Verzeichnis von Verarbeitungstätigkeiten: Muss das sein? – VVT Teil 1

Die DSGVO sieht vor, dass Unternehmer ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen (Art. 30 DSGVO). In diesem ersten Teil zum VVT erfahren Sie, wer ein solches Verzeichnis führen muss und was die Folgen bei einem Verstoß sind.

Lesen Sie hier den Teil 2 der VVT-Serie zum Inhalt eines VVT.

Warum überhaupt ein VVT?

Die Pflicht, ein VVT zu führen, wird in Art. 30 DSGVO festgehalten. Das Verzeichnis bildet den Kern jedes Datenschutzmanagementsystems (DSMS).

Das Verzeichnis ermöglicht eine Übersicht über alle in einem Unternehmen stattfindenden Verarbeitungsvorgänge. Diese Vorgänge könne anhand dieser Übersicht einfacher kontrolliert werden. Auch eine Risikoabwägung und die Erkennung von Handlungsbedarf werden so erleichtert.

Hinter der Regelung zum VVT steht nicht zuletzt auch der Rechenschaftsgrundsatz (Art. 5 II DSGVO). Außerdem steigert es Kontrolle und Transparenz.

Wann ist ein VVT Pflicht?

Nach Art. 30 DSGVO ist grundsätzlich jeder Verantwortliche und jeder Auftragsverarbeiter verpflichtet, ein VVT zu führen. Dabei unterscheiden sich die Verzeichnisse in ihrem Inhalt je nachdem ob es sich beim Verzeichnisführer um einen Verantwortlichen oder Auftragsverarbeiter handelt. Für den Verantwortlichen gilt die Auflistung in Art. 30 I DSGVO, für den Auftragsverarbeiter dagegen die Auflistung in Art. 30 II DSGVO.

Mehr zum Inhalt eines VVT erfahren Sie hier.

Die Definitionen von Verantwortlichem und Auftragsverarbeiter finden sich in Art. 4 Nr. 7 und Nr. 8 DSGVO. Mehr zur Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter finden Sie hier.

Wann bin ich von der Pflicht zur Führung eines VVT befreit?

Wenn der Verantwortliche weniger als 250 Mitarbeiter beschäftigt, kann er grundsätzlich von der Führung eines VVT befreit sein. Zu dieser Ausnahme gibt es allerdings drei Rückausnahmen: Ein VVT ist doch wieder verpflichtend, wenn eine Verarbeitung erfolgt, die entweder ein Risiko für Rechte und Freiheiten der Betroffenen birgt (z.B. Überwachungsmaßnahmen), nicht nur gelegentlich erfolgt oder besondere Kategorien von Daten (Art. 9 oder 10 DSGVO) betrifft. Gerade die zweite Rückausnahme (regelmäßige Verarbeitung) umfasst nahezu alle Unternehmen, sodass in den allermeisten Fällen auch für Unternehmen mit weniger als 250 Mitarbeitern eine Pflicht zur Führung eines VVT besteht.

Was passiert bei einem Verstoß?

Wenn ein zur Führung eines VVT Verpflichteter kein VVT führt oder es unvollständig führt, stellt dies eine Ordnungswidrigkeit nach Art. 84 IV lit. a DSGVO dar.

Die zuständige Aufsichtsbehörde kann dann ein Bußgeld verhängen.

Sie brauchen Unterstützung in Sachen VVT und Datenschutz? Wir bieten uns als externe Datenschutzbeauftragte an. Kontaktieren Sie uns gerne für weitere Informationen zu unseren Services!

Weiter zu Teil 2 zum VVT geht es hier.