up

Knowledge-Base

Wie können wir helfen?

Verzeichnis der Verarbeitungstätigkeiten: Alles, was du wissen musst

Ein umfassender Überblick über das Verarbeitungsverzeichnis gemäß Artikel 30 der DSGVO mit Anleitung zur Erstellung und Umsetzung
TL;DR

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Dokumentationspflicht für Unternehmen und Organisationen nach der DSGVO. Es ist eine Liste aller Verarbeitungsvorgänge personenbezogener Daten, die in einem Unternehmen oder einer Organisation durchgeführt werden. Die Pflicht zur Erstellung gilt für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, unabhängig von der Größe des Unternehmens oder der Art der personenbezogenen Daten. Das Verzeichnis dient dazu, den Verantwortlichen für die Verarbeitung personenbezogener Daten seine Rechenschaftspflicht gegenüber der Datenschutz-Aufsichtsbehörde und den betroffenen Personen nachzuweisen. Es kann auch als Grundlage für die Planung und Umsetzung von Datenschutzmaßnahmen dienen und als Instrument zur Kontrolle und Überwachung der Einhaltung der DSGVO eingesetzt werden.

Was ist das Verzeichnis der Verarbeitungstätigkeiten?

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist eine Liste aller Verarbeitungsvorgänge personenbezogener Daten, die in einem Unternehmen oder einer Organisation durchgeführt werden. In dem Verzeichnis werden die folgenden Angaben zu jeder Verarbeitungstätigkeit erfasst:

  • Name und Kontaktdaten des Verantwortlichen oder des Auftragsverarbeiters
  • Bezeichnung der Verarbeitungstätigkeit
  • Zweck der Verarbeitung
  • Kategorien der betroffenen Personen
  • Kategorien personenbezogener Daten
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • Übermittlung an ein Drittland oder eine internationale Organisation
  • Vorhandensein eines angemessenen Schutzniveaus
  • Dauer der Speicherung
  • Beschreibung der technischen und organisatorischen Maßnahmen

Weitere optionale Angaben in der Verarbeitungstätigkeit

Neben den in Art. 30 Abs. 1 DSGVO genannten Pflichtangaben können im Verzeichnis der Verarbeitungstätigkeiten auch folgende optionale Angaben aufgenommen werden:

  • Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten: Die Angabe der Rechtsgrundlage ist zwar nicht Pflicht, kann aber bei der Umsetzung der DSGVO hilfreich sein. Beispiele hierfür sind:
  • Einwilligung der betroffenen Person
  • Vertrag mit der betroffenen Person
  • Erfüllung einer rechtlichen Verpflichtung
  • Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten
  • Die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes: Die Angabe der technischen und organisatorischen Maßnahmen kann bei der Kontrolle und Überwachung der Einhaltung der DSGVO hilfreich sein, das könnten etwa folgende Maßnahmen sein:
  • Verschlüsselung der personenbezogenen Daten
  • Zugriffsbeschränkung auf die personenbezogenen Daten
  • regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen
  • Die Risiken für die Rechte und Freiheiten der betroffenen Personen: Die Angabe der Risiken kann bei der Umsetzung von Datenschutzmaßnahmen hilfreich sein, beispielsweise:
  • Die Verarbeitung personenbezogener Daten kann für die betroffenen Personen zu erheblichen Risiken führen, z. B. wenn die personenbezogenen Daten für Marketingzwecke verwendet werden.
  • Weitere Angaben, die für die Erfüllung der datenschutzrechtlichen Anforderungen erforderlich sind: Dazu können insbesondere Angaben über die pseudonymisierte Verarbeitung personenbezogener Daten oder die Übermittlung personenbezogener Daten an ein Drittland gehören:
  • Pseudonymisierung der personenbezogenen Daten
  • Übermittlung personenbezogener Daten an ein Drittland

Die Entscheidung, welche optionalen Angaben im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden, hängt von den individuellen Gegebenheiten des Unternehmens oder der Organisation ab.

