem Verantwortlichen somit weitere Fragen und Prüfungsvorgänge der Behörden ersparen. 

Bußgelder wegen fehlendem Verzeichnis von Verarbeitungstätigkeiten

Aber was geschieht, wenn das Verzeichnis von Verarbeitungstätigkeiten nicht ausreichend oder gar nicht geführt wird?

Bei Verstößen gegen die Dokumentationspflicht drohen hohe Sanktionen in Form eines Bußgeldes. Der rechtliche Rahmen für diese Bußgelder orientiert sich an dem regulären DSGVO-Rahmen. Bis zu 10 Millionen Euro oder bis zu 2 % des Vorjahresumsatzes eines Unternehmens können verhängt werden. 

Zuletzt erlegte eine italienische Datenschutzbehörde im September 2021 einem Unternehmen, welches Parkuhren bereitstellte, aufgrund eines fehlenden Verarbeitungsverzeichnisses sowie nicht nachzuvollziehender Datenflüsse, eine Geldstrafe in Höhe von 800.000 € auf.  

In milderen Fällen können Aufsichtsbehörden lt. Art. 58 Abs. 1 DSGVO anstelle einer Geldstrafe eine Verwarnung aussprechen. Ob und in welcher Höhe ein Bußgeld verhängt wird, orientiert sich stets individuell an der jeweiligen Leistungsfähigkeit des Unternehmens und an den Details des Verstoßes. 

Wie häufig muss das Verarbeitungsverzeichnis aktualisiert und geprüft werden? 

Ein Verzeichnis für Verarbeitungstätigkeiten sollte regelmäßig gewartet und auf dem neuesten Stand gehalten werden. Das VVT muss aktualisiert werden, sobald neue Verarbeitungstätigkeiten mit personenbezogenen Daten hinzugefügt werden. Zusätzlich sollte das Verarbeitungsverzeichnis auch regelmäßig auf die Aktualität aller Einträge geprüft werden. Ein gutes Datenschutz-Management-System kann hier helfen und sich als sehr nützlich erweisen.  

Sie benötigen Unterstützung bei der Implementierung eines zuverlässigen Datenschutz-Management-Systems? 

Das digitale Datenschutz-Management-System (DSMS) der exkulpa gmbh

Das Datenschutz-Management-System der exkulpa gmbh bietet einen umfassenden ISO-konformen Ansatz zum Datenschutz sowie Lösungen und Formulare direkt aus unserer Beratungspraxis. So können Sie sicher sein, dass die gesamten Datenschutzprozesse Ihres Unternehmens oder Ihrer Organisation immer aktuell und effektiv sind. Nie war es einfacher, personenbezogene Daten zu schützen und die Einhaltung des Datenschutzes zu dokumentieren. 

 Zur Installation des Datenschutz-Management-Systems bedient sich exkulpa an einem eigenständig entwickelten 21-Punkte-Plan. Auf dieser Basis werden alle gesetzlichen Pflichten und Maßnahmen strukturiert, dokumentiert und konsequent nachvollziehbar umgesetzt. 

Gerne erörtern wir Ihnen in einem unverbindlichen Beratungsgespräch, wie sich der 21-Punkte-Plan auch in Ihrem Unternehmen effektiv umsetzen lässt. 

Kostenloser Download: Muster Verarbeitungsverzeichnis für Auftraggeber bzw. den Verantwortlichen

Sie sind auf der Suche nach einem datenschutzkonformen Muster-Verzeichnis von Verarbeitungstätigkeiten?

Hier finden Sie eine kostenlose Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten zum Herunterladen als PDF-Datei:

Muster-für-ein-Verzeichnis-von-Verarbeitungstätigkeiten-nach-DSGVO--exkulpa gmbh

Fazit

Ein ordnungsgemäß geführtes Verarbeitungsverzeichnis ist ein bedeutsamer Bestandteil des Datenschutz-Management-Systems. Dies kann eine anstrengende Aufgabe sein, insbesondere für größere Unternehmen mit mehreren Abteilungen und Mitarbeitern, die ständig Daten sammeln. Um Ihnen das Leben zu erleichtern, haben wir ein kostenloses Muster des Verzeichnisses der Verarbeitungstätigkeiten erstellt, das Sie verwenden und an die Bedürfnisse Ihres Unternehmens anpassen können. Wenn Sie dieses Dokument regelmäßig überprüfen und aktualisieren, können Sie Abmahnungen oder Bußgelder im Zusammenhang mit Datenschutzverstößen vermeiden.

Wenn Sie Fragen oder Beratungsbedarf zum Verzeichnis von Verarbeitungstätigkeiten oder zum Thema Datenschutz haben, wenden Sie sich gerne über unser Kontaktformular an uns.

Natascha Meyer

Natascha Meyer
Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

>