Skip to content

Datenschutzblog

Verzeichnis von Verarbeitungstätigkeiten

brown wooden drawer

Die Datenschutz-Grundverordnung (DSGVO) sieht für Unternehmen und Einrichtungen das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) vor. Darin müssen alle Datenverarbeitungsvorgänge, die personenbezogenen Daten betreffen, aufgeführt werden.

Das Verzeichnis der Verarbeitungstätigkeiten ist integraler Bestandteil eines jeden Datenschutzmanagementsystems und ermöglicht es Unternehmen, die von ihnen durchgeführten Verarbeitungsvorgänge personenbezogener Daten zu überblicken, zu kontrollieren, auf ihre Rechtmäßigkeit zu überprüfen und die damit verbundenen Risiken zu bewerten. So können sie gegebenenfalls notwendige Maßnahmen erkennen und angemessen umsetzen.

Wer benötigt ein Verarbeitungsverzeichnis?

Nach Art. 30 DSGVO ist jeder Verantwortliche für Datenverarbeitungen und jeder Auftragsverarbeiter von Daten verpflichtet, diese schriftliche Dokumentation und Übersicht über Verfahren zu führen. Überall dort, wo personenbezogene Daten verarbeitet werden, müssen diese Vorgänge dokumentiert werden.

Ausnahmen: Wer muss kein VVT führen?

Ausgenommen sind von der grundsätzlich in Art. 30 Abs. 1, 2 DSGVO festgeschriebenen Pflicht zur Führung eines VVT gemäß Art. 30 Abs. 5 DSGVO solche Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.
Es sei denn:

  • Die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Person;
  • Die Verarbeitung erfolgt nicht nur gelegentlich;
  • Es erfolgt eine Verarbeitung besonderer Datenkategorien.

Selbst wenn nur eine der genannten gesetzlichen Ausnahmen zutrifft, müssen auch Verantwortliche und Auftragsverarbeiter mit weniger als 250 Beschäftigten ein Verzeichnis von Verarbeitungstätigkeiten führen. Da fast alle Unternehmen oder Einrichtungen regelmäßig und nicht nur gelegentlich personenbezogene Daten verarbeiten, greift die Ausnahme des Art. 30 Abs. 5 DSGVO in der Praxis fast nie.

Welche Informationen gehören in ein Verzeichnis von Verarbeitungstätigkeiten?

Der Inhalt des VVT ist in Art. 30 Abs. 1 DSGVO festgelegt. Insbesondere sind die folgenden Pflichtangaben aufgeführt. Das VVT muss gem. Art. 30 Abs. 3 DSGVO schriftlich geführt werden, was jedoch auch in einem elektronischen Format erfolgen kann.

Die Pflichtangaben sind:

  • Namen und Kontaktdaten des Verantwortlichen und Datenschutzbeauftragten (Art. 30 Abs. 1 lit. a) DSGVO);
  • Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b) DSGVO);
  • Beschreibung der Kategorien von betroffenen Personen und personenbezogen Daten (Art. 30 Abs. 1 lit. c) DSGVO);
  • Kategorien von Empfängern von Datenübermittlungen (Art. 30 Abs. 1 lit. d) DSGVO);
  • Offenlegung aller Datenübertragungen in Drittländer (außerhalb der EU) samt ggf. hierfür erforderlichen Garantien (Art. 30 Abs. 1 lit. e) DSGVO);
  • Wenn möglich die vorhergesehenen Löschfristen für die Daten (Art. 30 Abs. 1 lit. f) DSGVO);
  • Wenn möglich eine Beschreibung der allgemeinen technisch-organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g) DSGVO).
Back To Top