Wer ist verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen?

Die Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten gilt für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Dies gilt unabhängig von der Größe des Unternehmens oder der Organisation und der Art der personenbezogenen Daten, die verarbeitet werden.

Warum ist ein Verzeichnis der Verarbeitungstätigkeiten wichtig?

Das Verzeichnis der Verarbeitungstätigkeiten dient mehreren Zwecken:

  • Rechenschaftspflicht: Das Verzeichnis dient dazu, den Verantwortlichen für die Verarbeitung personenbezogener Daten zu ermöglichen, seine Rechenschaftspflicht gegenüber der Datenschutz-Aufsichtsbehörde und den betroffenen Personen nachzuweisen.
  • Planung und Umsetzung von Datenschutzmaßnahmen: Das Verzeichnis kann als Grundlage für die Planung und Umsetzung von Datenschutzmaßnahmen dienen.
  • Kontrolle und Überwachung: Das Verzeichnis kann als Instrument zur Kontrolle und Überwachung der Einhaltung der DSGVO eingesetzt werden.

Wie wird ein Verzeichnis der Verarbeitungstätigkeiten erstellt?

Die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten kann in mehreren Schritten erfolgen:

  1. Ermittlung aller Verarbeitungsvorgänge: Im ersten Schritt musst du alle Verarbeitungsvorgänge in deinem Unternehmen oder deiner Organisation ermitteln. Dazu kannst du einen Prozess- oder Datenfluss-Analyse durchführen.
  2. Erfassung der erforderlichen Angaben: Nachdem du alle Verarbeitungsvorgänge ermittelt hast, musst du für jeden Verarbeitungsvorgang die erforderlichen Angaben erfassen.
  3. Erstellung des Verzeichnisses: Die erfassten Angaben kannst du dann in einem Verzeichnis zusammenfassen. Das Verzeichnis kann in einer digitalen oder papiergebundenen Form erstellt werden.

Form und Sprache des Verzeichnisses der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) muss in schriftlicher oder elektronischer Form geführt werden. Die Verwendung einer bestimmten Software oder eines bestimmten Systems ist nicht vorgeschrieben. Allerdings empfehlen wir die Nutzung eines Datenschutz-Management-Systems, wie unser Digimojo DPMS. Damit sparst du dir redundante Erfassung der Daten und behältst den Überblick. Die Sprache des VVT ist frei wählbar, in der Regel wird aber die Amtssprache des Landes verwendet, in dem das Unternehmen oder die Organisation seinen Sitz hat.

Aktualisierung und Überprüfung des Verzeichnisses der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten muss regelmäßig aktualisiert und überprüft werden. Dies ist erforderlich, um sicherzustellen, dass das VVT stets den aktuellen Gegebenheiten entspricht. Die Häufigkeit der Aktualisierung und Überprüfung hängt von den individuellen Gegebenheiten des Unternehmens oder der Organisation ab.

Weitere Vorteile des Verzeichnisses der Verarbeitungstätigkeiten

Neben der Erfüllung der gesetzlichen Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten bietet das VVT noch weitere Vorteile. So kann das VVT als Grundlage für die Planung und Umsetzung von Datenschutzmaßnahmen dienen. Außerdem kann das VVT als Instrument zur Kontrolle und Überwachung der Einhaltung der DSGVO eingesetzt werden.

