VVT
Ein Auftragsverarbeitungsvertrag (AVV) regelt die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeitenden, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Vertrag stellt sicher, dass der Auftragsverarbeitende die Datenschutzvorgaben der DSGVO einhält und die Daten nur gemäß den Anweisungen des Verantwortlichen verarbeitet.
Verzeichnis von Verarbeitungstätigkeiten (VVT) – Ein Überblick
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein zentrales Instrument der Datenschutz-Grundverordnung (DSGVO) und spielt eine entscheidende Rolle im Datenschutzmanagement von Unternehmen. Artikel 30 der DSGVO verpflichtet sowohl Verantwortliche als auch Auftragsverarbeiter, ein detailliertes Verzeichnis über alle Verarbeitungstätigkeiten zu führen, bei denen personenbezogene Daten verarbeitet werden. Dieses Verzeichnis dient nicht nur der internen Kontrolle, sondern muss auch auf Anfrage den Datenschutzaufsichtsbehörden vorgelegt werden können.
Warum ist das VVT wichtig?
Das VVT bietet eine klare Übersicht über die Art und Weise, wie ein Unternehmen personenbezogene Daten verarbeitet. Es trägt dazu bei, die Einhaltung der DSGVO zu gewährleisten und Risiken im Umgang mit Daten zu identifizieren und zu minimieren. Zudem hilft es dabei, Transparenz gegenüber Betroffenen und Aufsichtsbehörden zu schaffen.
Wer muss ein VVT erstellen?
Alle Unternehmen und Organisationen
- mit 250 oder mehr Mitarbeitenden oder
- die personenbezogener Daten verarbeiten, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z.B. Scoring und Überwachungsmaßnahmen) oder
- in denen regelmäßige Verarbeitungstätigkeiten stattfinden (z.B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
- die besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (z.B. Religionsdaten, Gesundheitsdaten, usw.) verarbeiten.
Es ist ausreichend wenn einer der vier Punkte zutreffend ist. Damit ist es praktisch für alle Unternehmen und Organisationen erforderlich.
Wesentliche Inhalte des VVT
- Verantwortliche und Datenschutzbeauftragte: Das VVT muss Angaben zu den Namen und Kontaktdaten der für die Verarbeitung Verantwortlichen enthalten. Falls ein Datenschutzbeauftragter bestellt wurde, sind dessen Kontaktdaten ebenfalls anzugeben.
- Zweck der Verarbeitung: Jeder Verarbeitungsvorgang muss einem klar definierten Zweck dienen. Dieser Zweck muss im VVT detailliert beschrieben werden, um die Rechtmäßigkeit der Datenverarbeitung zu belegen.
- Kategorien betroffener Personen und Datenkategorien: Das VVT muss die Kategorien der betroffenen Personen (z.B. Kunden, Mitarbeiter) und die Kategorien der verarbeiteten personenbezogenen Daten (z.B. Name, Adresse, Kontodaten) erfassen.
- Empfänger der Daten: Hier sind alle internen und externen Empfänger der Daten aufzulisten, einschließlich Dienstleister und Partnerunternehmen, die Zugang zu den personenbezogenen Daten haben.
- Löschfristen: Das VVT muss geplante Fristen für die Löschung der verschiedenen Datenkategorien angeben. Diese Löschfristen sollten den Grundsätzen der Datenminimierung und Speicherbegrenzung entsprechen.
- Technische und organisatorische Maßnahmen (TOMs): Das Verzeichnis muss eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen enthalten, die ergriffen wurden, um die Sicherheit der Datenverarbeitung zu gewährleisten. Dazu gehören Maßnahmen wie Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsüberprüfungen.
Praktische Bedeutung des VVT
Das VVT ist mehr als nur eine formale Anforderung der DSGVO. Es ist ein zentrales Werkzeug, das Unternehmen dabei unterstützt, ihre Datenverarbeitungsprozesse transparent und rechtskonform zu gestalten. Durch die systematische Erfassung und Dokumentation aller Verarbeitungstätigkeiten wird das Unternehmen in die Lage versetzt, Datenschutzverletzungen zu vermeiden und auf Anfragen von Betroffenen und Aufsichtsbehörden schnell und umfassend zu reagieren.
Darüber hinaus bildet das VVT die Grundlage für weitere datenschutzrechtliche Pflichten, wie die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) bei besonders risikobehafteten Verarbeitungsvorgängen. Es unterstützt auch bei internen Audits und der regelmäßigen Überprüfung der datenschutzrechtlichen Compliance.
Form des VVT
Die Form eines Verzeichnisses der Verarbeitungstätigkeiten ist nicht festgelegt. Es kann klassisch ein einzelnes Formular (PDF, Word) sein, das für jede Verarbeitungstätigkeit ausgefüllt wird, es kann eine Excel-Tabelle mit einer Zeile pro Verarbeitungstätigkeit sein oder eine fertige Datenbankanwendung.
Entscheidend ist, dass die notwendigen Inhalte enthalten sind und den aktuellen Stand der Verarbeitungstätigkeiten wiedergeben.
Umfang des VVT
Das VVT muss alle Verarbeitungstätigkeiten umfassen.
Dies bedeutet jedoch nicht, dass für jede einzelne Anwendung ein eigener Eintrag im VVT erfolgen muss. Auch im VVT können einzelne Verfahren und Anwendungen sinnvoll zusammengefasst werden. So können z.B. gängige Office-Anwendungen als solche zusammengefasst werden.
Statt: Textverarbeitung "Word", Tabellenkalkulation "Excel", Präsentationsanwendung "Powerpoint" und E-Mail "Outlook" kann eine Verarbeitungstätigkeit "Office-Anwendungen" angelegt werden. Im VVT sollte dann aber transparent gemacht werden, welche einzelnen Anwendungen diese Verarbeitungstätigkeit umfasst und sowohl der Kreis der Betroffenen als auch die verarbeiteten Datenkategorien sollten sich in den einzelnen Anwendungen nicht wesentlich unterscheiden.
Fazit:
Das Verzeichnis von Verarbeitungstätigkeiten ist ein unerlässliches Element des Datenschutzmanagements in jedem Unternehmen. Es schafft Klarheit über die Datenverarbeitungsprozesse, unterstützt die Einhaltung der DSGVO und hilft, datenschutzrechtliche Risiken zu minimieren. Ein aktuelles und sorgfältig geführtes VVT ist daher ein wesentlicher Bestandteil eines effektiven Datenschutzkonzepts.
Weitere Quellen
Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO (DSK)
Muster Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher (DSK)