Praxis-Tipps zur Erstellung eines Verarbeitungsverzeichnisses

Bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten solltest du folgende Praxis-Tipps beachten:

  • Beginne mit einer einfachen Übersicht: Erstelle zunächst eine einfache Übersicht über alle Verarbeitungsvorgänge in deinem Unternehmen oder deiner Organisation.
  • Nimm dir Zeit: Die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten kann einige Zeit in Anspruch nehmen. Nimm dir daher ausreichend Zeit, um alle Verarbeitungsvorgänge sorgfältig zu dokumentieren.
  • Hole dir Unterstützung: Wenn du dir nicht sicher bist, wie du ein Verzeichnis der Verarbeitungstätigkeiten erstellen sollst, kannst du einen Datenschutzbeauftragten hinzuziehen.
  • Lege die Verantwortlichkeiten fest: Das Verzeichnis der Verarbeitungstätigkeiten sollte von einer verantwortlichen Person oder einem Team geführt werden. Binde dabei deinen Datenschutzbeauftragten ein.
  • Regelmäßige Überprüfung: Das Verzeichnis der Verarbeitungstätigkeiten sollte regelmäßig einem Datenschutz-Audit unterzogen werden.

Welche Konsequenzen drohen bei Nichteinhaltung der Pflicht zur Erstellung eines Verarbeitungsverzeichnisses?

Bei Nichteinhaltung der Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten drohen empfindliche Bußgelder. Die Höhe der Bußgelder kann bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens betragen.

Zusammengefasst

Das Verzeichnis der Verarbeitungstätigkeiten ist eine wichtige Dokumentationspflicht für Unternehmen und Organisationen nach der DSGVO. Die Erstellung eines Verzeichnisses kann einige Zeit in Anspruch nehmen, ist aber eine Investition in den Datenschutz.

10 Beispiele für Verarbeitungstätigkeiten

  • Kundendatenverwaltung: Erfassung und Verarbeitung von Kundendaten wie Name, Adresse, E-Mail-Adresse, Telefonnummer, Zahlungsdaten, etc. für die Erfüllung von Verträgen, die Bereitstellung von Produkten und Dienstleistungen, die Kundenbetreuung und das Marketing.
  • Personalverwaltung: Erfassung und Verarbeitung von Mitarbeiterdaten wie Name, Adresse, Geburtsdatum, Kontaktdaten, Qualifikationen, etc. für die Einstellung, Verwaltung und Entlassung von Mitarbeitern, die Lohn- und Gehaltsabrechnung, die Personalentwicklung und das Gesundheitsmanagement.
  • Videoüberwachung: Erhebung und Verarbeitung von Videodaten von Personen zum Zwecke der Sicherheit und Ordnung.
  • Online-Marketing: Erhebung und Verarbeitung von Daten über Website-Besucher zum Zwecke der Werbung und des Marketings.
  • Soziale Medien: Erhebung und Verarbeitung von Daten über Nutzer von sozialen Netzwerken zum Zwecke der Kommunikation, des Marketings und der Werbung.
  • Cloud-Computing: Erhebung und Verarbeitung von Daten auf Servern von Dritten zum Zwecke der Bereitstellung von Produkten und Dienstleistungen.
  • CRM-Systeme: Erhebung und Verarbeitung von Kundendaten zum Zwecke der Kundenbetreuung und des Marketings.
  • ERP-Systeme: Erhebung und Verarbeitung von Geschäftsdaten zum Zwecke der Unternehmensführung und der Buchhaltung.
  • HR-Software: Erhebung und Verarbeitung von Personaldaten zum Zwecke der Personalverwaltung und des Recruitings.

Diese Beispiele sind nur eine kleine Auswahl der vielen möglichen Verarbeitungstätigkeiten. Die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten gilt für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten sollte man sich daher Gedanken darüber machen, welche personenbezogenen Daten in seinem Unternehmen oder seiner Organisation verarbeitet werden und zu welchen Zwecken diese Daten verarbeitet werden.

Letzte Aktualisierung: 
21.9.2023
* Bitte beachte, dass manche Links in diesem Text Affiliate-Links sind. Wenn du darauf klickst und einen Kauf tätigst, erhalten wir eine kleine Provision. Das hilft uns, weiterhin kostenfreie und wertvolle Inhalte für dich zur Verfügung zu stellen. Danke für deine Unterstützung.

Wir helfen dir gerne weiter

Nicht das gewünschte gefunden? Dann schreibe uns, wie wir dir weiterhelfen können: